我们以逮捕毒ord为例处理俄罗斯的密码法规

墨西哥毒drug华金·古兹曼·洛埃拉（El Chapo）

不久前， 有媒体报道说，墨西哥毒l El Chapo因其IT官员向FBI泄露了加密密钥而被捕，而他们反过来又能够解密和收听他的电话交谈， 因此被捕。

让我们幻想一下，毒l，IT人员以及所有一切，每个人都会生活在俄罗斯...

赠送？ 现在，我们将分析在这种幻影般的案件中将遵循哪些法律以及如何规范密码保护。

关于故事和主要人物的更多细节

©电影“纽约帮派”中的画框

毒l El Chapo聘请了21岁的哥伦比亚IT专家Christian Rodriguez 为他创建了一个加密的移动通信系统，通过该系统他可以与同伙进行通信，而不必担心安全服务会窃听。

罗德里格斯（Rodriguez）创建了一个类似的系统，根据描述 ，它是具有流量加密功能的VoIP电话。 该系统的客户安装在强盗的手机上，之后“足以再拨3个数字”即可通话，而不必担心被窃听。

在引入该系统之后，罗德里格斯（Rodriguez）陪伴了她，并且还服从毒ord的意愿从事了其他IT项目（例如，对他的妻子El Chapo进行有组织的窃听）。

一段时间后，罗德里格斯（Rodriguez）被联邦调查局（FBI）招募，据SecurityLab.ru称，它泄漏了加密密钥...或根据《纽约时报 》（ New York Times） “在加密网络上安装了录音设备，并在午夜时分将所有沙普谈判的副本发送给联邦调查局。”

简而言之，仅此而已。 现在让我们继续分析法律。

发牌

©游戏“魔法门英雄”的屏幕截图

我们的故事始于El Chapo雇用Rodriguez开发安全的通信系统。

在段落方面。 1页1条 日期为2011年5月4日的联邦法律第12号N99-“关于某些类型活动的许可”为了执行与El Chapo的合同，罗德里格斯必须拥有“密码学”许可。

如果罗德里格斯（Rodriguez）没有这样的执照，并且他参与了这项工作，那么根据《 艺术》的规定。 13.13《行政法典》威胁行政管理，并应遵守本条。 俄罗斯联邦《刑法》第171条规定了刑事责任。

正确地使用了“用于加密”的许可证-用于开发，生产，分发加密（加密）手段，使用加密（加密）手段保护的信息系统和电信系统，工作表现，信息加密领域的服务提供，加密维护的许可证（加密）使用加密（加密）保护的手段，信息系统和电信系统 redstv（除非加密（加密）设施，信息系统和电信系统的维护是加密（加密）来保护，进行以保证法律实体或个体企业家的需求）。 此外，为简单起见，我们将使用错误但更易理解和简称的名称-加密许可证。

根据俄罗斯联邦政府2011年11月21日第957号法令“关于某些类型的活动的许可组织”，俄罗斯的 FSB从事发放加密许可的工作。

俄罗斯联邦政府于2012年4月16日N 313号法令（于2017年5月18日修订）中描述了获得Rodriguez的许可证和许可证要求的程序。 “在批准有关开发，生产，分发（加密）手段，信息系统和电信活动的许可证条例后，使用加密（加密）手段保护的系统，执行工作，在信息加密领域提供服务，加密（加密）手段的维护， 使用加密（密码学）手段保护的信息系统和电信系统（除非维护加密（密码学）手段，执行加密（密码学）手段保护的信息系统和电信系统是为了满足法人自身的需要或个人企业家） 。 ”

同时，罗德里格斯（Rodriguez）仅仅“获得”许可证还不够，它必须列出相关的允许活动，其完整清单在俄罗斯联邦政府法令（2012年4月16日第313号）附录中给出。 根据允许活动的组成，罗德里格斯将面临各种许可要求，从教育资格到获取国家机密不等。

