Криптографічний захист інформації. Огляд законодавства Російської Федерації: Криптографія Вимоги до шифрувальних криптографічних

Ідея цієї статті зародилася, коли перед фахівцями EFSOL було поставлене завдання щодо аналізу ризиків інформаційної безпеки в ресторанному бізнесі та розробки заходів протидії їм. Одним із вагомих ризиків виявилася можливість вилучення управлінської інформації, а одним із контрзаходів — шифрування баз бухгалтерського обліку.

Відразу зазначу, що розгляд усіх можливих криптопродуктів або рішень на базі конкретних систем обліку не входить до мети цієї статті. Нас цікавить лише порівняльний аналіз персональних засобівшифрування, для якого ми вибрали найпопулярніше безкоштовне рішення з відкритим вихідним кодом і пару найбільш комерційних аналогів, що просуваються. Нехай недосвідчених користувачів не лякає фраза «відкритий вихідний код» - вона означає лише те, що розробкою займається група ентузіастів, які готові прийняти будь-кого, хто бажає допомогти їм.

То чому ми обрали такий підхід? Мотивація дуже проста.

1. У різних компаніях використовується своя система обліку, тому вибираємо засоби шифрування не прив'язані до конкретної платформи – універсальні.
2. Персональний криптозахист розумніше використовувати в невеликих підприємствах, де із програмою обліку працюють 1-5 користувачів. Для великих компаній вилучення управлінської інформації спричинить більші фінансові втрати- тому й рішення щодо захисту обійдуться значно дорожче.
3. Аналіз безлічі комерційних продуктів шифрування інформації позбавлений сенсу: досить оцінити кілька їх, щоб сформувати собі розуміння ціни і функціональності.

Перейдемо до порівняння продуктів, яке зручно зробити виходячи з зведеної таблиці. Я навмисно не включав до аналізу безліч технічних деталей (таких як підтримка апаратного прискоренняабо багатопоточності, декількох логічних або фізичних процесорів), від яких у звичайного користувачапочинає боліти голова. Зупинимося лише тому функціоналі, користь якого ми можемо реально виділити.

Дотримуючись законів жанру, залишилося лише прокоментувати окремі пункти та виділити переваги того чи іншого рішення. З цінами на продукти все зрозуміло, як і з операційними системами, що підтримуються. Відзначу лише той факт, що версії TrueCrypt для MacOS і Linux мають свої нюанси використання, а встановлення його на серверні платформи від Microsoft хоч і дає певні плюси, але зовсім не здатна замінити величезний функціонал комерційних систем захисту даних корпоративної мережі. Нагадаю, що ми розглядаємо все ж таки персональний криптозахист.

Криптопровайдери, на відміну від вбудованих алгоритмів шифрування, - це модулі, що окремо підключаються, які визначають метод кодування (розкодування), що використовується програмою. Чому саме комерційні рішення використовують пакети криптопровайдерів? Відповіді невигадливі, але фінансово обґрунтовані.

1. Немає необхідності вносити зміни до програми для додавання тих чи інших алгоритмів (оплачувати працю програмістів) – достатньо створити новий модуль або підключити рішення сторонніх розробників.
2. У всьому світі розробляються, тестуються та впроваджуються міжнародні стандарти, але для російських державних структур необхідна відповідність вимогам ФСТЕК та ФСБ. Ці вимоги мають на увазі ліцензування створення та розповсюдження засобів захисту інформації.
3. Засобами шифрування даних є криптопровайдери, а програми не вимагають сертифікації розробки та дистрибуції.

Каскадне шифрування - можливість кодувати інформацію одним алгоритмом, коли вже була закодована іншим. Такий підхід, хоч і сповільнює роботу, дозволяє збільшити стійкість захищених даних проти злому - чим більше знає «опонент» про методи шифрування (наприклад, алгоритм або набір символів ключа), тим простіше йому розкрити інформацію.

Технологія шифрування XTS - логічний розвиток попередніх блокових методів шифрування XEX і LRW, у використанні яких виявлені вразливості. Оскільки операції читання/запису на носіях інформації виробляються посекторно блоками, використання потокових методів кодування неприйнятно. Таким чином, 19 грудня 2007 року метод шифрування XTS-AES для алгоритму AES був описаний та рекомендований міжнародним стандартом захисту інформації IEEE P1619, що зберігається.

Цей режим використовує два ключі, перший із яких використовується для генерації вектора ініціалізації, а другим шифруються дані. Метод працює за наступним алгоритмом:

1. генерує вектор, шифруючи номер сектора першим ключем;
2. складає вектор із вихідною інформацією;
3. шифрує результат додавання другим ключем;
4. складає вектор із результатом шифрування;
5. множить вектор на багаточлен, що породжує кінцевого поля.

Національний інститут стандартів та технологій рекомендує використання режиму XTS для шифрування даних пристроїв з блоковою внутрішньою структурою, оскільки він:

• описаний міжнародним стандартом;
• має високу продуктивністьза рахунок виконання попередніх обчислень та розпаралелювання;
• дозволяє обробляти довільний блок сектора за рахунок обчислення ініціалізації вектора.

Також зазначу, що в IEEE P1619 рекомендується використовувати метод XTS з алгоритмом шифрування AES, проте архітектура режиму дозволяє використовувати його спільно з будь-яким іншим блоковим шифром. Таким чином, у разі необхідності сертифікації пристрою, що реалізує прозоре шифрування, відповідно до вимог російського законодавства є можливим спільне використання XTS та ГОСТ 28147-89.

Екстрене відключення шифрованих дисків – незаперечно необхідна функція у ситуаціях, які потребують миттєвого реагування для захисту інформації. Але що відбувається далі? «Опонент» бачить систему, на якій встановлений криптозахист та недоступний для читання системними засобамидиск. Висновок про приховування інформації є очевидним.

Настає етап «примусу». «Опонент» використовуватиме фізичні чи юридичні заходи впливу, щоб змусити власника розкрити інформацію. Вітчизняне усталене рішення «введення пароля під примусом» з розряду «помру, але не видам» стає неактуальним. Неможливо видалити інформацію, яку попередньо скопіював опонент, а він це зробить - не сумнівайтеся. Видалення ключа шифрування лише підтверджує те, що інформація справді важлива, а запасний ключ обов'язково десь захований. Та й без ключа інформація все ще доступна для криптоаналізу та злому. Не поширюватимусь, наскільки ці дії наближають власника інформації до юридичного фіаско, але розповім про логічний метод правдоподібного заперечення причетності.

Використання прихованих розділів та прихованої ОС не дозволить «опоненту» довести існування захищеної інформації. У такому світлі вимоги розкрити інформацію стають абсурдними. Розробники TrueCrypt рекомендують ще більше заплутувати сліди: крім прихованих розділів або операційних системстворювати шифровані видимі, які містять обманні (фіктивні) дані. "Опонент", виявивши видимі шифровані розділи, наполягатиме на розкритті саме їх. Розкривши таку інформацію під примусом, власник ні чим не ризикує і знімає з себе підозри, тому що справжні секрети залишаться невидимими на прихованих розділах шифрованих.

