27 август 2020
Либертариум Либертариум

Криптография на рынке

Леонид Виноградов, "Мир карточек", # 17/97, октябрь 1997г.

12.12.1999
До начала 90-х гг. средства шифрования или криптозащиты информации использовались только в интересах государственных органов, а их разработки была прерогативой специальных служб и немногих специализированных государственных предприятий. Любые работы в области криптозащиты информации проводились на основании утвержденных Правительством специальных секретных нормативных актов, полностью регламентировавших порядок заказа, разработки, производства и эксплуатации шифровальных средств. Сведения о них были строго засекречены. Даже простое упоминание об этих средствах в открытых публикациях было запрещено. Коммерческих структур, предлагающих на рынке шифровальные средства, не существовало, мысль же о том, что частное лицо тоже имеет право на защиту информации, никому и в голову не приходила.

С развитием предпринимательства расширение использования средств криптозащиты стало неизбежным -- информационная безопасность стала неотъемлемой частью безопасности бизнеса. В 1991--1992 гг. начал формироваться рынок криптографических услуг, и в Москве появилось около двадцати специализированных предприятий. Произошел типичный для России переход от одной крайности к другой. На протяжении нескольких лет рынок развивался стихийно (как, впрочем, и весь российский бизнес), так как никаких нормативных актов, регламентирующих защиту информационных прав негосударственных организаций и отдельных граждан, не существовало. Ситуация требовала разрешения, и в декабре 1994 г. было принято постановление Правительства " 1418 "О лицензировании отдельных видов деятельности". Постановление распространяет механизм обязательного лицензирования на все виды деятельности в области криптографической защиты информации независимо от ее характера и степени секретности, а также на всех субъектов этой деятельности независимо от их организационно-правовой формы (включая и физических лиц).

Наследство социализма или порождение рынка?

Вмешательство государства в "дела шифровальные" выглядит вполне закономерно, в то же время форма этого вмешательства вызывает весьма скептическое отношение многих специалистов.

Анатолий Лебедев, генеральный директор компании "ЛАН-Крипто": "В Гражданском кодексе РФ сказано, в частности, что лицензирование любых видов деятельности должно быть определено в законе. С середины декабря 1994 г. кодекс действует. В конце того же декабря было принято постановление Правительства "1418 "О лицензировании всех ви-дов деятельности", создавшее своеобразную коллизию: два вида деятельности -- частная юридическая и деятельность, связанная с шифровальными средствами, по постановлению лицензируются, а позакону -- нет".

Подобные "коллизии" сегодня не редкость. Разработкой Гражданского кодекса занимались юристы советской "закваски". Работая над ним, они, естественно, не могли учесть всех реалий рыночной России. Нет ничего удивительного в том, что именно деятельность, связанная со средствами криптозащиты, не попала в список обязательно лицензируемых. Здесь мы имеем дело с неизбежными недоработками первопроходцев.

Усугубил противоречия и подписанный 3 апреля 1995 г. указ Президента РФ " 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации", запрещающий любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, предоставлением услуг в области шифрования информации, без лицензии Федерального агентства правительственной связи и информации (ФАПСИ). Пункты 2 и 3 данного документа устанавливают обязательное использование исключительно сертифицированных средств защиты информации во всех государственных структурах, в том числе и в государственных банках Российской Федерации, на предприятиях, работающих по государственному заказу, а также в организациях, информационно взаимодействующих с Центральным банком России и его структурными подразделениями. Таким образом, обязательность сертификации распространяется теперь не только на средства защиты информации, составляющей государственную тайну, но и на средства защиты любой государственно значимой информации независимо от грифа секретности. Кроме того, указ формирует механизм реализации перечисленных выше законодательных актов, возлагая ответственность за их выполнение на ФАПСИ, а также правоохранительные, таможенные и налоговые органы страны.

Появление упомянутого указа вызвало бурное недовольство делового, и прежде всего банковского, сообщества России,поскольку сосредоточило все полномочия в сфере использования средств криптозащиты в руках ФАПСИ.

Владимир Лопатин, председатель подкомитета по защите информации Государственной Думы РФ: "На сегодняшний день выдано порядка семидесяти лицензий и около тридцати сертификатов на отечественные средства защиты. По всей видимости, их могло бы быть гораздо больше. Мне кажется, проблема упирается в несовершенство законодательства, в котором сказано, что ФАПСИ определяет порядок и организует выдачу лицензий и сертификатов. Так как в законе не расписана процедура проведения аттестации, лицензирования, сертификации, то эту процедуру своим подзаконным актом определяет ФАПСИ".