考虑到这一点，罗德里格斯不仅参与了系统的开发，还参与了系统的实施和维护，然后随即在其许可证中进行了以下活动（根据俄罗斯联邦政府法令2012年4月16日第313号进行编号）：

3.使用加密（加密）手段开发安全的电信系统。
4.开发用于生产关键文件的工具。
5.加密（加密）手段的现代化。
6.关键文件制作工具的现代化。
7.产生（复制）加密（cryptographic）的手段。
9.使用加密（密码）手段保护的电信系统的生产。
10.关键文件制作工具的制作。
12.安装，安装（安装），调整加密（密码）手段，但保护财政数据的加密（密码）手段除外，这些手段被开发用作俄罗斯联邦联邦安全局认证的收银机的一部分。
14.使用加密（密码）手段保护的电信系统的安装，安装（安装），调整。
15.安装，安装（安装），调整关键文件的制造方式。
16.修复加密（cryptographic）的手段。
18.使用加密（密码）手段修复，维护安全的电信系统。
19.维修，保养关键文件的制造方式。
20.维护这些工具的技术和操作文档所规定的加密（密码）设施的工作（除非进行所指示的操作以确保法人或个体企业家的个人需求）。
21.除用于保护财政数据的加密（密码学）手段外，加密（密码学）手段的开发是为了用作俄罗斯联邦联邦安全局认证的收银机的一部分。
23.使用加密（密码）手段保护的电信系统的传输。
24.转让生产关键文件的手段。

马上，我们注意到在俄罗斯没有出于个人目的使用加密的许可，因此，不需要El Chapo的加密许可。

此外，我们假设罗德里格斯（Rodriguez）具有“密码术”许可及其相关活动。

开发生产

©互联网图片

按照许可要求，即为段落。 b俄罗斯联邦政府法令第16条（2012年4月16日第6条 ）必须遵循俄罗斯FSB发布的相关法规和方法学文件进行指导，其中主要是2005年2月9 日俄罗斯联邦FSB令N 66（于2010年4月12日修订）经“关于信息保护的加密（密码）手段的开发，生产，销售和操作的规定（PKZ-2005规定）”（在俄罗斯联邦司法部注册，03.03.2005 N 6382） （以下称为PKZ-2005）批准。

根据本文档，创建安全移动通信系统的过程包括以下步骤：

1. 发展。
2. 生产。
3. 传播。 尽管Rodriguez进行了定制/定制开发，但将其转移给客户的过程被视为分发。

所有这些阶段都意味着要与俄罗斯的FSB密切合作，并协调正在生产的系统的技术任务和文档。

安全移动通信系统的操作

©互联网图片

我们假设安全的移动通信系统是El Chapo的职责范围。 罗德里格斯（Rodriguez）仅与那些人有关。 支持。

从对El Chapo历史的描述中，我们记得该系统是为了防止执法机构窃听而创建的。 该基础与当前的立法之间存在微弱的联系，因此，我们假定该系统的目的是：“为个人和家庭需求提供信息保护”。 通过这种操作目的，El Chapo不受任何限制，他可以随心所欲地完成该系统。

对于我们的文章，这太简单了，没有意思。

根据调查，发现在一次电话交谈中，El Chapo命令行贿和贿赂官员，最有可能称呼他们的姓名，姓氏和其他个人信息，即个人数据（以下简称PD）。

假设El Chapo阅读了2006年7月27日的联邦法律N152-“关于个人数据” ，理解他是个人数据运营商，实际上他将个人数据用于个人目的而不是用于个人活动，并且法律要求保护他们。