Підбиття підсумків

Нюансів у захисті інформації безліч, але освітленого має вистачити для підбиття проміжних підсумків - остаточне рішення кожен прийме собі сам. До переваг безкоштовної програми TrueCrypt варто віднести її функціонал; можливість для всіх бажаючим брати участь у тестуванні та покращенні; надмірна кількість відкритої інформаціїпо роботі програми. Це рішення створене людьми, які багато знають про безпечне зберігання інформації та постійно вдосконалюють свій продукт, для людей, яким важливий дійсно високий рівеньнадійність. До недоліків віднесемо відсутність підтримки, висока складність для рядового користувача, відсутність дворівневої автентифікації перед стартом ОС, неможливість підключати модулі сторонніх криптопровайдерів.

Комерційні продукти сповнені турботою про користувача: технічна підтримка, чудова комплектація, низька вартість, наявність сертифікованих версій, можливість використовувати алгоритм ГОСТ 28147-89, розрахований на багато користувачів режим з розмежованою дворівневою автентифікацією. Засмучує лише обмежена функціональність та наївність у підтримці секретності зберігання зашифрованих даних.

Оновлено: червень 2015 року.

Незважаючи на те, що версія TrueCrypt 7.1а вийшла 7 лютого 2011, вона залишається останньою повноцінною функціональною версією продукту.

Цікава загадкова історія із припиненням розробки TrueCrypt. 28 травня 2014 року з сайту розробників видалено всі попередні версіїпродукту та викладена версія 7.2. Ця версіявміє лише розшифровувати раніше зашифровані диски та контейнери – можливість шифрування була видалена. З цього моменту на сайті та програмі з'являється заклик використовувати BitLocker, а використання TrueCrypt називається небезпечним.

Це викликало хвилю пересудів в інтернеті: авторів програми запідозрили в установці «закладки» у коді. Підігрівані інформацією від колишнього працівника АНБ Сноудена про те, що спецслужби навмисно послаблюють засоби криптографії, користувачі розпочали збір коштів для проведення аудиту коду TrueCrypt. На перевірку програми було зібрано понад 60 тисяч доларів.

Аудит повністю закінчено до квітня 2015 року. Аналіз коду не виявив будь-яких закладок, критичних недоліків архітектури чи вразливостей. Було доведено, що TrueCrypt – якісно спроектований криптографічний засіб, хоч і не ідеальний.

Тепер рада розробників переходити на Bitlocker розглядається багатьма як «свідчення канарки». Автори TrueCrypt завжди висміювали Bitlocker та його безпеку зокрема. Використання Bitlocker також нерозумно через закритість програмного коду та недоступність його у «молодших» редакція Windows. Через все вищесказане інтернет-спільнота схильно вважати, що на розробників впливає спецслужбами, і вони своїм мовчанням натякають на щось важливе, нещиро рекомендуючи Bitlocker.

Повторно підіб'ємо підсумки

TrueCrypt продовжує залишатися найпотужнішим, надійним та функціональним засобом криптографії. І аудит, і тиск спецслужб лише підтверджують це.

Zdisk та Secret Disk мають версії сертифіковані ФСТЕК. Отже ці продукти має сенс використовувати відповідності вимогам законодавства РФ у сфері захисту, наприклад, захисту персональних даних, як цього вимагає Федеральний Закон 152-ФЗ і підпорядковані йому нормативні акти.

Для тих, хто серйозно стурбований безпекою інформації, є комплексне рішення «Сервер в Ізраїлі», в якому здійснюється комплексний підхід до захисту данихпідприємства.

Системна інтеграція. Консалтинг

Криптографічними засобами захисту називаються спеціальні засоби та методи перетворення інформації, внаслідок яких маскується її зміст. Основними видами криптографічного закриття є шифрування і кодування даних, що захищаються. При цьому шифрування є такий вид закриття, при якому самостійному перетворенню піддається кожен символ даних, що закриваються; при кодуванні дані, що захищаються діляться на блоки, що мають смислове значення, і кожен такий блок замінюється цифровим, буквеним або комбінованим кодом. При цьому використовується декілька різних системшифрування: заміною, перестановкою, гамуванням, аналітичним перетворенням даних, що шифруються. Широке поширення набули комбіновані шифри, коли вихідний текст послідовно перетворюється з використанням двох чи навіть трьох різних шифрів.

Принципи роботи криптосистеми

Типовий приклад зображення ситуації, у якій виникає завдання криптографії (шифрування), зображений на малюнку №1:

Мал. №1

На малюнку № 1 А і В - законні користувачі захищеної інформації, вони хочуть обмінюватися інформацією загальнодоступним каналом зв'язку.

П - незаконний користувач (противник, хакер), який хоче перехоплювати повідомлення, що передаються по каналу зв'язку і спробувати витягти з них цікаву для нього інформацію. Цю просту схемуможна вважати моделлю типової ситуації, у якій застосовуються криптографічні методи захисту чи просто шифрування.

Історично в криптографії закріпилися деякі військові слова (противник, атака на шифр та ін.). Вони найточніше відбивають сенс відповідних криптографічних понять. Водночас широко відома військова термінологія, заснована на понятті коду (військово-морські коди, коди Генерального штабу, кодові книги, кодозначення тощо) вже не застосовується в теоретичній криптографії. Справа в тому, що за останні десятиліття сформувалася теорія кодування - велике наукове спрямування, яке розробляє та вивчає методи захисту інформації від випадкових спотворень у каналах зв'язку. Криптографія займається методами перетворення інформації, які б не дозволили противнику витягти її з повідомлень, що перехоплюються. При цьому по каналу зв'язку передається вже не сама інформація, що захищається, а результат її

перетворення за допомогою шифру, і для противника виникає складне завдання розтину шифру. Розтин (зламування) шифру - процес отримання інформації, що захищається з шифрованого повідомлення без знання застосованого шифру. Противник може намагатися не отримати, а знищити або модифікувати інформацію, що захищається в процесі її передачі. Це - зовсім інший тип загроз для інформації, відмінний від перехоплення та розтину шифру. Для захисту від таких загроз

розробляють свої специфічні методи. Отже, на шляху від одного законного користувача до іншого інформація має захищатися у різний спосіб, що протистоять різним загрозам. Виникає ситуація ланцюга з різнотипних ланок, що захищає інформацію. Природно, противник прагнутиме знайти найслабшу ланку, щоб із найменшими витратами дістатися інформації. А значить, і законні користувачі повинні враховувати цю обставину у своїй стратегії захисту: безглуздо робити якусь ланку дуже міцною, якщо є більш слабкі ланки ("принцип рівноміцності захисту"). Вигадування хорошого шифру справа трудомістка. Тому бажано збільшити час життя хорошого шифру та використовувати його для шифрування якомога більшої кількості повідомлень. Але при цьому виникає небезпека, що противник вже розгадав (розкрив) шифр і читає інформацію, що захищається. Якщо ж у шифрі мережу змінний ключ, замінивши ключ, можна зробити так, що розроблені противником методи вже не дають ефекту.

Засоби криптографічного захисту інформації, або скорочено СКЗІ, використовуються для забезпечення всебічного захисту даних, що передаються лініями зв'язку. Для цього необхідно дотриматися авторизації та захисту електронного підписуаутентифікацію сполучених сторін з використанням протоколів TLS та IPSec, а також захист самого каналу зв'язку при необхідності.

У Росії використання криптографічних засобівзахисту інформації здебільшого засекречено, тому загальнодоступної інформації щодо цієї теми мало.

