Внедрение в Центральном банке России ряда коммерческих криптографических систем — программ шифрования и электронной цифровой подписи (ЭЦП) — недавно было приостановлено по рекомендации сертифицирующей организации — Федерального агентства правительственной связи и информации (ФАПСИ). Поскольку законодательная база применения ЭЦП в России до конца еще не отрегулирована (закон "Об информации, информатизации и защите информации" пока не принят), частные фирмы не всегда довольны действиями агентства, до сих пор никому не выдавшего сертификата. Тем временем отечественные системы шифрования и ЭЦП уже начинают предлагать на внешнем рынке. В частности, на завершившейся в пятницу в Мюнхене компьютерной выставке Systems`93 демонстрировались и вызывали интерес у потенциальных покупателей криптографические программные продукты московской фирмы "Лан Крипто". Возможность экспорта из России программ шифрования и ЭЦП — одна из проблем, связанных со становлением российского рынка криптосистем. Сегодня Ъ рассказывает о перспективах этого рынка.
Российские разработки привлекают внимание иностранцев
Причин, побуждающих покупателей из стран третьего мира (именно они уделили стенду "Лан Крипто" наибольшее внимание) интересоваться российскими криптосистемами, по-видимому, три: авторитет отечественной школы криптографии со времен КГБ, низкие цены, а также жесткие ограничения на экспорт криптографической продукции из США, установленные Агентством национальной безопасности (АНБ). Согласно информации, предоставленной московской фирмой "Партнер-Ц", на АНБ в Америке оказывают сильное давление фирмы-производители с целью смягчить ограничения. Аргумент — возможное снижение конкурентоспособности продукции США на мировом "криптографическом" рынке, который на ближайшие 5 лет оценивается в $3-5 млрд. Но АНБ не торопится: попадание надежных криптосистем в нестабильные страны или к международным террористам сулит ему новые хлопоты.
Российские ЭЦП за пределы бывшего СССР не продаются
Не следует ожидать и быстрого распространения по миру отечественных криптографических разработок: их экспорт находится под контролем ФАПСИ — организации, решающей сходные с АНБ задачи и вряд ли более либеральной.
ФАПСИ образовано в 1991 году. Занимается эксплуатацией и обеспечением безопасности правительственной связи, сбором специальной информации для высших органов государственной власти. Среди ученых, работающих в научно-исследовательских учреждениях и организациях ФАПСИ, более 300 докторов наук.
Однако прецеденты продажи российских систем ЭЦП за рубеж имеются: в РКЦ Банка Эстонии установлена разработанная ФАПСИ ЭЦП "Маг", в Туранбанке (Казахстан) — программный пакет "Криптобанк" фирмы "Лан Крипто". Продаж ЭЦП за пределы территории бывшего СССР пока не было.
Сейчас ФАПСИ работает над стандартом ЭЦП для России и всего бывшего СССР. Как ожидается, этот стандарт будет готов к середине 1994 года, а его действие распространится на все Содружество. Другой вариант стандарта ЭЦП, близкий к американскому, предлагает фирма "Лан Крипто". Пока же применение ЭЦП еще не полностью регулируется законодательством, так что проблемы с использованием отечественных ЭЦП возникают и в России.
ФАПСИ обеспечивает защиту информации в ЦБ
Полтора-два года назад, когда на российском рынке впервые появились криптографические средства, ФАПСИ практически никак не влияло на рыночную ситуацию, хотя его представители и предлагали ввести обязательное лицензирование и сертификацию криптографической продукции (см. Ъ от 18 декабря 1992 года).
В начале 1993 года на ФАПСИ была законодательно возложена задача обеспечения криптографической защиты информации в госорганизациях, в том числе в Центробанке. Поэтому когда в ЦБ началось внедрение коммерческих систем шифрования и ЭЦП (см. Ъ от 24 июля и 4 сентября), агентство изучило их на предмет соответствия своему сертификату.
Специалисты ФАПСИ обнаружили ряд серьезных недостатков в ЭЦП "Блиц" московской фирмы "Блиц Лтд", и сертификата ей выдано не было. Кроме того, ЦБ получил рекомендацию не использовать систему "Нотариус" фирмы "Лан Крипто", однако причин этого представители агентства корреспонденту Ъ не сообщили. После случая с ЭЦП "Блиц" председатель ЦБ Виктор Геращенко утвердил стандарт ЭЦП, предложенный ФАПСИ. Теперь любая ЭЦП под электронным документом, поступающим в ЦБ, должна соответствовать утвержденному стандарту.
По информации ФАПСИ, цифровая подпись, отвечающая новому стандарту, агентством уже разработана. До конца 1993 года ФАПСИ намерено оснастить своими системами все основные областные ГРКЦ, а в будущем году — большинство региональных отделений ЦБ (Ъ намерен информировать о ходе реализации этих планов).
Ассортимент российских ЭЦП не отличается разнообразием
Как показал недавний семинар в Академии народного хозяйства, спрос на ЭЦП со стороны банков СНГ довольно высок. В частности, по информации "Лан Крипто", ее банковскими криптографическими программами пользуется уже более 200 потребителей. Порядка 150 экземпляров ЭЦП "Маг" реализовали московские фирмы "Оверком" и "Стентор". Однако разнообразием предложение на рынке ЭЦП не отличается. Подписывание электронных документов ЭЦП предусматривается также в системе "клиент-банк" фирмы "Сигнал-РОКС". Другие разработки сравнительно малоизвестны.
По-видимому, желание расширить предложение на рынке и побудило ФАПСИ в конце прошлого года передать цифровую подпись "Маг" АО "Оверком" для продвижения на рынок. Правда, при этом оказывается, что агентство выполняет сразу несколько функций, совмещать которые, по мнению экспертов, некорректно — разработку стандартов на средства криптозащиты, сертификацию и лицензирование, производство и реализацию собственных криптосистем.
Равные условия пойдут на пользу всем
Возможный выход из этой непростой ситуации предлагают в аппарате Государственной технической комиссии России — структуры, отвечающей за комплексную защиту информации в государственных организациях. В Гостехкомиссии считают, что Федеральному агентству следует выполнить ряд формальных процедур. Например, открыто объявить сертификационную лабораторию, фамилию ее руководителя, обнародовать условия получения сертификата. Тогда деятельность сертифицирующей инстанции будет рассматриваться как самостоятельная, и кроме того, разработчики смогут еще до обращения в ФАПСИ проверить свои изделия на соответствие стандарту.
В самом же ФАПСИ убеждены, что нормальному развитию рынка деятельность агентства не препятствует. Все задачи, которые решает ФАПСИ, определены президентскими указами и законами. Следовательно, у агентства нет необходимости проводить какую-то особую политику на рынке. К тому же перед ним стоят и другие, не менее важные и более привычные задачи.
Что же касается задачи разработки стандартов и требований к ЭЦП, эксперты сходятся в следующем: эти требования должны быть открытыми и равными для всех — госструктур, частных российских компаний и иностранных фирм, действующих в сфере банковской автоматизации.
АРТУР Ъ-МАСКИН