«Код безопасности»: как перейти на российские средства шифрования
По сообщению компании «Код безопасности», ее аналитики подсчитали, сколько времени понадобится отечественным госструктурам на исполнение требований по переходу на российские средства шифрования. По оценке экспертов, уложиться в озвученные властями сроки удастся только в случае применения оптимальных инструментов для решения задачи.
Согласно поручению президента РФ главе правительства, подготовить переход органов власти на использование российских криптографических алгоритмов и средств шифрования необходимо до 1 декабря 2017 г. В частности, правительство должно обеспечить разработку и реализацию комплекса мероприятий для поэтапного перехода на использование российских криптографических алгоритмов и средств шифрования, а также предусмотреть безвозмездный доступ граждан РФ к использованию российских средств шифрования.
Опубликованный документ повлечет за собой определенные шаги по приведению ИТ-инфраструктур государственных органов в соответствие заявленным требованиям. В частности, в госструктурах ожидается массовая установка в дополнение к имеющимся решениям отечественных средств криптографической защиты информации (СКЗИ).
Эксперты «Кода безопасности» отмечают, что нововведение коснется в первую очередь порталов госуслуг федеральных и региональных ведомств. Реализация этой задачи затрагивает два аспекта: внедрение СКЗИ на стороне Web-сервера и на стороне пользователей. Если предположить, что на стороне пользователей сертифицированная криптобиблиотека будет встраиваться в браузер, то решить задачу на стороне Web-сервера можно двумя способами. Один из них – это встраивание СКЗИ в Web-серверы, второй – внедрение программно-аппаратного комплекса (ПАК) с реализацией TLS VPN, который будет перехватывать HTTP/HTTPS-трафик и шифровать его в соответствии с алгоритмом шифрования по ГОСТ (28147-89). Каждый из вариантов имеет свои особенности – как с точки зрения технической реализации, так и с точки зрения сроков выполнения проекта.
По оценкам аналитиков «Кода безопасности», в первом случае (встраивание) проект можно будет осуществить в течение года, сюда включены следующие этапы: разработка организационно-распорядительной документации (2 мес.), проведение открытого конкурса по 44-ФЗ (2,5 мес.), внедрение (0,5 мес.) и контроль встраивания СКЗИ в ФСБ России (7 мес.).
При выборе варианта установки ПАК длительность проекта составит около 7 месяцев и он будет включать следующие этапы: разработка организационно-распорядительной документации (2 мес.), проведение открытого конкурса по 44-ФЗ (2,5 мес.), поставка оборудования и ПО (1,5 мес.) и внедрение (0,5 мес.).
Как отмечают эксперты «Кода безопасности», исходя из общепринятой практики, между выпуском поручения правительству и началом работ компаний по проектам (с учетом необходимости разработки и принятия подзаконных актов) проходит не менее трех месяцев. Соответственно, есть риск, что выбравшие вариант встраивания СКЗИ в Web-серверы организации с трудом уложатся в поставленные сроки.