Методи, що застосовуються у СКЗІ

• Авторизація даних та забезпечення збереження їх юридичної значущості під час передачі чи зберігання. Для цього застосовують алгоритми створення електронного підпису та його перевірки відповідно до встановленого регламенту RFC 4357 та використовують сертифікати за стандартом X.509.
• Захист конфіденційності даних та контроль їхньої цілісності. Використовується асиметричне шифрування та імітозахист, тобто протидія підміні даних. Дотримується ГОСТ Р 34.12-2015.
• Захист системного та прикладного ПЗ. Відстеження несанкціонованих змін чи неправильного функціонування.
• Управління найважливішими елементами системи у суворій відповідності до прийнятого регламенту.
• Аутентифікація сторін, які обмінюються даними.
• Захист з'єднання за допомогою протоколу TLS.
• Захист IP-з'єднань за допомогою протоколів IKE, ESP, AH.

Докладним чином описані методи в наступних документах: RFC 4357, RFC 4490, RFC 4491.

Механізми СКЗІ для інформаційного захисту

1. Захист конфіденційності зберігається або переданої інформаціївідбувається застосуванням алгоритмів шифрування.
2. Під час встановлення зв'язку ідентифікація забезпечується засобами електронного підпису під час їх використання під час автентифікації (за рекомендацією X.509).
3. Цифровий документообіг також захищається засобами електронного підпису спільно із захистом від нав'язування або повтору, при цьому здійснюється контроль достовірності ключів, які використовуються для перевірки електронних підписів.
4. Цілісність інформації забезпечується засобами цифровий підпис.
5. Використання функцій асиметричного шифрування дозволяє захистити дані. Крім цього, для перевірки цілісності даних можуть бути використані функції хешування або алгоритми імітозахисту. Однак, ці способи не підтримують визначення авторства документа.
6. Захист від повторів відбувається криптографічними функціями електронного підпису для шифрування чи імітозахисту. При цьому до кожної сесії додається унікальний ідентифікатор, досить довгий, щоб виключити його випадковий збіг, і реалізується перевірка приймаючою стороною.
7. Захист від нав'язування, тобто від проникнення у зв'язок із боку, забезпечується засобами електронного підпису.
8. Інший захист - проти закладок, вірусів, модифікацій операційної системи тощо - забезпечується за допомогою різних криптографічних засобів, протоколів безпеки, антивірусних програм та організаційних заходів.

Як можна помітити, алгоритми електронного підпису є основною частиною засобу криптографічного захисту інформації. Вони будуть розглянуті нижче.

Вимоги щодо використання СКЗІ

СКЗІ націлено на захист (перевіркою електронного підпису) відкритих даних у різних інформаційних системах загального використаннята забезпечення їх конфіденційності (перевіркою електронного підпису, імітозахистом, шифруванням, перевіркою хешу) у корпоративних мережах.

Персональний засіб криптографічного захисту використовується для охорони персональних даних користувача. Однак слід особливо виділити інформацію щодо державної таємниці. За законом СКЗІ може бути використано до роботи з нею.

Важливо: перед встановленням СКЗІ насамперед слід перевірити сам пакет забезпечення СКЗІ. Це перший крок. Як правило, цілісність пакета установки перевіряється шляхом порівняння контрольних сумотриманих від виробника.

Після встановлення слід визначитися з рівнем загрози, виходячи з чого можна визначити необхідні для застосування види СКЗД: програмні, апаратні та апаратно-програмні. Також слід враховувати, що з організації деяких СКЗІ необхідно враховувати розміщення системи.

Класи захисту

Відповідно до наказу ФСБ Росії від 10.07.14 за номером 378, що регламентує застосування криптографічних засобів захисту інформації та персональних даних, визначено шість класів: КС1, КС2, КС3, КВ1, КВ2, КА1. Клас захисту тієї чи іншої системи визначається з аналізу даних про моделі порушника, тобто з оцінки можливих способівзлому системи. Захист будується з програмних і апаратних засобів криптографічного захисту інформації.

АУ (актуальні загрози), як видно з таблиці, бувають 3 типи:

1. Загрози першого типу пов'язані з недокументованими можливостями системного ПЗ, що використовується в інформаційній системі.
2. Загрози другого типу пов'язані з недокументованими можливостями прикладного ПЗ, що використовується в інформаційній системі.
3. Загрозою третього типу називаються всі інші.

Недокументовані можливості - це функції та властивості програмного забезпеченняякі не описані в офіційній документації або не відповідають їй. Тобто їх використання може підвищувати ризик порушення конфіденційності чи цілісності інформації.

Для ясності розглянемо моделі порушників, для перехоплення яких потрібен той чи інший клас засобів криптографічного захисту:

• КС1 – порушник діє ззовні, без помічників усередині системи.
• КС2 – внутрішній порушник, але не має доступу до СКЗІ.
• КС3 – внутрішній порушник, який є користувачем СКЗІ.
• КВ1 - порушник, який приваблює сторонні ресурси, наприклад, фахівців з СКЗІ.
• КВ2 - порушник, за діями якого стоїть інститут або лабораторія, що працює в галузі вивчення та розробки СКЗД.
• КА1 – спеціальні служби держав.

Таким чином КС1 можна назвати базовим класом захисту. Відповідно, що вищий клас захисту, то менше фахівців, здатних його забезпечувати. Наприклад, у Росії, за даними за 2013 рік, існувало лише 6 організацій, які мають сертифікат від ФСБ і здатні забезпечувати захист класу КА1.

Використовувані алгоритми

Розглянемо основні алгоритми, що використовуються у засобах криптографічного захисту інформації:

• ГОСТ Р 34.10-2001 та оновлений ГОСТ Р 34.10-2012 - алгоритми створення та перевірки електронного підпису.
• ГОСТ Р 34.11-94 та останній ГОСТ Р 34.11-2012 - алгоритми створення хеш-функцій.
• ГОСТ 28147-89 та більше новий ГОСТР 34.12-2015 - реалізація алгоритмів шифрування та імітозахисту даних.
• Додаткові криптографічні алгоритми перебувають у документі RFC 4357.

Електронний підпис

Застосування засобу криптографічного захисту інформації неможливо уявити без використання алгоритмів електронного підпису, які набирають все більшої популярності.

Електронний підпис – це спеціальна частина документа, створена криптографічними перетвореннями. Її основним завданням є виявлення несанкціонованої зміни та визначення авторства.

Сертифікат електронного підпису - це окремий документ, який доводить справжність та належність електронного підпису своєму власнику за відкритим ключем. Видача сертифіката відбувається центрами, що засвідчують.

Власник сертифіката електронного підпису – це особа, на ім'я якої реєструється сертифікат. Він пов'язаний із двома ключами: відкритим та закритим. Закритий ключ дозволяє створити електронний підпис. Відкритий ключ призначений для перевірки автентичності підпису завдяки криптографічному зв'язку із закритим ключем.

Види електронного підпису

За Федеральним законом № 63 електронний підпис ділиться на 3 види:

• звичайний електронний підпис;
• некваліфікований електронний підпис;
• кваліфікований електронний підпис.

Проста ЕП створюється за рахунок паролів, накладених на відкриття та перегляд даних, або подібних засобів, що побічно підтверджують власника.

Некваліфікована ЕП створюється за допомогою криптографічних перетворень за допомогою закритого ключа. Завдяки цьому можна підтвердити особу, яка підписала документ, та встановити факт внесення до даних несанкціонованих змін.

Кваліфікований та некваліфікований підписи відрізняються лише тим, що в першому випадку сертифікат на ЕП має бути виданий сертифікованим ФСБ посвідчувальним центром.

Область використання електронного підпису

У таблиці нижче розглянуто сфери застосування ЕП.

Найактивніше технології ЕП застосовуються в обміні документами. У внутрішньому документообігу ЕП виступає у ролі затвердження документів, тобто як особистий підпис чи друк. У разі зовнішнього документообігу наявність ЕП є критичною, оскільки є юридичним підтвердженням. Варто також зазначити, що документи, підписані ЕП, здатні зберігатися нескінченно довго і не втрачати своєї юридичної значущості через такі чинники, як підписи, що зіпсуються, зіпсований папір і т.д.

Звітність перед контролюючими органами – це ще одна сфера, в якій нарощується електронний документооберт. Багато компаній та організацій вже оцінили зручність роботи у такому форматі.

За законом Російської Федераціїкожен громадянин має право користуватися ЕП під час використання держпослуг (наприклад, підписання електронної заяви для органів влади).

Онлайн-торги - ще одна цікава сфера, в якій активно застосовується електронний підпис. Вона є підтвердженням того факту, що у торгах бере участь реальна людина та її пропозиції можуть розглядатися як достовірні. Також важливим є те, що будь-який укладений контракт за допомогою ЕП набуває юридичної сили.

Алгоритми електронного підпису

• Full Domain Hash (FDH) та Public Key Cryptography Standards (PKCS). Останнє є цілу групу стандартних алгоритмів для різних ситуацій.
• DSA та ECDSA – стандарти створення електронного підпису в США.
• ГОСТ Р 34.10-2012 – стандарт створення ЕП в РФ. Цей стандартзамінив собою ДЕРЖСТАНДАРТ Р 34.10-2001, дія якого офіційно припинилася після 31 грудня 2017 року.
• Євразійський союз має стандарти, повністю аналогічні російським.
• СТБ 34.101.45-2013 – білоруський стандарт для цифрового електронного підпису.
• ДСТУ 4145-2002 - стандарт створення електронного підпису в Україні та багато інших.

Варто також зазначити, що алгоритми створення ЕП мають різні призначення та цілі:

• Груповий електронний підпис.
• Одноразовий цифровий підпис.
• Довірена ЕП.
• Кваліфікований та некваліфікований підпис та ін.

Відповідно до законодавства ЄАЕС, шифрувальні (криптографічні) засоби(далі – ШКС) – це “ апаратні, програмні та апаратно-програмні засоби, системи та комплекси, що реалізують алгоритми криптографічного перетворення інформації та призначені для захисту інформації від несанкціонованого доступу при її передачі каналами зв'язку та (або) при її обробці та зберіганні” .

Дане визначення вельми абстрактно, у зв'язку з чим віднесення чи невіднесення конкретного товару до ШКС може спричинити суттєві труднощі.

Список товарів, що належать до ШКС

У Положенні про ввезення (вивезення) ШКР наведено список функцій (компонентів), які повинен містити товар, щоб він міг вважатися ШКШ:

• засоби імітозахисту
• засоби електронного цифрового підпису
• засоби кодування
• засоби виготовлення криптографічних ключів
• самі криптографічні ключі
• системи, обладнання та компоненти, розроблені чи модифіковані для виконання крипто-аналітичних функцій
• системи, обладнання та компоненти, розроблені або модифіковані для застосування криптографічних методів генерації коду, що розширюється, для систем з розширюється спектром, включаючи стрибкоподібну перебудову кодів для систем з стрибкоподібною перебудовою частоти
• системи, обладнання та компоненти, розроблені або модифіковані для застосування криптографічних методів формування каналів або кодів, що засекречують, для модульованих за часом надширокосмугових систем.

Однак, на практиці нерідко виникає ситуація, що митні органи, керуючись переліком з розділу 2.19 (і навіть тільки кодом ТН ЗЕД із переліку), можуть вирішити, що продукт, що ввозиться, є шифрувальним засобом (і неважливо, чи є там шифрування насправді чи ні ). І тут імпортеру доведеться отримувати дозвільні документи чи доводити митниці, що у товарі відсутня шифрування.

Процедура імпорту (експорту) ШКР

Залежно від митної процедури для ввезення (вивезення) ШКР необхідно оформити різні види документів:

12 категорій ШКС

Насправді переважна більшість товарів із функцією шифрування ввозяться виходячи з нотифікації.

Нотифікація може бути зареєстрована тількина товари, що належать до однієї чи кількох із 12 категорій шифрувальних засобів, технічні та криптографічні характеристики яких підлягають нотифікації. Цей перелік наведено у Положенні про нотифікацію.

Категорія №1

ШКС цієї категорії виконуються різні криптографічні функції, але визначальним чинником віднесення до цієї категорії є довжина криптографічного ключа. Зазначені довжини ключів істотно менші за рекомендовані мінімальні значення для відповідних груп алгоритмів. Використання таких коротких криптографічних ключів робить можливим на сучасному обладнанні розтин зашифрованих повідомлень методом повного перебору.

Симетричне шифруванняв основному використовується для забезпечення конфіденційності даних, і засноване на тому, що відправник та одержувач інформації використовують один і той же ключ як для зашифрування повідомлень, так і для їх розшифрування. Цей ключ повинен зберігатися в таємниці і передаватися у спосіб, що виключає його перехоплення. Приклади симетричних алгоритмів шифрування: RC4, DES, AES.

З перерахованих алгоритмів тільки DES (який вважається застарілим) безумовно потрапляє до категорії 1; також алгоритм RC4 іноді може використовуватися з короткими ключами (наприклад, WEP технології зв'язку Wi-Fi: довжина ключа 40 або 128 біт).

У асиметричних алгоритмів шифрування(або криптографії з відкритим ключем) Для зашифровування інформації використовують один ключ (відкритий), а для розшифровування – інший (секретний). Дані алгоритми широко використовуються для встановлення захищених з'єднань по відкритих каналах зв'язку для цілей ЕЦП. Приклади алгоритмів: RSA, DSA, Протокол Діффі-Хеллмана, ГОСТ Р 34.10-2012.

Вказані методивідносяться до математичної бази функціонування асиметричних алгоритмів:

• розкладання на множники цілих чисел - алгоритм RSA
• обчислення дискретних логарифмів у мультиплікативній групі кінцевого поля - алгоритми DSA, Діффі-Хеллмана, Ель-Гамаля
• дискретний логарифм у групі кінцевого поля, відмінного від поля, зазначеного в абзаці третьому цього підпункту – алгоритми на еліптичних кривих: ECDSA, ECDH, ГОСТ Р 34.10-2012.

Приклади ШКС, що нотифікуються:теоретично будь-який товар може використовувати застарілі алгоритми або короткі ключі в сучасних алгоритмах. Насправді, проте, це мало сенсу, т.к. не забезпечує достатній рівень захисту. Одним із реальних прикладів може бути Wi-Fi у режимі WEP з ключем довжини 40 біт.