Отныне ФАПСИ, будучи органом исполнительной власти, имеет возможность самостоятельно дополнять закон -- таково первое, кажущееся на первый взгляд чисто формальным, противоречие, созданное указом " 334. По мнению некоторых представителей государства, именно оно оказывает непосредственное влияние на формирование рынка средств криптозащиты в настоящее время.

Владимир Лопатин: "На сегодняшний день сложилась ситуация, о которой говорили участники недавно прошедшей секции международного конгресса "За безопасность предпринимательства": ФАПСИ создает достаточно льготные условия аттестации и сертификации, но лишь тем поставщикам средств защиты информации, которые имеют с ним договорные отношения, ставя в неравное положение другие структуры. Наиболее смелые утверждали, что мы имеем дело со своеобразным видом взятки: чтобы получить лицензию, нужно заплатить определенную сумму в долларовом выражении. Кстати, та же операция на Западе стоит в несколько раз дешевле. Если бы эта процедура была четко определена законодателями, подобных коллизий не возникало бы".

Законодатель обязан думать о несовершенствах существующих законов и стремиться эти несовершенства исправлять. Наше законодательство, как известно, формируется такими черепашьими темпами, что вряд ли в обозримом будущем сможет поспевать за развитием рынка. По словам г-на Лопатина, сейчас готовится новая редакция закона о ФАПСИ, а закон о лицензировании проходит стадию рассмотрения в Государственной Думе. Жизненно важно ускорить их подготовку и рассмотрение. Может быть, представители власти законодательной (извечно конфликтующей у нас с властью исполнительной) сгущают краски, и описываемая ими ситуация с лицензированием не имеет места, а только теоретически возможна при имеющемся несовершенном законодательстве? Один из сотрудников агентства, не пожелавший быть представленным читателям, высказался по обсуждаемой проблеме так:

"Сертификат на средства криптозащиты, так же, как на любой товар народного потребления (холодильник, пылесос и т. д.), дается для того, чтобы подтвердить их качество. Государство тем самым гарантирует потребителю, что товар соответствует определенным стандартам. Сертификация -- это прежде всего инструмент защиты прав потребителя. Мы проверяли множество средств, которые сейчас заполнили рынок, и выяснили, что они не обеспечивают никакой секретности информации.

Не являясь специалистом, вы покупаете черный ящик. Вы же хотите знать, насколько он отвечает вашим потребительским требованиям. Естественно, определить степень его надежности могут только специалисты. Поэтому и проводятся сертификационные испытания.
Мы выдаем сертификаты не навсегда, а на определенный срок, по истечении которого разработчики обязаны заново представить свою продукцию на оценку. Это обусловлено непрерывным появлением новых разработок, и мы не уверены, что средство криптозащиты, гарантирующее безопасность информации сегодня, будет соответствовать нашим требованиям через, допустим, три года. Наука и техника не стоят на месте".

Приведенные аргументы типичны для представителей ФАПСИ всех уровней. Они, как видите, просты и понятны, хотя и не выдерживают критики.

Причины коллизий лежат не только (и не столько) в несовершенстве законодательства и, как нам кажется, далеко не в коррумпированности чиновников ФАПСИ. Проблема заключается скорее не в том, что злополучный указ противоречит выросшему из советских времен Гражданскому кодексу, а в том, что полномочия оценки качества средств шифрования оказались в руках старейшего в России производителя этих средств, наравне с другими участниками рынка, заинтересованными в распространении своих продуктов среди коммерческих структур. Стремительный переход к капитализму заметно сократил поток инвестиций в новые разработки, выполняемые в рамках ФАПСИ и его дочерних организаций. Оказавшись в подобной ситуации, агентство пытается наладить реализацию собственных шифровальных средств через коммерческие структуры, способные, с одной стороны, довести отдельные чисто научные разработки до стадии рыночных продуктов, и, с другой стороны, эти продукты реализовать. Само же агентство не только не имеет (и не имело) специалистов в области коммерческой реализации интеллектуальной продукции, но и никогда не преследовало цели создания такой (коммерческой) продукции. Огромный интеллектуальный потенциал ФАПСИ (о чем свидетельствует, например, тот факт, что большинство нынешних конкурентов агентства вышло из его же недр) реализовывался и продолжает реализовываться лишь в чисто научных разработках, не имеющих рыночной цены.

Любая независимая коммерческая компания, предлагающая средства криптозащиты на рынке, является прямым конкурентом федерального агентства. Сертификация шифровальных средств, а точнее эксклюзивное право на нее, которым, в силу несовершенства законодательства и иных причин, владеет ФАПСИ, -- идеальное орудие конкурентной борьбы. Прямые обвинения в несправедливой конкуренции, часто бросаемые в адрес агентства, оказываются бесполезными: формально ФАПСИ не получает прямых доходов от продажи криптосредств на основе его разработок. Суть, тем не менее, остается прежней. Следуя аналогиям, предложенным сотрудником агентства, пожелавшим остаться неизвестным, можно предположить, например, такую ситуацию: фирме SONY дали эксклюзивное право на сертификацию телевизоров, продающихся в российских магазинах, а потребителям настойчиво порекомендовали не покупать телевизоры без сертификата. Смешно, не правда ли?

Мнения специалистов, работающих в области защиты информации, весьма интересны.

Политика ФАПСИ глазами участников рынка

Анатолий Лебедев: "ФАПСИ проводит политику жесткого монополиста: дескать, есть доверенные фирмы, и только они предлагают потребителю качественные средства криптозащиты. Несколько моих знакомых обращались в ФАПСИ по вопросу получения лицензии. Ни разу не шел разговор о том, что они, будут что-то производитъ как лицензианты. Им предлагалось быть максимум субподрядчикам."

Микаэл Горский, Московская аналитическая группа: "Политика, которую проводит ФАПСИ в области лицензирования, явно жесткая, а технические средства, предлагаемые им далеки от совершенства".

Как мы уже отмечали, ФАПСИ не способно создать коммерчески полноценный продукт просто потому, что перед ним никогда не ставилось такой задачи. За последние годы сделан большой шаг вперед: многие разработки, начатые в ФАПСИ, "доведены до ума" его коммерческими партнерами. По отношению же к конкурентам агентство было и остается непримиримым, хотя ввиду того же несовершенства законодательства не в состоянии оказать на них реального силового воздействия.

Второго сентября 1996 г. в Московском арбитражном суде было заслушано дело по иску городской прокуратуры о ликвидации ЗАО "Сигнал-КОМ" с привлечением в качестве третьего лица ФАПСИ. Фирме инкриминировалось предоставление криптографических услуг без лицензии Федерального агентства. Суд отказал прокуратуре в предъявленном иске и признал деятельность компании "Сигнал-КОМ" соответствующей законам.

Владимир Смирнов, генеральный директор компании "Сигнал-КОМ": "Политика ФАПСИ в области лицензирования и сертификации известна, Я бы не хотел ее обсуждать: какую задачу ведомство перед собой ставит, ту оно и решает. Как решает, понятно".

Нежелание г-на Смирнова обсуждать политику ФАПСИ неудивительно, но и из сказанного ясно, что восторга она у него не вызывает.

Существует ли рынок сертифицированных средств криптозащиты и кем он представлен?

Все сказанное выше наводит на мысль о том, что рынка сертифицированных шифровальных средств в России нет и быть не может, поскольку агентство (ФАПСИ) сертифицирует лишь собственные разработки и продукты, созданные на их основе.

Анатолий Лебедев: "Рынок сертифицированных шифровальных средств практически ограничен государственными структурами. Ни одно здравомыслящее коммерческое предприятие сертифицировать свой "товар" не берется по одной простой причине. Кто сказал, что того чиновника, который сертифицирует ваши средства, не купят ваши конкуренты? Нередко при "разборках" между компаниями применяются такие приемы, что купить чиновника, сидящего на зарплате 250-300 долларов, вряд ли проблематично, несмотря на ведущуюся сегодня кампанию по борьбе с коррупцией".

Владимир Смирнов: "На сегодняшний день есть несколько структур, приближенных к ФАПСИ. В первую очередь это небезызвестный пензенский институт -- МОПНИЭИ. Все сертифицированные средства происходят оттуда. Рынок есть, но он монопольный. Возможно, ФАПСИ такая ситуация устраивает".

Владимир Лопатин: "Рынок сертифицированных средств криптозащиты представлен коммерческими организациями, аккредитованными на основе договора с ФАПСИ".

Микаэл Горский: "Рынок сертифицированных средств криптозащиты, видимо, существует. Есть МОПНИЭИ, есть коммерческие структуры с тем или иным участием ФАПСИ -- явным или неявным. Их предложения нарынке незначительны, но они есть. Все эти средства имеют тот или иной сертификат -- ФАПСИ или Гостехкомиссии.

Сегодня, очевидно, нет сертифицированных продуктов, предлагаемых компаниями, абсолютно независимыми от ФАПСИ".

Итак, если рынок сертифицированных средств криптозащиты и существует, то он представлен одним единственным игроком -- Федеральным агентством правительственной связи и информации.

Попробуем проанализировать ситуацию глубже и ответить на несколько важных вопросов.

Что означает наличие сертификата ФАПСИ? С утилитарной точки зрения -- соответствие принятым в России стандартам надежности шифрования, т. е. использование достоверно надежных средств криптозащиты, в частности алгоритма шифрования, определенного стандартом ГОСТ 28147. Распространенное утверждение о том, что в тексте стандарта существуют ошибки и прямое следование ему приводит к непонятным с точки зрения безопасности результатам (а исправление этих ошибок означает формальное несоответствие стандарту), на наш взгляд, не более чем казуистика. Ошибки существуют в большинстве текстов и придираться к ним можно бесконечно.

Гораздо существеннее то, что сертификат и соответствие стандартам не гарантируют безупречную работу шифровального средства на практике, поскольку сертификационные испытания нельзя приравнять к практической проверке. Любое шифровальное средство должно не только качественно шифровать, но и, например, нормально интегрироваться в имеющиеся системы передачи информации. Надежность средств криптозащиты в этой части целиком и полностью находится "на совести" их поставщиков.

Опыт работы некоторых государственных структур с шифровальными средствами, поставляемыми самим федеральным агентством, говорит о том, что такие моменты, как отсутствие сбоев при практическом применении этих средств, их техническая поддержка, ФАПСИ не прорабатывались: к заказчику часто поступали "сырые" продукты. Таким образом, сертификат ФАПСИ, означая надежность средства в части шифрования (хотя многие считают, что и это не так), не означает его надежности и безупречности, как законченного коммерческого продукта.

Кому нужны сертифицированные шифровальные средства? Тем организациям, которые не имеют возможности выбирать (государственные структуры), и тем, которые не доверяют утверждениям (по сути -- голословным) о надежности несертифицированных средств криптозащиты. Если первые находятся в безвыходном положении и могут сколько угодно жаловаться на качество предлагаемых ФАПСИ средств криптозащиты, то вторые вправе требовать от поставщика шифровальных средств соответствия собственным требованиям качества.

Что определяет развитие рынка сертифицированных средств криптозащиты? Как и развитие любого рынка -- баланс спроса и предложения, а отнюдь не политика ФАПСИ в области сертификации и лицензирования. По нашим данным, спрос на рассматриваемом рынке растет. Все больше и больше коммерческих структур стремятся приобрести для "серьезных" приложений сертифицированные средства криптозащиты. Поставщиков таких средств (связанных или не связанных с ФАПСИ) сегодня довольно много, и наличие у них сертификатов и лицензий Федерального агентства не означает само по себе их коммерческого успеха. Многое зависит от их умения довести разработку до необходимого "потребительского" уровня, преподнести ее на рынке и оказывать клиенту необходимую техническую поддержку. То, что сертифицированные продукты пока не слишком (как заметил г-н Горский) "светятся" на рынке, говорит лишь о том, что их поставщикам есть над чем поработать. Предложение пока, увы, отстает от спроса.

Микаэл Горский: "Политика ФАПСИ не связана с развитием рынка. По моему ощущению, основная цель ФАПСИ -- контроль государственных учреждений -- достаточна на ближайшие двадцать пять лет. Им будет что делать. Если через двадцать пять лет они начнут все-таки заниматься коммерческими организациями, тогда это может как-то повлиять на рынок. Государственным же организациям можно просто не давать денег на покупку несертифицированных средств и таким образом поддерживать ту часть рынка, которая сертифицируется ФАПСИ".

