Вступил в силу указ президента РФ "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации."
Указ вызвал в СМИ некоторый переполох: Федеральное агентство правительственной связи и информации, дескать, получило в руки инструменты для контроля за конфиденциальной коммерческой информацией. Однако, по нашему мнению, беспокоиться пока не стоит. Преимущественно в силу изрядной дремучести указа. А речь, если переводить все, сказанное указом, в сугубо практическую полскость, идет о том, что...
Во-первых, государственным организациям и предприятиям запрещается использовать в информационно-телекоммуникационных системах "шифровальные средства, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенные технические средства хранения, обработки и передачи информации, не имеющие сертификата (курсив наш. — Ъ) Федерального агентства правительственной связи и информации". Равным образом запрещено размещать на предприятиях (видимо, всех видов собственности), таки пользующихся несертифицированным оборудованием, госзаказ. Тут особо говорить нечего: казенное, оно казенное и есть, государство вольно обороняться как ему заблагорасудится.
Во-вторых, ЦБР и ФАПСИ предложено "принять необходимые меры" в отношении коммерческих банков, использующих гонимое оборудование при сношениях с Центробанком. Наша попытка получить какой-либо вразумительный комментарий к этому пункту от банкиров пока успехом не увенчалась.
В-третьих, запрещена деятельность не только всех юридических, но и всех физических лиц, если она связана с разработкой, производством, реализацией и эксплуатацией вышеозначенных средств, а также предоставлением услуг в области шифрования информации без лицензии ФАПСИ.
И вот здесь начинается самое, на наш взгляд, интересное. Забегая вперед, зарезервируем себе — в силу общей и уже упомянутой дремучести указа — право на его, скажем так, недопонимание. А в ФАПСИ от комментариев воздерживаются. Вероятно, в ожидании "подуказных" инструкций.
"Селедку помимо водки?.."
Итак, пункт "в-третьих": эксплуатация любых "секретящих" средств запрещена вовсе, если нет соответствующей лицензии ФАПСИ. Представляется маловероятным, чтобы ФАПСИ выдавало такую лицензию как карт-бланш на использование любых средств. Уж скорее лицензия будет выдаваться в комплекте с разрешением использовать только и исключительно сертифицированную ФАПСИ технику. А значит, использование всеми и вся в том числе и "защищенных технических средств хранения, обработки и передачи информации" помимо ФАПСИ запрещено.
Возникает вопрос: может ли какое бы то ни было российское лицо, физическое или юридическое, пользоваться несертифицированной в (закрытой для...) ФАПСИ программой защиты доступа к своим базам данных? Похоже, согласно тексту указа, нет. С компьютеров придется убрать все программные и аппаратные средства защиты от несанкционированного доступа. Например, Norton Utilities. Да что там Norton — операционная система Novell Netware, под управлением которой в России работает больше половины локальных компьютерных сетей, тоже содержит в себе некоторые криптографические средства.
Более того, в том виде, в каком сформулирован этот пункт указа, запрет распространяется, например, на весьма популярные в России японские беспроводные телефоны: они, как правило, содержат простейшие криптографические средства защиты от радиоперехвата. А значит, их использование теперь незаконно — вплоть до момента обретения сертификата ФАПСИ на этот шифровальный прибор.
Стремясь подтвердить свои предположения, мы обратились к специалистам.
Анатолий Лебедев, глава московской фирмы "Лан Крипто": На самом деле, деятельность, связанная с шифровальными средствами, услугами по шифрованию информации и выявлению электронных устройств перехвата информации подлежит лицензированию в ФАПСИ еще с 24 декабря 1994 года, согласно постановлению правительства #1418. Насколько мне известно, к настоящему моменту такие лицензии имеют лишь две--три организации, созданные при непосредственном участии ФАПСИ либо входившие ранее в число государственных спецструктур. Остальные заявители пока терпеливо ждут своей очереди. Так что указ в своем 4-м пункте добавляет немного нового.
Ъ: Оправданы ли высказанные некоторыми СМИ опасения по поводу того, что новый указ существенно расширит возможности спецслужб по контролю за конфиденциальной информацией?
А. Л.: На основании тех официальных документов, которые выпущены на сегодняшний день, впадать в истерику, на мой взгляд, преждевременно.
Ъ: Вводимые указом запреты служат, по тексту, целям "информационной безопасности" страны и "усиления борьбы с организованной преступностью". Что, на ваш взгляд, тут имеется в виду?
Владимир Анашин, декан факультета защиты информации РГГУ: Наверное, подразумевается лишение бандитов возможности тайного обмена информацией. Но я полагаю, что все необходимое оборудование, например, для конфиденциальных телефонных переговоров, у "организованной преступности" уже есть, и оно будет поступать дальше по традиционным для этой среды каналам. И запрет на ввоз такого оборудования создаст проблемы бизнесменам, но никак не бандитам.
Ъ: Собираетесь ли вы обращаться в ФАПСИ за лицензией для продолжения своей научной работы, которая имеет отношение к криптографии?
В. А.: Согласно президентскому указу, я просто обязан это сделать. Вот только не знаю, какие документы собирать.
Как нетрудно заметить, в этих ответах также проскальзывает некоторая конфузия. Снять ее, судя по информации из Центра президентских программ, может "Программа создания и развития информационно-телекоммуникационной системы специального назначения в интересах органов государственой власти", разработка которой должна завершиться в ближайшее время.
------------------------------------------------------
Запрещена деятельность любых лиц, если она связана с разработкой, производством, реализацией и эксплуатацией шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись) и защищенные технические средства хранения, обработки, передачи информации без лицензии ФАПСИ.
-------------------------------------------------------
Андрей Галиев, Дмитрий Людмирский