VPN ГОСТ в программе «Цифровая Экономика»
Задачи и структура документа
Программа была подготовлена Минкомсвязи во исполнение перечня поручений Президента России по реализации Послания Федеральному Собранию (№Пр-2346 от 5 декабря 2016 года).
Программой определены цели, задачи, направления и сроки реализации основных мер государственной политики по созданию необходимых условий для развития в России цифровой экономики.
Основными сквозными цифровыми технологиями, которые входят в рамки настоящей Программы, являются:
• большие данные;
• нейротехнологии и искусственный интеллект;
• системы распределенного реестра;
• квантовые технологии;
• новые производственные технологии;
• промышленный интернет;
• компоненты робототехники и сенсорика;
• технологии беспроводной связи;
• технологии виртуальной и дополненной реальностей.
Предусматривается изменение перечня технологий по мере появление и развития новых.
В целях управления развитием цифровой экономики настоящая Программа определяет цели и задачи в рамках 5 базовых направлений развития цифровой экономики в Российской Федерации на период до 2024 года. К базовым направлениям относятся:
• нормативное регулирование,
• кадры и образование,
• формирование исследовательских компетенций и технических заделов,
• информационная инфраструктура,
• информационная безопасность.
Центр компетенций по информационной безопасности в рамках программы будет создан при Сбербанке.
В программе для каждого направления обозначена дорожная карта в формате «задача — веха — срок »
Криптография
Курс на импортозамещение и отечественную криптографию указан уже в общей части:
Разработка и реализация мероприятий настоящей Программы базируется на основополагающих принципах информационной безопасности, включающих:
• использование российских технологий обеспечения целостности, конфиденциальности, аутентификации и доступности передаваемой информации и процессов ее обработки;
• преимущественное использование отечественного программного обеспечения и оборудования;
• применение технологий защиты информации с использованием российских криптографических стандартов.
Далее это отражено в дорожной карте.
Имеются ввиду криптоалгоритмы ГОСТ, но пункт неоднозначный. Так как сертифицируются не криптографические алгоритмы, а средства криптографической защиты информации (СКЗИ), в которых эти алгоритмы используют. И соответствующая статья про их неиспользование в КоАП РФ уже есть:
КоАП РФ, Статья 13.6. Использование средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям
1. Использование в сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законодательством предусмотрена их обязательная сертификация, — влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на должностных лиц — от пятнадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на юридических лиц — от шестидесяти тысяч до трехсот тысяч рублей с конфискацией несертифицированных средств связи либо без таковой.
Также в документе указана конкретика по срокам перехода на отечественные криптоалгоритмы:
Срок достаточно сжатый, c нынешней практикой и нормативной базой верится в него с трудом. Например, web ресурсы не спешат переходить на использование защищенного доступа с отечественными алгоритмами. Технические работающие варианты (браузер + криптобиблиотека) не легитимны, так как ни на одном браузере не проведена оценка корректности встраивания. Возможный выход из ситуации — так называемая гражданская криптография, для которой бы не требовался жесткий учет.
ЕАЭС
Работа с нормативной базой ЕАЭС – отдельная задача с множеством пунктов.
Надеюсь, что реализация этих планов приведет к взаимному признанию на межгосударственном уровне сертификатов соответствия средств защиты участниками ЕАЭС. Это позволит строить единое пространство доверия (оно также указано в сопутствующих пунктах) и обеспечить унификацию межгосударственных взаимодействий. Напомню, что сейчас вывезти СКЗИ за границу РФ не так просто, но возможно.
Что еще интересного?
1) В документе упоминаются квантовые технологии. В привязке к VPN можно рассматривать квантовое распределение ключевой информации. Сейчас уже есть прототипы от нескольких компаний.
2) Много внимания уделяется ЦОД. Планируется российская сертификация ЦОД, которая может поставить крест на Tier и отправке всей информации о ЦОД за рубеж (требование данной сертификации). Также предусмотрено увеличения количества ЦОД в федеральных округах с 2 до 8 и создание государственной облачной платформы с постепенным переходом на неё госструктур.
3) Введение ГТО по ИБ. Выполнил нормативы — получил преференцию (например, при поступлении в ВУЗ).
PS Текст программы доступен по ссылке