VPN ГОСТ в программе «Цифровая Экономика»

Распоряжением №1632-р от 28 июля 2017 года Медведев утвердил программу «Цифровая Экономика РФ». Спустя два с небольшим месяца рассмотрим место отечественной криптографии в этом документе.

Задачи и структура документа

Программа была подготовлена Минкомсвязи во исполнение перечня поручений Президента России по реализации Послания Федеральному Собранию (№Пр-2346 от 5 декабря 2016 года).

Программой определены цели, задачи, направления и сроки реализации основных мер государственной политики по созданию необходимых условий для развития в России цифровой экономики.

Основными сквозными цифровыми технологиями, которые входят в рамки настоящей Программы, являются:

• большие данные;
• нейротехнологии и искусственный интеллект;
• системы распределенного реестра;
• квантовые технологии;
• новые производственные технологии;
• промышленный интернет;
• компоненты робототехники и сенсорика;
• технологии беспроводной связи;
• технологии виртуальной и дополненной реальностей.
Предусматривается изменение перечня технологий по мере появление и развития новых.

В целях управления развитием цифровой экономики настоящая Программа определяет цели и задачи в рамках 5 базовых направлений развития цифровой экономики в Российской Федерации на период до 2024 года. К базовым направлениям относятся:

• нормативное регулирование,
• кадры и образование,
• формирование исследовательских компетенций и технических заделов,
• информационная инфраструктура,
• информационная безопасность.

Центр компетенций по информационной безопасности в рамках программы будет создан при Сбербанке.

В программе для каждого направления обозначена дорожная карта в формате «задача — веха — срок »

Криптография

Курс на импортозамещение и отечественную криптографию указан уже в общей части:

Разработка и реализация мероприятий настоящей Программы базируется на основополагающих принципах информационной безопасности, включающих:

• использование российских технологий обеспечения целостности, конфиденциальности, аутентификации и доступности передаваемой информации и процессов ее обработки;

• преимущественное использование отечественного программного обеспечения и оборудования;

• применение технологий защиты информации с использованием российских криптографических стандартов.

Далее это отражено в дорожной карте.

Имеются ввиду криптоалгоритмы ГОСТ, но пункт неоднозначный. Так как сертифицируются не криптографические алгоритмы, а средства криптографической защиты информации (СКЗИ), в которых эти алгоритмы используют. И соответствующая статья про их неиспользование в КоАП РФ уже есть:

КоАП РФ, Статья 13.6. Использование средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям

1. Использование в сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законодательством предусмотрена их обязательная сертификация, — влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на должностных лиц — от пятнадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на юридических лиц — от шестидесяти тысяч до трехсот тысяч рублей с конфискацией несертифицированных средств связи либо без таковой.

Также в документе указана конкретика по срокам перехода на отечественные криптоалгоритмы:

Срок достаточно сжатый, c нынешней практикой и нормативной базой верится в него с трудом. Например, web ресурсы не спешат переходить на использование защищенного доступа с отечественными алгоритмами. Технические работающие варианты (браузер + криптобиблиотека) не легитимны, так как ни на одном браузере не проведена оценка корректности встраивания. Возможный выход из ситуации — так называемая гражданская криптография, для которой бы не требовался жесткий учет.

ЕАЭС

Работа с нормативной базой ЕАЭС – отдельная задача с множеством пунктов.

Надеюсь, что реализация этих планов приведет к взаимному признанию на межгосударственном уровне сертификатов соответствия средств защиты участниками ЕАЭС. Это позволит строить единое пространство доверия (оно также указано в сопутствующих пунктах) и обеспечить унификацию межгосударственных взаимодействий. Напомню, что сейчас вывезти СКЗИ за границу РФ не так просто, но возможно.

Что еще интересного?

1) В документе упоминаются квантовые технологии. В привязке к VPN можно рассматривать квантовое распределение ключевой информации. Сейчас уже есть прототипы от нескольких компаний.

2) Много внимания уделяется ЦОД. Планируется российская сертификация ЦОД, которая может поставить крест на Tier и отправке всей информации о ЦОД за рубеж (требование данной сертификации). Также предусмотрено увеличения количества ЦОД в федеральных округах с 2 до 8 и создание государственной облачной платформы с постепенным переходом на неё госструктур.

3) Введение ГТО по ИБ. Выполнил нормативы — получил преференцию (например, при поступлении в ВУЗ).

PS Текст программы доступен по ссылке

Поделиться:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *