14/09/2023

Проблемы стандартизации в области инфраструктуры открытых ключей и доверенных сервисов обсудили участники сессии «Стандартизация в области PKI, ЭДО, СКАиП», которая прошла на PKI-Форуме. С подробным докладом на эту тему выступил Алексей Сабанов, главный эксперт НТК ТИО АО «НИИАС» ОАО «РЖД», эксперт ИСО, член ТК 362, ТК 26, ТК 122.

Он отметил, что вопреки сложившимся в последнее время подходам, стандарты нужны потребителям и разработчикам. Стандарты нужны регуляторам, и об этом говорит планомерная работа ФСТЭК России. При отсутствии стандартов принимаются сертификаты соответствия, что создает некоторые сложности для всех участников процесса разработки и сертификации.

Отечественная система стандартизации во многом построена на международной системе ISO/IEC, отметил Алексей Сабанов, и тесно связана с деятельностью ВТО и МБРР, которые уделяют внимание активному вовлечению стран в мировую торговлю. В связи с чем возникает вопрос необходимости соответствия национальной системы требованиям международных структур и определения вектора развития отечественной системы стандартизации. Остановившись на том, каким PKI-стандартам в области инфраструктуры открытых ключей и доверенных сервисов в настоящее время уделяется внимание в мире, докладчик подчеркнул, что мировые стандарты делают упор на защиту неприкосновенности частной жизни.

В России вопрос защиты персональных данных открыт, поскольку Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не работает, а сведения о гражданах «гуляют по Сети», добавил спикер.

Алексей Сабанов также отметил общие проблемы планирования работ по стандартизации. Росстандарт не разрабатывает стратегические планы, а система планирования построена снизу вверх, от Технических комитетов. Росстандарт лишь утверждает эти планы, исключения сделаны лишь для поручений министерств. «Вопрос планировании — вопрос обороноспособности страны», — считает эксперт.

Дискуссионный вопрос, который докладчик оставил для обсуждения, — гармонизация отечественных стандартов с международными, которые можно использовать для понимания «как они делают». Он заключил, что 80% стандартов в ИТ и ИБ имеют статус IDT. В условиях импортозамещения при наличии стратегии развития мы могли бы за 3-5 лет догнать развитие мировых стандартов и развивать национальную систему стандартизации параллельно со стандартами TIU и ISO/IEC, подвёл итог Сабанов.

Говоря о проблемах стандартизации вокруг PKI, Алексей Сабанов отметил, что основные стандарты в области инфраструктуры открытых ключей и доверенных сервисов официально не переведены. Основные международные стандарты PKI не прописаны в РФ.

PKI по определению является инфраструктурой доверия к открытым ключам, содержащимся в сертификатах X.509. При этом в развитии отечественной нормативно-правовой базы имеется явный перекос нормативного регулирования в сторону электронных подписей (ЭП), в то время как ЭП — лишь один из доверенных сервисов на базе PKI. Помимо сервисов ЭП есть ещё вопросы идентификации, аутентификации, валидации, гарантированной доставки документов и сообщений, проверки полномочий и штампы времени. Включение всех вопросов в стандарты позволяет говорить об уровне доверия.

Остановившись на работе профильного Технического комитета 26, докладчик отметил, что ТК 26 разработал национальные стандарты ГОСТ 34-10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи», криптографический стандарт на хеш-функцию ГОСТ 34-11-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи», принимал активное участие в создании международных стандартов.

«У нас создается многое, чтобы можно было работать», — считает Алексей Сабанов. — «Ведётся не совсем комплексно и планомерно, но даёт возможность отрасли работать».

Надо использовать опыт международных стандартов: разработка международных стандартов и сервисов на базе PKI традиционна, но имеет уклон в сторону защиты персональных данных и неприкосновенности частной жизни в цифровой среде. Разрабатываемые отечественные стандарты не должны противоречить принятым нормативно-правовым актам.

«По инициативе Технического комитета 26 в сфере PKI разработаны или находятся в работе национальные стандарты, однако для полноценной работы необходима централизация управления процессами планирования и разработки стандартов системы ГОСТ-Р», — считает докладчик. — «Планирование должно идти сверху, а для сокращения времени возможна корректировка системы планирования». Он полагает, что идентичные ISO/IEC стандарты нужны, но скорее как информационные, а не нормативные. И для сокращения разрыва с ISO/IEC целесообразно принимать не один глобальный документ, а несколько стандартов по данной тематике.

«Национальные стандарты должны способствовать созданию системы управления доверием в цифр среде и улучшению качества продуктов (СЗИ, СКЗИ) для поддержки сервисов безопасности на базе PKI», — подытожил Алексей Сабанов. При этом для нормального развития отрасли ведомственные документы должны регламентироваться стандартами на предмет нормативного регулирования.