Хорошо, коллеги. Меня зовут Лю, я уже 12 лет работаю в «Цзясюй Цайшуй» и помогаю иностранным предприятиям разбираться в хитросплетениях китайского законодательства. За моими плечами 14 лет опыта в регистрационных процедурах, и поверьте, тема, которую мы сегодня затронем — одна из тех, что может заставить даже самого опытного финансиста поседеть. Сегодня я расскажу вам об «Обязательных требованиях к тестированию и сертификации коммерческих продуктов шифрования согласно Закону о шифровании». Не пугайтесь формулировок, на деле это очень важная и практичная вещь.

Обязанность и основание

Для начала давайте разберемся, почему эта тема вообще существует и почему она так важна. Закон КНР о криптографии (Закон о шифровании), вступивший в силу 1 января 2020 года, кардинально изменил правила игры на рынке коммерческих продуктов шифрования. Раньше, я помню, как к нам приходили клиенты с вопросами «А можно ли как-то попроще?», мол, мы иностранцы, у нас свои стандарты. Но после принятия Закона, стало четко: если продукт содержит в себе функции шифрования — от простого VPN до сложных систем электронной подписи — он обязан пройти обязательную сертификацию и тестирование. Это не прихоть, это требование государственной безопасности. Главное основание — это стремление государства обеспечить единую систему криптографической защиты и предотвратить использование «кустарных» или небезопасных алгоритмов.

Лично я вспоминаю случай из практики. Один наш клиент, производитель промышленного софта из ФРГ, долго сопротивлялся. Мол, их алгоритмы проверены временем. Но когда мы, «Цзясюй Цайшуй», показали им список продукции, подлежащей обязательной сертификации (пункт 1 статьи 26 Закона), они сразу поняли: шутки плохи. Закон предписывает, что любая коммерческая криптопродукция, используемая для продажи или распространения на территории КНР, должна пройти проверку в аккредитованной лаборатории. И это не просто формальность. Тестирование включает проверку на устойчивость к взлому, соответствие национальным стандартам (например, GB/T 36322-2018) и отсутствие «закладок». Так что, first things first — нужно четко понимать, подпадает ли ваш продукт под обязательную сертификацию. Если да — готовьтесь к процедуре, это не обсуждается.

Этапы и процедуры

Теперь о том, как это выглядит на практике. Процедура сертификации, если не знать ее тонкостей, может показаться бюрократическим лабиринтом. Но мы, как люди с многолетним опытом, знаем, что это просто работа. Первый этап — это определение категории продукта. Сейчас существует перечень из более чем 20 категорий, от сетевых шифровальных шлюзов до аппаратных крипто-ключей. Важно правильно классифицировать продукт, потому что от этого зависит перечень документов. Многие предприниматели ошибаются, думая, что «софт» — это одна категория, а «железо» — другая. На самом деле, hybrid-продукты требуют отдельной оценки.

Обязательные требования к тестированию и сертификации коммерческих продуктов шифрования согласно Закону о шифровании

Затем следует сбор досье. Вот тут я обычно советую клиентам не экономить. Помимо заявления и технического описания, нужны: исходные коды (или их фрагменты для анализа), руководство пользователя, описание алгоритмов шифрования, а также заключение о соответствии от собственной службы качества. Обязательно нужно приложить протоколы испытаний от лаборатории, которая имеет лицензию на проведение таких тестов. Помню, у нас была история с японской компанией, которая пыталась подать документы без нотариально заверенного перевода на китайский язык. Это был, мягко говоря, провал. Пришлось все переделывать, и мы потеряли целых два месяца. Представляете, какой убыток? Поэтому я всегда говорю: «Готовь сани летом, а документы — с китайским акцентом».

Лаборатории и их роль

Ключевое звено всей системы — это аккредитованные испытательные лаборатории. Их список определяет Государственное управление по делам криптографии (SCA). На сегодняшний день таких лабораторий несколько десятков, и все они имеют строгую аккредитацию. Лаборатория не только проверяет, но и дает предварительные рекомендации по доработке продукта, если он не соответствует стандартам. Я бы назвал это не просто проверкой, а аудитом безопасности. Сама процедура включает в себя три этапа: статический анализ кода, динамическое тестирование (нагрузочное тестирование, тестирование на проникновение) и анализ документации.

Проблема, с которой мы часто сталкиваемся — это несоответствие заявленного функционала реальности. Например, клиент заявляет, что использует алгоритм SM4 (китайский стандарт симметричного шифрования), а на деле в коде находят фрагменты американского AES. Это прямой путь к отказу в сертификации. Поэтому я всегда рекомендую: перед подачей документов проведите внутренний аудит, или, как мы называем это в «Цзясюй Цайшуй», «самопроверку». Если вы разработчик, не стесняйтесь привлекать внешних экспертов, которые уже работали с SCA. Один совет: выбирайте лабораторию, которая специализируется на вашем типе продукции. Это сэкономит вам нервы и деньги.

Сроки и стоимость

Любой коммерсант хочет знать: сколько это стоит и сколько ждать? Тут, как говорится, «терпение и труд всё перетрут». Минимальный срок процедуры сертификации обычно занимает 3-6 месяцев при условии идеальной подготовки. Но на практике, из-за необходимости доработок или запросов дополнительных документов, срок может растянуться до года. Я помню случай с крупным производителем смарт-карт. Они подали заявку в ноябре, а получили сертификат только в апреле следующего года, хотя тесты заняли всего 2 месяца. Всё упиралось в бюрократические проволочки в согласовании финального отчета.