个人数据的密码保护

©互联网图片

由于在电话呼叫期间，PD通过公共通信网络以开放形式传输，因此El Chapo认为并认为存在很高的PD可能被攻击者拦截的风险，因此必须对信息进行加密。

为了对个人数据进行密码保护，

• 根据2014年7月10日联邦安全局的命令，“批准组织和技术措施的组成和内容，以确保在个人数据信息系统中使用满足俄罗斯联邦政府设立的个人保护要求所必需的信息的密码保护处理个人数据时的安全性每个安全级别的数据”
• “制定规范性法律法规的指南，这些法规定义了在相关活动实施过程中操作的个人数据信息系统中与处理个人数据相关的个人数据安全威胁”，已由俄罗斯FSB第八中心管理人员批准（N 149/7/2 / 6- 432从03/31/2015起）

El Chapo必须建立入侵者模型，并以此为基础确定所需的密码保护等级。 由于El Chapo害怕提供特殊服务，因此他需要一种保护最高等级KA的方法 。

El Chapo打开了一份由俄罗斯FSB认证的加密货币清单 ，但没有找到合适的答案 ，便转向Rodriguez。 就像许多信息安全项目一样，我们的故事在这里循环不断，我们再次回到开发阶段。 在不赘述的情况下，我们假设Rodriguez在FSB中为FSB中的相应类别进行了认证。

由于El Chapo保护个人数据，因此PKZ-2005的要求对他具有约束力 。 这些要求中没有什么超自然的，实际上，它们仅迫使El Chapo遵守该系统的技术文档的要求，而Rodriguez则准备并与俄罗斯的FSB达成了一致。

除上述文件外，El Chapo 还应遵循2001年6月13日的FAPSI指令批准的“有关组织的指导，并确保使用有限访问权的信息的密码保护手段，通过通信渠道确保通过通信渠道进行存储，处理和传输的安全性” N 152年 （普通百姓-FAPSI 152）。

根据该文件，El Chapo将需要建立与加密货币操作相关的内部流程，其中包括：

• 组织和培训强盗使用安全移动通信设备的组织（科学上是允许用户独立使用加密货币的组织）；
• 系统软件客户端和加密密钥的按实例计费；
• 安全设施的组织，将在其中进行电话维护并形成加密密钥；
• 和其他

向国外出口安全手机

©互联网图片

由于查普（El Chapo）从事“国际业务”，因此在与外国“合作伙伴”交流的同时保护交流与保护国内谈判同样重要。 要做到这一点，无论怎么说，他都需要向外国人转让用于其移动通信系统的软件，或已安装并配置了软件客户端的电话。

根据俄罗斯法律，这两种货币均被解释为向国外出口加密（密码）资金，并且根据《关于向欧亚经济联盟关税区进口的规定和从欧亚经济联盟关税地区出口加密（密码）手段的规定（附录N 9欧亚经济委员会理事会2015年4月21日N 30的决定受到限制（个人使用除外，但这不是我们的情况）。

在通过海关之前，El Chapo必须获得出口许可证，该许可证有两种：

1. 通知事项
2. 发牌

通知-简化的进出口许可证格式-用于“弱化”或“日常”加密。 需通知的资金清单在《关于向欧亚经济联盟海关领土进口和从欧亚加密经济联盟海关（加密）手段出口的条例》的附录4中定义（2015年4月21日《欧亚经济委员会理事会决定》附录9） N 30）

由于El Chapo的安全移动通信系统具有针对航天器的密码保护等级，因此它不会产生费用通知，而且他必须获得出口许可证。 为此，他将必须完成任务， 欧亚经济委员会理事会于2014年11月6日第199号决定（2016年4月19日修订）中描述了该任务， “关于执行某些类型的出口和（或）进口许可证申请的指示货物以及此类许可证的注册以及《关于出口和（或）进口某些类型货物的许可证的说明》 ，这远非他能做到...

结论

我希望通过这个幻想的例子，您可以对俄罗斯联邦密码学法规的主要方向有一般的认识。 为了进一步发展，我建议您熟悉管理俄罗斯信息安全的基本立法和法规。

揭露者 像所有进步人类一样，提交人强烈谴责非法毒品交易和其他犯罪活动。 太阳，空气和水是我们最好的朋友。