Категорія №2

Перевірка автентифікації користувача в рамках даної категорії передбачає порівняння введеного ним пароля або інших аналогічних ідентифікуючих даних з інформацією, збереженою в базі даних авторизованих користувачів, а сам процес шифрування полягає в захист секретних даних користувача від копіювання та незаконного використанняпри їх передачі від об'єкта аутентифікації (користувача) контролюючого пристрою.

Приклади ШКС, що нотифікуються:пристрої систем контролю та управління доступом – зчитувачі паролів, пристрої для зберігання та формування баз даних авторизованих користувачів, мережеві пристрої аутентифікації – шлюзи, роутери, маршрутизатори тощо; пристрої із захистом інформації, що зберігаються на них – жорсткі дискиз функцією парольного обмеження доступу.

2) електронний цифровий підпис (електронний підпис).

Процес підпису реалізується шляхом криптографічного перетворення інформації з використанням закритого ключа підписута дозволяє перевірити відсутність спотворення інформації в електронному документі з моменту формування підпису (цілісність), належність підпису власнику сертифіката ключа підпису (авторство), а у разі успішної перевірки підтвердити факт підписання електронного документа (невідмовність).

Приклади ШКС, що нотифікуються:генератори ЕЦП, програмне забезпечення для супроводу та реалізації механізму застосування ЕЦП, пристрої зберігання ключової інформації ЕЦП.

Категорія №3

Операційна системаце комплекс взаємозалежних програм, призначених для управління ресурсами комп'ютера та організації взаємодії з користувачем.

Приклади ШКС, що нотифікуються:операційні системи та програмні комплекси на їх основі.

Категорія №4

Смарт-карткице пластикові картки із вбудованою мікросхемою. У більшості випадків смарт-картки містять мікропроцесор та операційну систему, керуючу пристроємта контролюючу доступ до об'єктів у його пам'яті.

Приклади ШКС, що нотифікуються: SIM-картки доступу до послуг мобільних операторів, банківські картиоснащені чіпом-мікропроцесором, інтелектуальні карти ідентифікації її власника.

Категорія №5

Дана категорія відноситься до товарів, призначених для надання користувачеві доступу до платних кодованих цифрових супутникових, ефірних і кабельних телеканалів та радіостанцій (радіоканалів) (приклади стандартів: DVB-CPCM, DVB-CSA).

Приклади ШКС, що нотифікуються: TV-тюнери, приймачі телесигналів, супутникові телеприймачі.

Категорія №6

Приклади ШКС, що нотифікуються:Ігрові консолі, ігри, програмне забезпечення тощо.

Категорія №7

Товари цієї категорії повинні бути апаратним пристроєм, тобто. мати закінчений вид банківського устаткування, застосування якого передбачає додаткової складання чи доопрацювання крім цілей модернізації.

Приклади ШКС, що нотифікуються:Банкомати, платіжні термінали, пін-пади (банківські картки відносять до категорії №4).

Категорія №8

До цієї категорії віднесено всі пристрої мобільної стільникового зв'язку, що працюють у стандартах GSM, GPRS, EDGE, UMTS, LTE, а також деякі радіостанції. Головна вимога, що висувається до товарів даної категорії в області виконуваного функціоналу – відсутність здатності до наскрізне шифрування, тобто. зв'язок між абонентами повинен здійснюватись через пристрій ретрансляції.

Приклади ШКС, що нотифікуються: Мобільні пристроїзв'язку та пристрої, що мають у своєму складі модулі стільникового зв'язку вищезазначених стандартів, радіостанції.

Категорія №9

Сюди відноситься більшість пристроїв, які інакше можна назвати як «радіоелектронні засоби малого радіусу дії». Шифрування відбувається при передачі/прийомі інформації бездротовим радіоканалом з метою її захисту від перехоплення, проникнення несанкціонованих користувачів у мережу зв'язку. Як відомо, такий захист підтримує більшість бездротових стандартівпередачі даних: Wi-Fi, Bluetooth, NFC, іноді RFID.

Приклади ШКС, що нотифікуються:роутери, точки доступу, модеми, пристрої, що містять у своєму складі модулі бездротового радіозв'язку ближнього радіусу дії, безконтактні карти доступу/оплати/ідентифікації.

Категорія №10

Ця категорія описує товари, які є мережними пристроями, що виконують комутаційніі сервісніфункції. Як правило, більшість даних пристроїв підтримують прості. мережеві протоколиуправління, що дозволяють проводити моніторинг стану мережі, її продуктивність, а також направляти команди адміністратора мережі до її різних вузлів.

Приклади ШКС, що нотифікуються:Сервери, комутатори, мережеві платформи, шлюзи.

Категорія №11

Ця категорія може бути представлена ​​абсолютно різними типами пристроїв різних призначень та області застосування. Вирішальним фактором віднесення таких товарів до категорії №11 є наявність попередньо встановленого програмногоабо апаратного забезпечення, яке виробляє цілеспрямовану блокуваннявиконуваних товаром криптографічних функцій.

Категорія №12

Варто зазначити, що на практиці ЦЛСЗ ФСБ Росії висуває підвищені вимоги до подання матеріалів для реєстрації нотифікацій на товари цієї категорії. Так, усі перелічені критерії мають бути підтверджені (посиланнями на сайт виробника з інформацією російською мовою чи документально).

Найбільш поширені категорії ШКР

У Єдиному реєстрі кожної нотифікації наводиться перелік категорій, яких віднесено товар. Дана інформаціязакодована у полі "Ідентифікатор": поле являє собою 12-значний код, при цьому, якщо товар відноситься до категорії з номером N зі списку вище, то на позиції N у коді стоять цифра 1, в іншому випадку - 0.

Наприклад, код 110000000110 говорить про те, що товар нотифікувався за категоріями № 1, 2, 10 і 11.

Цікаво подивитися на статистику використання різних категорій.

Як видно з діаграми, найпоширенішими і найчастіше зустрічаються криптографічними функціями в ШКС є шифрування даних у бездротовому радіоканалі малого радіусу дії (Wi-Fi, Bluetooth) – 27% від загальної кількості зареєстрованих ШКР, що логічно, враховуючи обсяг вироблених мобільних засобів зв'язку, персональних комп'ютерівта інших технічних пристроїв, оснащених модулями, які підтримують дані технології зв'язку.

Друге місце посідають ШКС, які підтримують функції аутентифікації та здійснення контролю доступу до захищеної інформації. 19,5% . Ця тенденція також легко пояснюється підвищеними стандартами та запитами споживачів до захисту персональної інформації як на фізичних носіях (жорсткі диски, USB-флеш накопичувачі, сервери тощо), так і на мережевих ( хмарні сховища, мережеві банки даних тощо). Додатково варто зазначити, що переважна більшість ШКС, що використовуються в системах контролю та управління доступом (відоміші як СКУД) також виконують криптографічний функціонал, що відноситься до категорії № 2.

Оскільки робота в мережі є невід'ємною частиною функціонування будь-якої інформаційної системи, аспекти адміністрування даної мережею зв'язку реалізовані в мережевих пристроях управління. Безпека ж інтерфейсу управління, що організується даними пристроями, реалізована за допомогою застосування механізмів шифрування технологічних каналів зв'язку, що є підставою для категорування такого роду ШКС за категорією №10, яка є третьою за поширеністю – 16% .

