Ликбез по шифрованию и его легальности

Перенесено из Telegram-чата КИИ 187-ФЗ:

Евгений Р
Коллеги, здравсвуйте! Не совсем 187, но есть вопрос. Можете кратко провести ликбез по шифрованию и его легальности? В организации, которая относится к субъектам КИИ исторически используется IPSec с AES 256 (как внутри организации для связи с филиалами, так и со смежными и сторонними организациями), т.к. долгое время всё строилось на Cisco

  1. Чем это черевато?

  2. Легально ли использование, в каких случаях, чем регламентировано? Что допустимо, кроме ГОСТа?

  3. Необходимо ли переходить на ГОСТ и в какой срок?

  4. Надо ли как-то оформлять планы по переходу, чтобы в случае проверок ими прикрыться? Отказаться в одночасье нереально, т.к. либо вылевается в расходы, либо в отсутсвие шифрования.

Павел Луцик

Если используемое Вами СКЗИ, имеющее на борту сильную криптографию (длина ключа больше 56 бит), ввезено на территорию РФ легально (с получением разрешения ФСБ и лицензии Минпромторга), то формально можете использовать это СКЗИ для защиты любой информации за исключением: 0. Гостайна, 1. ПДн (тут могут быть исключения, когда угроза нарушения конфиденциальности ПДн не актуальна), 2. для защиты информации в ГИСах и 3. для связи с технической инфраструктурой НКЦКИ (связи с ГосСОПКА), либо 4. некоторые органы и организации при взаимодействии с ними требуют использовать сертифицированные СКЗИ. В этих случаях необходимо использовать сертифицированные ФСБ СКЗИ. Обычно всеми вопросами ввоза и оформлением необходимых документов занимаются дистрибьюторы, снимая эту головную боль с конечного потребителя. Со своей стороны можете поинтересоваться у вашего поставщика этого оборудования как он обеспечил его ввоз. Переходить/Использовать ГОСТ нужно в любой момент, когда подпадаете под один из пунктов выше. Причем с 1 января 2020 года нужно будет использовать уже новые ГОСТы 2012 года, старые использовать будет уже нельзя. Раньше крайний срок перехода на новые ГОСТы был 1 января 2019, но недавно ФСБ его продлила на год. Разработка планов по переходу формально никакими НПА не требуется.