Посмотрим теперь, как обстоят дела у конкурентов Федерального агентства.

Рынок несертифицированных средств криптозащиты

Большинство наших респондентов убеждены, что получить лицензию или сертификат ФАПСИ почти невозможно. Но нужно ли это? Имеет ли право на существование рынок несертифицированных средств криптозащиты, и если да, то каково его будущее?

Микаэл Горский: "Вопрос банальный. Право на существование имеетрынок всего, что пользуется спросом. Противозаконно торговать оружием, наркотиками. Покупка несертифицированного средства криптозащиты -- проблема покупателя. Если покупатель хочет это покупать, значит, он это покупает. Может быть, с точки зрения ФАПСИ рынок несертифицированных средств не имеет права на существование. С точки зрения аналитиков-рыночников -- имеет".

Уже высказывавшийся сотрудник ФАПСИ также не отрицает право несертифицированных средств на существование:

"В соответствии с законом сертифицируются те средства защиты информации, которые предназначены для использования в органах государственной власти. Если, например, вы как частное лицо имеете какое-то шифровальное средство, вы можете его не сертифицировать".

Владимир Смирнов: "Будущее не за этим рынком. Почему? Потому что во всем мире есть определенные правила. Если покупатель что-то хочет купить, он должен быть уверен в качестве приобретаемого продукта. Это относится и к продуктам питания, и куслугам связи. Мы говорим о прикладной криптографии, то есть о встраивании шифровальных средств в различные приложения для защиты информации. Поэтому мне кажется, что будущее за сертификацией".

АнатолийЛебедев: "Что такое сертификация? По закону о сертификации она добровольна. Что написано в сертификате? Что в данном продукте реализован такой-то алгоритм, соответствующий такому-то стандарту.

Если система дает сбой и вы несетеущерб, наличие сертификата не поможет вам его возместить".

Нина Калинина, коммерческий директор компании "Маском": "Я не сторонница каких-то запретительных актов. Если человек хочет покупать неизвестно что, пусть покупает. Мы делаем ставку на сертифицированные средства. Серьезные клиенты предпочитают покупать сертифицированную технику".

Владимир Лопатин: "Я думаю, что для защиты интересов негосударственных структур рынок несертифицированных средств защиты имеет право на существование, Так как эти структуры защищают свою информацию самостоятельно, не вылезая за флажки, установленные законом, создание такого рынка возможно, и его можно и нужно приветствовать. По указуПрезидента "334 шифровальные средства должны сертифицироваться, но ничего постоянного нет. У нас и конституция последнее времяменяется достаточно часто, хотя это основной закон страны. Что же говорить об указах и постановлениях правительства".

Несмотря на разнообразие мнений, очевидно, что рынок несертифицированных средств криптозащиты будет продолжать развиваться. Его прогресс до недавнего времени определялся крайней затор-моженностью развития рынка средств сертифицированных. Независимые коммерческие фирмы более гибко, чем ФАПСИ, реагировали на требования рынка и быстрее совершенствовали и "доводили до кондиции" новые продукты. Явно негативный имидж Федерального агентства и частое недовольство его политикой также играло им на руку.

Ситуация постепенно менялась. Во-первых, осознав необходимость вывода на рынок собственных продуктов, ФАПСИ создало довольно развитую сеть коммерческих агентов, адаптирующих его разработки к условиям рынка. Во-вторых, научный потенциал агентства, несоизмеримо превосходящий возможности конкурентов, дал наконец "съедобные" плоды: появились качественные и работоспособные сертифицированные разработки. В-третьих, спрос на сертифицированные продукты явно возрос: крупные коммерческие структуры стали проявлять заинтересованность в гарантированной (пусть и условно) защите информации.

Так что, несмотря на непрекращающуюся хулу в адрес ФАПСИ, последнее явно побеждает в борьбе за "серьезного" клиента. Тем не менее рынок несертифицированных средств шифрования существует и обладает известным потенциалом. Для того чтобы попытаться оценить его будущее, попробуем ответить на те же вопросы, что затрагивались в предыдущем разделе статьи, но применительно к несертифицированным шифровальным средствам.