Важливо також відзначити, що найпоширеніші функції ШКР розподіляються за категоріями №5 (0,28% ), №12 (0,29% ) та №7 (0,62% ). Товари реалізують дані криптографічні функції є рідкісними і під час проведення реєстрації в ЦЛСЗ документація ними піддається більш детальному аналізу, т.к. «не поставлена ​​на потік» і набори криптографічних протоколів і алгоритмів, що використовуються, можуть бути унікальні в кожному окремому випадку. Саме тому товарам даних категорій необхідно приділити максимальну увагу при складанні необхідних документів, оскільки інакше ризик відмови у реєстрації нотифікації вкрай великий.

Примітки

Посилання

• Електронний підпис (ЕЦП), - Єдиний портал Електронного підпису, - http://www.techportal.ru/glossary/identifikatsiya.html
• Криптографічні методи захисту інформації - Збірник лекцій з основ локальних мережНаціонального відкритого Університету - http://www.intuit.ru/studies/courses/16655/1300/lecture/25505?page=2
• Поняття операційної системи, - Матеріали порталу про операційні системи, - http://osys.ru/os/1/ponyatie_operatsionnoy_sistemy.shtml
• Введення в SNMP, - Матеріали з мережевої безпеки, - http://network.xsp.ru/6_1.php

Органом, який здійснює регулювання та контроль у сфері криптографії, є Федеральна служба безпеки(ФСБ Росії). Вона має право:

• здійснювати відповідно до своєї компетенції регулювання в галузі розробки, виробництва, реалізації, експлуатації шифрувальних (криптографічних) засобів та захищених з використанням шифрувальних засобів систем та комплексів телекомунікацій, розташованих на території Російської Федерації, а також у сфері надання послуг із шифрування інформації в Російській Федерації , виявлення електронних пристроїв, призначених для негласного отримання інформації, у приміщеннях та технічних засобах;
• здійснювати державний контроль за організацією та функціонуванням криптографічної та інженерно-технічної безпеки інформаційно-телекомунікаційних систем, мереж зв'язку спеціального призначення та інших мереж зв'язку, що забезпечують передачу інформації з використанням шифрів, контроль за дотриманням режиму секретності при поводженні з шифрованою інформацією у шифрувальних підрозділах державних органівта організацій на території Російської Федерації та в її установах, що знаходяться за межами Російської Федерації, а також відповідно до своєї компетенції контроль за забезпеченням захисту особливо важливих об'єктів (приміщень) та технічних засобів, що знаходяться в них від витоку інформації по технічних каналах;
• розробляти, створювати та експлуатувати інформаційні системи, системи зв'язку та системи передачі даних, а також засоби захисту інформації, включаючи засоби криптографічного захисту.

Положення про ввезення на митну територію Євразійського економічного союзу та вивезення з митної території Євразійського економічного союзу шифрувальних (криптографічних) коштів затверджено Рішенням Колегії Євразійської економічної комісії. Їм встановлено, що товари мають функції шифрування (криптографії), якщо вони реалізують чи містять у своєму складі такі засоби:

а) засоби шифрування (апаратні, програмні та апаратно-програмні засоби, системи та комплекси, що реалізують алгоритми криптографічного перетворення інформації та призначені для захисту інформації від несанкціонованого доступу при її передачі каналами зв'язку та (або) при її обробці та зберіганні);

б) засоби імітозахисту (апаратні, програмні та апаратно-програмні засоби, системи та комплекси, що реалізують алгоритми криптографічного перетворення інформації та призначені для захисту від нав'язування хибної інформації);

в) кошти електронного цифрового підпису (електронного підпису), що визначаються відповідно до законодавства держав-членів Союзу (далі - держави-члени);

г) апаратні, програмні та апаратно-програмні засоби, системи та комплекси, що реалізують алгоритми криптографічного перетворення інформації з виконанням частини такого перетворення шляхом ручних операцій або з використанням автоматизованих засобів на основі таких операцій;

д) апаратні, програмні та апаратно-програмні засоби, системи та комплекси, що реалізують алгоритми криптографічного перетворення інформації та призначені для виготовлення ключових документів (незалежно від виду носія ключової інформації);

е) апаратні, програмні та апаратно-програмні засоби, системи та комплекси, розроблені або модифіковані для виконання криптоаналітичних функцій;

ж) апаратні, програмні та апаратно-програмні засоби, системи та комплекси, що реалізують алгоритми криптографічного перетворення інформації, розроблені або модифіковані для застосування криптографічних методів генерації коду, що розширюється, для систем з розширюваним спектром, включаючи стрибкоподібну перебудову кодів для систем зі стрибкоподібною перебудовою частоти;

з) апаратні, програмні та апаратно-програмні засоби, системи та комплекси, що реалізують алгоритми криптографічного перетворення інформації, розроблені або модифіковані для застосування криптографічних методів формування каналів або засекречувальних кодів для модульованих за часом надширокосмугових систем.

Ввезення та (або) вивезення шифрувальних (криптографічних) засобів здійснюються за наявності відомостей про включення відповідної нотифікаціїу єдиний реєстр нотифікацій (далі - відомості про нотифікацію) або за наявності ліцензії. Для розміщення товару під митні режими, відмінні від випуску для внутрішнього споживання та експорту, а також при ввезенні з метою забезпечення власних потреб без права їх розповсюдження та надання третім особам послуг у галузі шифрування, замість ліцензії може надаватися висновокуповноваженого органу (у Росії це Центр з ліцензування, сертифікації та захисту державної таємниці ФСБ Росії, ЦЛСЗ ФСБ Росії). Не вимагається подання ліцензії, висновків (дозвільного документа) або відомостей про нотифікацію при поміщенні під митні процедури випуску для внутрішнього споживання або експорту операторами стільникового зв'язку зразків тестових сім-карток з метою міжнародного обміну в кількості не більше 20 штук.

Для оформлення ліцензіїдо уповноваженого органу (Мінпромторг Росії) подаються такі документи та відомості:

1. заяву про видачу ліцензії та її електронну копію;
2. копія зовнішньоторговельного договору (контракту), додатка та (або) доповнення до нього (для разової ліцензії), а у разі відсутності зовнішньоторговельного договору (контракту) – копія іншого документа, що підтверджує наміри сторін;
3. відомості про постановку заявника на облік у податковому органі або державну реєстрацію;
4. відомості про наявність ліцензії на здійснення виду діяльності, що ліцензується на території Росії;
5. висновок (дозвільний документ) ЦЛСЗ ФСБ Росії;
6. повідомлення заявника про відсутність у складі ввезених шифрувальних (криптографічних) засобів радіоелектронних засобів та (або) високочастотних пристроїв цивільного призначення (для їх ввезення передбачено іншу процедуру).

Видача ліцензії або відмова у її видачі здійснюються уповноваженим органом протягом 15 робочих днів з дати подання документів.

Висновок(дозвільний документ) видається при поданні до узгоджуючого органу таких документів:

а) проект укладання (дозвільного документа), оформлений відповідно до методичних вказівок щодо заповнення єдиної форми укладання (дозвільного документа) на ввезення, вивезення та транзит окремих товарів, включених до Єдиного переліку товарів, до яких застосовуються заборони або обмеження на ввезення або вивезення державами - членами Митного союзу в рамках Євразійського економічного співтовариства у торгівлі з третіми країнами, затвердженими Рішенням Колегії Євразійської економічної комісії;

б) технічна документація на шифрувальний (криптографічний) засіб (подання вихідних кодів не є обов'язковим, відмова заявника у поданні вихідних кодів не є підставою для відмови у видачі висновку (дозвільного документа)).