Что касается стоимости, она складывается из нескольких частей. Само тестирование может стоить от 200 000 до 1 000 000 юаней в зависимости от сложности продукта и количества проверяемых функций. Сюда не входят услуги посредников, юридическая поддержка и переводы. Есть мнение, что можно сэкономить, отправив документы напрямую. Но опыт показывает: лаборатории не очень любят работать напрямую с иностранными юрлицами из-за сложностей с валютой и интерпретацией требований. Поэтому лучше нанять профессиональную компанию, например, нашу «Цзясюй Цайшуй», которая знает все подводные камни. Как говорится, скупой платит дважды, особенно в криптографии — ошибка может стоить запрета на продажи.

Изменения и адаптация

Рынок не стоит на месте, и требования тоже меняются. Закон о шифровании не является статичным документом, он постоянно дополняется подзаконными актами. Мы, практики, должны быть в курсе последних изменений. Например, в 2023 году были введены новые требования к оценке безопасности облачных криптопродуктов. Раньше облачные решения часто сертифицировали как обычное ПО, но теперь для них прописаны отдельные критерии — проверка изоляции данных, стойкость к атакам на шифротрафик. Это серьезное изменение.

Я вижу, как эти изменения влияют на наших клиентов. Один из них, разработчик приложения для защищенных коммуникаций, вынужден был отозвать свою продукцию с рынка на доработку, потому что не учел требования по обязательной поддержке китайских криптоалгоритмов SM2, SM3, SM4. Это было болезненно, но необходимо. Сейчас они успешно прошли пересертификацию и продают свои решения в Китае. Ключевой урок здесь: лучше потратить время на изучение требований на старте, чем потом терять деньги на исправление ошибок. Поэтому я всегда рекомендую своим клиентам подписываться на уведомления от SCA и регулярно консультироваться с экспертами.

Документирование и хранение

После получения сертификата работа не заканчивается. Есть еще один важный аспект — это документирование и хранение результатов. Сертификат имеет срок действия, обычно 5 лет, и требует периодического подтверждения. Кроме того, в течение всего срока действия вы обязаны хранить всю техническую документацию, протоколы испытаний и записи о модификациях продукта. Это требование — не пустая формальность. Если в продукт вносятся изменения, которые могут повлиять на криптостойкость (например, обновление алгоритма), вы обязаны уведомить об этом SCA и, возможно, пройти повторное тестирование.

Был случай, когда наш клиент, производитель VPN-устройств, не стал уведомлять о смене поставщика аппаратного модуля безопасности (HSM). Когда при плановой проверке инспекторы это обнаружили, департамент выдал предписание приостановить продажи. Клиент был в панике. Мы помогли быстро организовать дополнительное тестирование, но продукт был отозван с рынка на два месяца. Потеря репутации и упущенная выгода оказали больше, чем стоимость консультации. Поэтому я всегда говорю: «Храните документы, как зеницу ока». Регулярно обновляйте их, особенно если продукт развивается. Лучше перестраховаться, чем потом заниматься «тушением пожаров».

Личный взгляд на перспективы

Подытоживая, хочу сказать, что требования к тестированию и сертификации — это не враг бизнеса, а его союзник. Да, это бюрократия, да, это требует времени и денег. Но без этой системы рынок криптопродуктов в Китае был бы анархичным, полным «серых» решений, которые угрожают безопасности пользователей. Я, работая с иностранными предприятиями, вижу, как они постепенно осознают: соответствие местным стандартам — это ключ к успеху. Китай не исключение, это общемировой тренд — ужесточение контроля над криптографией.

Мой прогноз: в ближайшие 2-3 года требования станут ещё строже, особенно в области IoT и алгоритмов с использованием квантово-устойчивых методов. Компании, которые уже сейчас вложатся в правильную сертификацию, получат конкурентное преимущество. Они не будут тратить время на авральные доработки и смогут быстро выводить новые продукты на рынок. А тем, кто думает, что можно обойтись без сертификации, продавая через «серые» схемы, рано или поздно придётся столкнуться с последствиями. Поверьте моему опыту: игра с китайской безопасностью не стоит свеч.

--- **Позиция компании «Цзясюй Цайшуй» (加喜财税)** В компании «Цзясюй Цайшуй» мы рассматриваем обязательные требования к сертификации коммерческой криптопродукции как естественный элемент входа на китайский рынок. Наш многолетний опыт показывает, что системный подход к документации и своевременное обращение к профессиональным консультантам существенно снижают риски и ускоряют получение сертификата. Мы не предлагаем «волшебных таблеток» или «упрощений» — это невозможно. Мы предлагаем прозрачный алгоритм: от первичного анализа продукта до полного сопровождения в лаборатории и SCA. Ключевой принцип нашей работы — информационная безопасность клиента и полная легальность. Инвестиции в правильную сертификацию — это инвестиции в долгосрочное присутствие и доверие на китайском рынке. Доверьте рутину профессионалам, а сами сосредоточьтесь на развитии бизнеса.