Что означает отсутствие сертификата ФАПСИ? Отсутствие сертификата означает, что надежность приобретаемого средства криптозащиты (с любой точки зрения) вам гарантирует компания-поставщик. Гарантией качества могут служить в этом случае научные основы, заложенные в разработку, результаты независимых испытаний, репутация компании и т. д. Отсутствие сертификата не означает, что продукт не может быть использован "на ответственных участках".

Кому нужны несертифицированные средства криптозащиты? Потенциально -- любым коммерческим организациям, намеренным использовать шифровальные средства в системе информационной безопасности. В ряде случаев использование несертифицированных и более дешевых криптосредств может быть вполне оправданным, и таких случаев с развитием информационных систем становится все больше.

Что определяет развитие рынка несертифицированных средств криптозащиты? Формирование спроса на шифровальные средства определяется весьма сложными механизмами. Само по себе решение об использовании любого шифровального средства должно быть тщательно взвешено, поскольку мы имеем дело со сложной и крайне дорогой в эксплуатации технологией. Банки и другие крупные коммерческие структуры сегодня подходят к этой проблеме очень осторожно. При принятии положительного решения выбор падает, как правило, на сертифицированные средства. Однако в ряде случаев несертифицированные средства могут оказаться более предпочтительными. Например, если клиент хочет скрыть информацию от каких-либо государственных структур, а не обмениваться ею с ними.

Существует даже мнение, что в России несертифицированные шифровальные средства часто приобретаются из принципа, "в пику" ФАПСИ.

Нина Калинина: "Мы привыкли действовать не так, как нам указывают. К нам приходят клиенты, которые хотят купить что-то определенное. Мы говорим, что ЭТО никогда не будет сертифицировано. Они говорят: ну и что, мы хотим ЭТО купить. Пожалуйста. Мы свободно смотрим на такие вещи. Серьезным клиентам, естественно, в первую очеред, предлагаем сертифицированную технику.

В принципе надо понимать, что во всем мире производство и использование специальной техники находится в жестких рамках. Чем цивилизованней страна, тем жестче ограничения. Есть страны, в которых без специального разрешения нельзя использовать скремб-леры. Во многих странах запрещены телефоны с определителями, хотя они появляются специальной техникой. И это считается нормальным. Законопослушный народ не ропщет".

Политика ФАПСИ, вероятно, не влияет и не сможет повлиять на развитие рынка несертифицированных шифровальных средств, как не может определить и развитие рынка средств сертифицированных.

Запрет на использование определителей вполне закономерен -- оно (использование) нарушает право граждан на тайну личной информации, коей является и номер телефона. Предписание государственным структурам пользоваться только сертифицированными средствами криптозащиты так же закономерно, как требование военным носить форму. Запрет же на использование несертифицированных шифровальных средств в областях, не затрагивающих интересы государства, сравним с запретом на покупку несертифицированных телевизоров.

Микаэл Горский: "Рынок средств криптозащиты вообще будет огромным. Что касается рынка несертифицированных средств, то, если сертификат ФАПСИ будет означать качество, его существование окажется под вопросом. Если же он не будет обозначать ничего, этот рынок будет развиваться, при условии, что перед всеми покупателями не будут ставить условие, что все, чем они пользуются, должно быть сертифицировано. Такое положение декларировано сегодня, но на практике не реализуется".

Некоторые представители государства считают, что развитие "черного" рынка криптосредств не только допустимо, но и полезно.

Владимир Лопатин: "Я думаю, что у этого рынка есть будущее. Наряду с государственными структурами, которые занимаются созданием средств криптозащиты, необходимо формирование, скажем так, негосударственного компонента, т. е. тех, кто бы занимался этим в своих собственных интересах. Я думаю, государство должно эту проблему осознать. Нужно со-здатьусловия для того, чтобы коммерческие структуры могли свои информационные интересы защищать самостоятельно".

Говоря о влиянии политики ФАПСИ на развитие российского рынка средств криптозащиты, нужно иметь в виду следующее: разница между средствами, имеющими и не имеющими сертификат, часто сводится лишь к наличию этого самого сертификата. Многие специалисты уверены, что со временем ситуация изменится и достойные представители "черного" рынка шифровальных средств получат лицензии Федерального агентства, "узаконив" тем самым свой статус.