Нотифікація(разове повідомлення, що надсилається виробником або імпортером для включення до єдиного реєстру, і є підставою для подальшого ввезення та вивезення товарів) допускається щодо наступних шифрувальних засобів:

1. Товари, що містять у своєму складі шифрувальні (криптографічні) засоби, що мають будь-яку з таких складових:

1) симетричний криптографічний алгоритм, який використовує криптографічний ключ довжиною, що не перевищує 56 біт;

2) асиметричний криптографічний алгоритм, заснований на будь-якому з наступних методів:

• розкладання на множники цілих чисел, розмір яких не перевищує 512 біт;
• обчислення дискретних логарифмів у мультиплікативній групі кінцевого поля, розмір якого не перевищує 512 біт;
• дискретний логарифм у групі кінцевого поля, відмінного від поля, зазначеного в абзаці третьому цього підпункту, розмір якого не перевищує 112 біт.

Примітки:

1. Біти парності не включаються до довжини ключа.

2. Термін «криптографія» не стосується фіксованих методів стиснення або кодування даних.

2. Товари, що містять шифрувальні (криптографічні) засоби, що мають такі обмежені функції:

1) автентифікація, що включає всі аспекти контролю доступу, де немає шифрування файлів або текстів, за винятком шифрування, яке безпосередньо пов'язане із захистом паролів, персональних ідентифікаційних номерів або подібних даних для захисту від несанкціонованого доступу;

2) електронний цифровий підпис (електронний підпис).

Примітка. Функції автентифікації та електронного цифрового підпису (електронного підпису) включають пов'язану з ними функцію розподілу ключів.

3. Шифрувальні (криптографічні) засоби, що є компонентами програмних операційних систем, криптографічні можливості яких не можуть бути змінені користувачами, які розроблені для встановлення користувачем самостійно без подальшої суттєвої підтримки постачальником та технічна документація (опис алгоритмів криптографічних перетворень, протоколи взаємодії, опис інтерфейсів тощо) д.) на які є доступною користувачеві.

4. Персональні смарт-картки (інтелектуальні карти):

1) криптографічні можливості яких обмежені їх використанням у категоріях товарів (продукції), зазначених у пунктах 5 – 8 цього переліку;

2) для широкого загальнодоступного застосування, криптографічні можливості яких недоступні користувачеві і які в результаті спеціальної розробки мають обмежені можливості захисту персональної інформації, що зберігається на них.

Примітка. Якщо персональна смарт-картка (інтелектуальна карта) може здійснювати кілька функцій, контрольний статус кожної функції визначається окремо.

5. Приймальна апаратура для радіомовлення, комерційного телебачення або аналогічна комерційна апаратура для мовлення на обмежену аудиторію без шифрування цифрового сигналу, крім випадків використання шифрування виключно для керування відео- або аудіоканалами, надсилання рахунків або повернення пов'язаної з програмою інформації провайдерам мовлення.

6. Устаткування, криптографічні можливості якого недоступні користувачеві, спеціально розроблене та обмежене для застосування будь-яким із наступних способів:

1) програмне забезпечення виконане у захищеному від копіювання вигляді;

2) доступом до будь-якого з наступного:

• захищеному від копіювання вмісту, що зберігається тільки на доступному для читання електронному носії інформації;
• інформації, що зберігається у зашифрованій формі на електронних носіях інформації, що пропонуються на продаж населенню в ідентичних наборах;

3) контроль копіювання аудіо- та відеоінформації, захищеної авторськими правами.

7. Шифрувальне (криптографічне) обладнання, спеціально розроблене та обмежене застосуванням для банківських чи фінансових операцій.

Примітка. Фінансові операції включають, у тому числі, збори та оплату за транспортні послуги та кредитування.

8. Портативні або мобільні радіоелектронні засоби цивільного призначення (наприклад, для використання в комерційних цивільних системах стільникового радіозв'язку), які не здатні до наскрізного шифрування (від абонента до абонента).

9. Бездротове радіоелектронне обладнання, що здійснює шифрування інформації тільки в радіоканалі з максимальною дальністю бездротової дії без посилення та ретрансляції менше 400 м відповідно до технічних умов виробника.

10. Шифрувальні (криптографічні) засоби, що використовуються для захисту технологічних каналів інформаційно-телекомунікаційних систем та мереж зв'язку.

11. Товари, криптографічна функція яких заблокована виробником.

12. Інші товари, які містять шифрувальні (криптографічні) засоби, відмінні від зазначених у пунктах 1 - 11 цього переліку, та відповідають наступним критеріям:

1) загальнодоступні для продажу населенню відповідно до законодавства держави-члена Євразійського економічного союзу без обмежень з наявного асортименту в місцях роздрібного продажу за допомогою будь-якого з наступних:

• продаж за готівку;
• продажі шляхом замовлення товарів поштою;
• електронних угод;
• продаж за телефонними замовленнями;

2) шифрувальні (криптографічні) функціональні можливості яких не можуть бути змінені користувачем у простий спосіб;

3) розроблені для встановлення користувачем без подальшої суттєвої підтримки постачальником;

4) технічна документація, що підтверджує, що товари відповідають вимогам підпунктів 1 — 3 цього пункту, розміщена виробником у вільному доступі та подається при необхідності виробником (особою, ним уповноваженою) узгоджувальному органу на його запит.

Діяльність у сфері криптографії біля Росії

Відповідно до Федерального закону «Про ліцензування окремих видів діяльності», практично всі види діяльності в галузі криптографії підлягають ліцензуванню.

З-під ліцензування виведено:

1. технічне обслуговування шифрувальних засобів, інформаційних систем та телекомунікаційних систем, захищених з використанням шифрувальних засобів, що здійснюється для забезпечення власних потреб юридичного лицячи індивідуального підприємця;

2. діяльність із використанням:

а) шифрувальних (криптографічних) засобів, призначених для захисту інформації, що містить відомості, що становлять державну таємницю (у разі ліцензування здійснюється у межах законодавства про державну таємницю);

б) шифрувальних (криптографічних) засобів, а також товарів, що містять шифрувальні (криптографічні) засоби, що реалізують або симетричний криптографічний алгоритм, що використовує криптографічний ключ довжиною, що не перевищує 56 біт, або асиметричний криптографічний алгоритм, заснований або на методі розкладання на множники розмір яких не перевищує 512 біт, або на методі обчислення дискретних логарифмів у мультиплікативній групі кінцевого поля розміру, що не перевищує 512 біт, або на методі обчислення дискретних логарифмів в іншій групі розміру, що не перевищує 112 біт;

в) товарів, що містять шифрувальні (криптографічні) засоби, які мають або функцію аутентифікації, що включає всі аспекти контролю доступу, де немає шифрування файлів або текстів, за винятком шифрування, яке безпосередньо пов'язане із захистом паролів, персональних ідентифікаційних номерів або подібних даних для захисту від несанкціонованого доступу або мають електронний підпис;

