Автор: Константин Чубаров. Рубрики: Сети и телекоммуникации. Опубликовано: Октябрь 5th, 2010

В последнее время по работе сталкиваюсь с вопросами о возможности ввоза той или иной железки Cisco с шифрованием. Также задают вопросы о классификации оборудования Cisco: что такое  С1-С4. В поисках ответа натолкнулся на статью, которая отвечает на многие вопросы. Думаю и Вам будет интересно почитать.


Источник статьи: http://m.habrahabr.ru/post/87176/

Автор: Fedia

Для начала экскурс в историю:
1. Таможенные правила ввоза на территорию РФ впервые были написаны аж в 1995 году и там было и про шифрование и про согласование с ФАПСИ (ныне ФСБ) и МинПромТоргом. Просто их никто не выполнял.
2. В 2006, для вступления в ВТО, был разработан новый, более гибкий документ, выводящий часть криптографии из-под лицензирования ввоза. Документ так и не был согласован.

3. В конце 2009 году, приняв за основу документ 2006г, ФСБ быстренько согласовала новые правила ввоза на территорию единого таможенного союза. Так что с 01.01.2010 года мы просто получили то, что должно было работать давным-давно. Вот ссылка на эти правила

По новым правилам часть шифровательных функций выводится из-под лицензирования (полный список можно найти в нормативных документах):
1.«Слабое» шифрование (симметричное шифрование с длиной ключа меньше либо равным 56 битам, асимметричное – 128 битам)
2.Шифрование каналов для управления (ssh, https для управления)
3.Шифрование беспроводными точками доступа (со встроенными антеннами) трафика, передаваемого на расстояние до 400 м.
4.Если шифрование является неотъемлемой частью программного продукта (операционной системы).

Внутри себя Cisco классифицирует свою продукцию следующим образом:
С1 – оборудование, не содержащее шифрования вовсе. Определяется производителем или ввозящим. Тут есть ряд засад, о которых позже
С2 – оборудование, содержащее шифрование, но выведенное из-под лицензирования путем подачи нотификаций
С3 – оборудование, содержащее строгое шифрование. Для него требуется разрешение ФСБ на ввоз, импортная лицензия Минпромторга, а также лицензии ФСБ на распространение и техобслуживание.
С4 – оборудование, которое ещё не классифицировано и перейдет с C2 или C3.

Какие условия ввоза для того или иного класса:
С1 – не требуется разрешительных документов, свободный ввоз. Но есть одна тонкость: таможенники – парни въедливые. Вполне могут сказать: «А откуда я знаю, есть оно там или нет? Я не доверяю этим буржуям”. В этом выяснении случае компания Cisco пишет письмо на таможню, подтверждая отсутствие шифрования. Если же таможеннику этого недостаточно, то он должен писать официальный запрос в ФСБ, которое пришлет официальное заключение.

С2 – для ввоза этого оборудования необходимо, чтобы на таможне был документ – нотификация. Этот документ на линейки оборудования (part-numbers) составляет производитель или доверенная организация. Эти списки подаются в ФСБ, и в течение 2-3 недель эти документы регистрируются там. Далее этот документ передается на таможню и после данное оборудование едет спокойно. Посмотреть существующие нотификации можно на сайте таможни. После этого импортер может смело ввозить указанное железо без дополнительных документов. Если нотификация уже есть, а на таможне тормозят и её пока не опубликовали, cisco готова предоставить копию вплоть до нотариальной, для предоставления в таможню (проверено на московских и питерских таможнях).

С3 – для ввоза и продажи этого оборудования компания должна иметь соответствующую лицензию ФСБ (действует год), а также получить разрешение МинПромТорга на ввоз на каждую поставку. Разрешение могут делать непредсказуемое время. Позиция ФСБ проста: у нас нет ресурсов отслеживать строгое импортное шифрование, поэтому на территории РФ хотим видеть только ГОСТ. Особенно в госучреждениях, а также в системах защиты персональных данных. Если же заказчик не планирует использовать шифрование передаваемых данных (VPN), но хочет использовать оборудование класса С3, то он может составить официальное письмо в ФСБ и были прецеденты, когда под такое письмо под конкретного заказчика ввозилось железо С3 (АСАшки, например).

С4 – ждем, пока их переведут в С2 или С3.

Компания cisco одной из первых подала списки на нотификацию и на данный момент много железа и софта уже нотифицировано. Это дает некоторые конкурентные преимущества.
В частности:
Нотифицированы многие коммутаторы, точки доступа, беспроводные контроллеры, ACS, IPS.
Нотифицированы маршрутизаторы ISR G2 (19xx/29xx/39xx) с ОС типа NPE (Non Payload Encryption: есть все фичи по безопасности, кроме шифрованных туннелей). Пока не решена проблема с security бандлами: там по умолчанию идёт IOS c шифрованием данных. При его замене – бандл начинает стоить дороже. Поэтому сейчас надо заказывать не готовые security бандлы, а собирать конфигурацию по новой.
Скоро обещают появление IOS NPE для серий 860-880-890 (архитектурно они похожи на ISR G2) и их тоже можно будет ввозить по нотификации
Уже готов документ и будет сертифицировано решение ISR G2+RVPN (модуль для шифрования ГОСТ компании STerra) для защиты персональных данных класса вплоть по 1 класс включительно.
Обещают в апреле разрулить ситуацию с ASA. Сейчас нельзя ввезти ASA-K8 (56 бит), потому что она превращается в К9 простым введением серийного номера ASA на сайте cisco. Обещают, что будет можно ввозить ASA-K8 по нотификации, если найдется метод заблокировать получение лицензий на сильное шифрование.

Поделиться

Опубликовать в Facebook
Опубликовать в Google Buzz
Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники
Опубликовать в Яндекс

Мы в социальных сетях

Читать ProITClub в TwitterЧитать ProITClub в RSSЧитать ProITClub в п&##1086;чтовой подпискеЧитать ProITClub в Живом ЖурналеЧитать ProITClub в LinkedInЧитать ProITClub в LinkedIn
Вы можете оставить комментарий, или поставить трэкбек со своего сайта.

Есть 3 коммент. к “Новые таможенные правила или как жить дальше?”

  1. Timur:

    А что сейчас попадает под C3?
    CUPS, к примеру, — это что? Нотификаций на него на сайте таможни не видно. У меня заказчик его купить не может, а для интеграции очень нужно.

  2. Роман Морнев:

    Теоретически, в Cisco говорили, что практически на все продукты UC будут получены нотификации. По идее, CUPS тоже туда должен попасть. Видимо или не удалось на него нотификацию получить, или еще очередь не дошла…

  3. Роман Морнев:

    Посмотрел списки продуктов по категориям, предположение подтвердилось. CUPS пока значится как C4, значит нужно ждать.

Написать комментарий

Вы должны войти чтобы добавить сообщение.