Владимир Смирнов: "Есть указ Президента "334, запрещающий деятельность в области средств криптозащиты без лицензии ФАПСИ. Таким образом, на сегодняшний день эта деятельность по закону запрещена. Поэтому провозглашать, что у нас есть официальный несертифицированный рынок, нельзя. Есть "черный" рынок крип-тосредств. Ни одна серьезная структура не будет работать с несертифицированными средствами, за исключением случаев, когда поставщик -- фирма с безупречной репутацией. Если компания не имеет лицензии, поработает на этом рынке пять--семь лет, ей доверяют, с ней могут работать.

Тем не менее сложившаяся ситуация, на мой взгляд, временна. Отсутствие лицензии у таких компаний -- результат политики ФАПСИ".

Для полноты картины нам захотелось узнать, что думают о развитии рынка средств криптозащиты сотрудники банков. Оказалось, что проблема наличия или отсутствия сертификата как таковая не слишком беспокоит банкиров, лишний раз подтверждая справедливость наших выводов: потребителей интересует прежде всего качество товара, надежность приобретаемых ими систем. Мы знаем, что качественную водку выпускает "Кристалл", молочные продукты -- Лианозовский комбинат и т. д. Однако вряд ли кого-нибудь из нас волнует положение на водочном или молочном рынках.

Одним из ключевых моментов, беспокоящих потребителей шифровальных средств, который во многом определяет взаимоотношения ФАПСИ и остальных участников рынка, является определение статуса информации.

Статус информации

Владимир Лопатин: "Важная проблема состоит в том, какая информация является предметом защиты. Со стороныряда органов государственной и исполнительной власти предпринимаются попытки распространить государственную защиту на все виды информации и на всех субъектов информационных правоотношений. На мой взгляд, органы власти, занимающиеся защитой информации, должны поставить перед собой две задачи -- обеспечение защиты сведений, составляющих государственную тайну, и сохранение конфиденциальности информации органов государственной власти. Что же касается представителей коммерческих структур, то, по всей видимости, они имеют полное право на самозащиту своих "информационных интересов", используя закон о коммерческой тайне, в котором четко определено, что не может быть отнесено к коммерческой тайне и, соответственно, должно быть отнесено к тайне государственной. Необходимо также сформировать механизм защиты информации, составляющей одновременно коммерческую и государственную тайны".

Сегодня никто не сомневается в праве любого физического или юридического лица на защиту частной информации. К сожалению, пока отсутствует ясность в том, какая информация может считаться частной, а какая -- нет. Отсюда проистекает и отсутствие четкости границ полномочий Федерального агентства.

Владимир Лопатин: "Мы сейчас в срочном порядке разрабатываем закон о праве на информацию и закон о конфиденциальной информации, в котором должны привести четкие критерии разграничения между информацией, составляющей неприкосновенность частной жизни, коммерческой информацией, служебной, профессиональной и государственной тайнами".

Понятно, что пока статус различных видов закрытой информации не будет определен, монополизм (или псевдомонополизм) ФАПСИ неизбежен, поскольку агентство само определяет свои полномочия. Можно допустить, что такая ситуация ФАПСИ устраивает, поскольку потенциально увеличивает рынок его разработок.

Тем не менее ФАПСИ -- орган исполнительной власти, и если и придумывает законы, то не имеет инструментов контроля за их исполнением. Закон о статусе информации может оказать реальное влияние на политику ФАПСИ и прояснить ситуацию на рынке шифровальных средств. Остается лишь надеяться, что соответствующий законопроект не залежится в Думе.

Выводы

  1. С точки зрения коммерческих структур разделение рынка средств криптозащиты на сертифицированные и несертифицированные ФАПСИ весьма условно: их интересует прежде всего качество предлагаемой продукции.
  2. Политика ФАПСИ не оказывает и не может оказывать существенного влияния на развитие российского рынка шифровальных средств.
  3. На рынке сертифицированных средств криптозащиты за последние полтора года наметился значительный прогресс, так как появились коммерческие структуры, связанные с ФАПСИ и "доводящие до ума", а также распространяющие его разработки.
  4. Рынок несертифицированных средств криптозащиты также развивается и в случае "смягчения" политики ФАПСИ в области сертификации и лицензирования может слиться с рынком сертифицированных продуктов.
  5. Одним из ключевых моментов, дающих ФАПСИ возможность самостоятельно определять границы собственных полномочий, является отсутствие в законодательстве актов, определяющих статус той или иной информации.
[email protected] Московский Либертариум, 1994-2020