г) шифрувальних (криптографічних) засобів, що є компонентами програмних операційних систем, криптографічні можливості яких не можуть бути змінені користувачами, які розроблені для встановлення користувачем самостійно без подальшої суттєвої підтримки постачальником та технічна документація (опис алгоритмів криптографічних перетворень, протоколи взаємодії, опис інтерфейсів тощо) .д.) на які є доступною;

д) персональних смарт-карток (інтелектуальних карток), криптографічні можливості яких обмежені використанням в обладнанні або системах, зазначених у підпунктах «е» — «і» цього пункту, або персональних смарт-карток (інтелектуальних карток) для широкого загальнодоступного застосування, криптографічні можливості яких недоступні користувачеві та які в результаті спеціальної розробки мають обмежені можливості захисту персональної інформації, що зберігається на них;

е) приймальної апаратури для радіомовлення, комерційного телебачення або аналогічної комерційної апаратури для мовлення на обмежену аудиторію без шифрування цифрового сигналу, крім випадків використання шифрування виключно для керування відео- або аудіоканалами та надсилання рахунків або повернення інформації, пов'язаної з програмою, провайдерам мовлення;

ж) обладнання, криптографічні можливості якого недоступні користувачеві, спеціально розробленого та обмеженого для здійснення наступних функцій:

• виконання програмного забезпечення у захищеному від копіювання вигляді;
• забезпечення доступу до захищеного від копіювання вмісту, що зберігається тільки на доступному для читання носії інформації, або доступу до інформації, що зберігається у зашифрованій формі на носіях, коли ці носії інформації пропонуються на продаж населенню в ідентичних наборах;
• контроль копіювання аудіо- та відеоінформації, захищеної авторськими правами;

з) шифрувального (криптографічного) обладнання, спеціально розробленого та обмеженого застосуванням для банківських або фінансових операцій у складі терміналів одиничного продажу (банкоматів), POS-терміналів та терміналів оплати різного виду послуг, криптографічні можливості яких не можуть бути змінені користувачами;

і) портативних або мобільних радіоелектронних засобів цивільного призначення (наприклад, для використання в комерційних цивільних системах стільникового радіозв'язку), які не здатні до наскрізного шифрування (тобто від абонента до абонента);

к) бездротового обладнання, що здійснює шифрування інформації тільки в радіоканалі з максимальною дальністю бездротової дії без посилення та ретрансляції менше 400 м відповідно до технічних умов виробника (за винятком обладнання, що використовується на критично важливих об'єктах);

л) шифрувальних (криптографічних) засобів, що використовуються для захисту технологічних каналів інформаційно-телекомунікаційних систем та мереж зв'язку, що не належать до критично важливих об'єктів;

м) товарів, у яких криптографічна функція гарантовано заблокована виробником.

До шифрувальних (криптографічних) засобів(засобами криптографічного захисту інформації), включаючи документацію на ці кошти, відносяться:

а) засоби шифрування - апаратні, програмні та програмно-апаратні шифрувальні (криптографічні) засоби, що реалізують алгоритми криптографічного перетворення інформації для обмеження доступу до неї, у тому числі при її зберіганні, обробці та передачі;

б) засоби імітозахисту - апаратні, програмні та програмно-апаратні шифрувальні (криптографічні) засоби (за винятком засобів шифрування), що реалізують алгоритми криптографічного перетворення інформації для її захисту від нав'язування хибної інформації, у тому числі захисту від модифікування, для забезпечення її достовірності та некоректованості , а також забезпечення можливості виявлення змін, імітації, фальсифікації чи модифікації інформації;

в) кошти електронного підпису;

г) засоби кодування - засоби шифрування, в яких частина криптографічних перетворень інформації здійснюється з використанням ручних операцій або з використанням автоматизованих засобів, призначених для виконання таких операцій;

д) засоби виготовлення ключових документів - апаратні, програмні, програмно-апаратні шифрувальні (криптографічні) засоби, що забезпечують можливість виготовлення ключових документів для шифрувальних (криптографічних) засобів, що не входять до складу цих шифрувальних (криптографічних) засобів;

е) ключові документи - електронні документина будь-яких носіях інформації, а також документи на паперових носіях, які містять ключову інформацію обмеженого доступудля криптографічного перетворення інформації з використанням алгоритмів криптографічного перетворення інформації (криптографічний ключ) у шифрувальних (криптографічних) засобах;

ж) апаратні шифрувальні (криптографічні) засоби - пристрої та їх компоненти, у тому числі містять ключову інформацію, що забезпечують можливість перетворення інформації відповідно до алгоритмів криптографічного перетворення інформації без використання програм для електронних обчислювальних машин;

з) програмні шифрувальні (криптографічні) засоби — програми для електронних обчислювальних машин та їх частини, у тому числі такі, що містять ключову інформацію, що забезпечують можливість перетворення інформації відповідно до алгоритмів криптографічного перетворення інформації в програмно-апаратних шифрувальних (криптографічних) засобах, інформаційних системах та телекомунікаційних системах, захищених із використанням шифрувальних (криптографічних) засобів;

і) програмно-апаратні шифрувальні (криптографічні) засоби - пристрої та їх компоненти (за винятком інформаційних систем та телекомунікаційних систем), у тому числі містять ключову інформацію, що забезпечують можливість перетворення інформації відповідно до алгоритмів криптографічного перетворення інформації з використанням програм для електронних обчислювальних машин призначених для здійснення цих перетворень інформації або їх частини.

Ліцензування діяльності, визначеної цим Положенням, здійснюється ФСБ Росії (далі - орган, що ліцензує).

Основними ліцензійними вимогамиє:

а) наявність умов дотримання конфіденційності інформації, необхідні виконання робіт і надання послуг, складових ліцензовану діяльність, відповідно до вимог дотримання конфіденційності інформації, встановленими Федеральним законом «Про інформацію, інформаційних технологійта про захист інформації»;

б) наявність у претендента ліцензії (ліцензіата) допуску до виконання робіт та надання послуг, пов'язаних з використанням відомостей, що становлять державну таємницю (якщо допуск до державної таємниці необхідний для планованих видів робіт та послуг, наприклад, при розробці криптосредств);

в) наявність у штаті у претендента ліцензії (ліцензіата) кваліфікованого персоналу, вимоги до досвіду роботи та освіти яких також варіюються залежно від запланованого заявником виду діяльності. Так, для продажу криптосредств потрібні працівники, які мають вищу або середню професійну освіту за напрямом підготовки Інформаційна безпека» відповідно до Загальноросійського класифікатора спеціальностей та (або) які пройшли перепідготовку за однією зі спеціальностей цього напряму (нормативний термін — понад 100 аудиторних годин). Для розробки криптозасобів, навпаки, потрібні працівники, які мають вищу професійну освіту за напрямом підготовки «Інформаційна безпека» відповідно до Загальноросійського класифікатора спеціальностей та (або) пройшли перепідготовку за однією зі спеціальностей цього напряму (нормативний термін — понад 1000 аудиторних годин), а також мають стаж у сфері виконуваних робіт у межах ліцензованої діяльності щонайменше 5 років.

г) подання претендентом ліцензії (ліцензіатом) до ліцензуючого органу переліку шифрувальних (криптографічних) коштів, у тому числі іноземного виробництва, які не мають сертифіката Федеральної служби безпеки Російської Федерації, технічної документації, що визначає склад, характеристики та умови експлуатації цих засобів, та (або) зразків шифрувальних (криптографічних) засобів.