antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 11 Март , 2010

11 марта 2010г состоялся увлекательный семинар Миши Кадера в Московской cisco про новые таможенные правила на территории таможенного союза России, Белоруссии и Казахстана. И про то, что cisco делает для того, чтобы ввоз нового оборудования наконец стал снова радовать и продавцов и покупателей.
______________________________
UPD 14.03 Статья была доработана докладчиком, внесены ряд дополнений и уточнений, добавлены полезнейшие ссылки. Большое спасибо Мише за потраченное время!
______________________________

Для начала экскурс в историю:
1. Таможенные правила ввоза на территорию РФ впервые были написаны аж в 1995 году и там было и про шифрование и про согласование с ФАПСИ (ныне ФСБ) и МинПромТоргом. Просто их никто не выполнял. Здесь ссылка на указ для интересующихся
2. В 2006, для вступления в ВТО, был разработан новый, более гибкий документ, выводящий часть криптографии из-под лицензирования. Документ так и не был согласован
3. В конце 2009 году, приняв за основу документ 2006г, ФСБ быстренько согласовала новые правила ввоза на территорию единого таможенного союза. Так что с 01.01.2010 года мы просто получили то, что должно было работать давным-давно. Вот опять же ссылка на эти правила

По новым правилам часть шифровательных функций выводится из-под лицензирования (полный список можно найти в нормативных документах):
1. «Слабое» шифрование (симметричное шифрование с длиной ключа меньше либо равным 56 битам, асимметричное – 128 битам)
2. Шифрование каналов для управления (ssh, https для управления)
3. Шифрование беспроводными точками доступа (со встроенными антеннами) трафика, передаваемого на расстояние до 400 м.
4. Если шифрование является неотъемлемой частью программного продукта (операционной системы).

Внутри себя Cisco классифицирует свою продукцию следующим образом:
С1 – оборудование, не содержащее шифрования вовсе. Определяется производителем или ввозящим. Тут есть ряд засад, о которых позже
С2 – оборудование, содержащее шифрование, но выведенное из-под лицензирования путем подачи нотификаций
С3 – оборудование, содержащее строгое шифрование. Для него требуется разрешение ФСБ на ввоз, импортная лицензия Минпромторга, а также лицензии ФСБ на распространение и техобслуживание.
С4 – оборудование, которое ещё не классифицировано и перейдет с C2 или C3.

Какие условия ввоза для того или иного класса:
С1 – не требуется разрешительных документов, свободный ввоз. Но есть одна тонкость: таможенники – парни въедливые. Вполне могут сказать: «А откуда я знаю, есть оно там или нет? Я не доверяю этим буржуям”. В этом выяснении случае компания Cisco пишет письмо на таможню, подтверждая отсутствие шифрования. Если же таможеннику этого недостаточно, то он должен писать официальный запрос в ФСБ, которое пришлет официальное заключение.

С2 – для ввоза этого оборудования необходимо, чтобы на таможне был документ – нотификация. Этот документ на линейки оборудования (part-numbers) составляет производитель или доверенная организация. Эти списки подаются в ФСБ, и в течение 2-3 недель эти документы регистрируются там. Далее этот документ передается на таможню и после данное оборудование едет спокойно. Посмотреть существующие нотификации можно на сайте таможни. После этого импортер может смело ввозить указанное железо без дополнительных документов. Если нотификация уже есть, а на таможне тормозят и её пока не опубликовали, cisco готова предоставить копию вплоть до нотариальной, для предоставления в таможню (проверено на московских и питерских таможнях).
Вот ссылка на список уже опубликованных таможней нотификаций

С3 – для ввоза и продажи этого оборудования компания должна иметь соответствующую лицензию ФСБ (действует год), а также получить разрешение МинПромТорга на ввоз на каждую поставку. Разрешение могут делать непредсказуемое время. Позиция ФСБ проста: у нас нет ресурсов отслеживать строгое импортное шифрование, поэтому на территории РФ хотим видеть только ГОСТ. Особенно в госучреждениях, а также в системах защиты персональных данных. Если же заказчик не планирует использовать шифрование передаваемых данных (VPN), но хочет использовать оборудование класса С3, то он может составить официальное письмо в ФСБ и были прецеденты, когда под такое письмо под конкретного заказчика ввозилось железо С3 (АСАшки, например).

С4 – ждем, пока их переведут в С2 или С3

Компания cisco одной из первых подала списки на нотификацию и на данный момент много железа и софта уже нотифицировано. Это дает некоторые конкурентные преимущества.
В частности:
• Нотифицированы многие коммутаторы, точки доступа, беспроводные контроллеры, ACS, IPS.
• Нотифицированы маршрутизаторы ISR G2 (19xx/29xx/39xx) с ОС типа NPE (Non Payload Encryption: есть все фичи по безопасности, кроме шифрованных туннелей). Пока не решена проблема с бандлами: там по умолчанию идёт IOS c шифрованием данных. Даже если у вас нет соответствующей лицензии, предусмотрен тестовый режим (30 дней), в течение которого можно строить шифрованные туннели. Это портит всю малину. Обещают полечить к маю, а пока лучше заказывать не бандлами, а по частям.
• Скоро обещают появление IOS NPE для серий 860-880-890 (архитектурно они похожи на ISR G2) и их тоже можно будет ввозить по нотификации
• Уже готов документ и будет сертифицировано решение ISR G2+RVPN (модуль для шифрования ГОСТ компании STerra) для защиты персональных данных класса С1.
• Обещают в апреле разрулить ситуацию с ASA. Сейчас нельзя ввезти ASA-K8 (56 бит), потому что она превращается в К9 простым введением серийного номера ASA на сайте cisco. Обещают, что будет можно ввозить ASA-K8 по нотификации.

Отдельно стоит упомянуть старания cisco по сертификации ФСТЭК (актуально госорганизациям и при построении сети в соответствии с требованиями закона ФЗ-152 о защите персональных данных). Множество железок, которые попадают в таможенные классы С1 и С2 уже прошли хотя бы по разу эту сертификацию. Cisco старается делать поточную сертификацию: когда железо ввозится впервые, cisco готовит документацию для проведения испытаний. Если все проходит успешно, то дальнейший ввоз этого оборудования и получение сертификатов существенно упрощается (ожидание – 1 месяц против 2-6 месяцев при индивидуальных проверках). Однако, надо помнить, что платит либо продавец, либо, что чаще, покупатель. Cisco не поддерживает финансово сертификацию ФСТЭК (исключение – первый раз)

PS Не очень литературно получилось, но надеюсь помог немного разобраться в нынешней каше. Во-всяком случае мне этот семинар помог расставить точки над «ё». Если есть замечания – не стесняйтесь: тема не совсем моя, пишу что услышал. Если нужны контакты для изготовления ФСТЭКовских сертификатов поточно, пишите на 4u@anticisco.ru. Попробую связать вас с ответственными людьми из Московского cisco, а те обещают всестороннюю помощь (правда, не деньгами :)).

 

Метки: , , , , ,
Опубликовано: личный блог Сергея Федорова

 

3 комментария “Новые таможенные правила или как жить дальше. Семинар компании cisco.”

comment rss - Trackback

  1. Ilya:

    т.е. C3 внятно ввозить не будут еще до августа, я думаю… и K9 стало быть не видать…

  2. bisonio:

    Нда жозенько! ФСБ решило в принкдительном порядке внедрить ГОСТ шифрование!!

  3. flider:

    Да, похоже с К9 сильно гайки закрутили.

» Оставить комментарий

Вы должны войти чтобы прокомментировать.