Участники сессии PKI-Форума Россия — 2023 под названием «Стандартизация в области PKI, ЭДО, СКАиП» обсудили проблемы стандартизации в области инфраструктуры открытых ключей и доверенных сервисов.
С подробным докладом выступил Алексей Сабанов, главный эксперт НТК ТИО АО «НИИАС» ОАО «РЖД», эксперт ИСО, а также член ТК 362, ТК 26, ТК 122. Он отметил, что вопреки сложившимся подходам, стандарты нужны потребителям и разработчикам. Нужны они и регуляторам — об этом говорит планомерная работа ФСТЭК России. При отсутствии стандартов принимаются сертификаты соответствия, что создаёт сложности для всех участников процесса разработки и сертификации.
Отечественная система стандартизации во многом построена на международной системе ISO/IEC, продолжил Сабанов, и тесно связана с деятельностью ВТО и МБРР, которые уделяют внимание активному вовлечению стран в мировую торговлю. В связи с чем возникает вопрос необходимости соответствия национальной системы требованиям международных структур и определения вектора развития отечественной системы стандартизации. Говоря о глобальных трендах, докладчик подчеркнул, что мировые стандарты сегодня делают упор на защиту неприкосновенности частной жизни.
В России вопрос защиты ПДн открыт, поскольку Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не работает, а сведения о гражданах «гуляют по Сети», добавил спикер.
Алексей Сабанов также отметил общие проблемы планирования работ по стандартизации. Росстандарт не разрабатывает стратегические планы, а система планирования построена снизу вверх, от Технических комитетов. Росстандарт лишь утверждает эти планы, исключения сделаны лишь для поручений министерств. «Вопрос планирования — вопрос обороноспособности страны», — считает эксперт.
Дискуссионный вопрос, который Сабанов оставил для обсуждения, — гармонизация отечественных стандартов с международными, которые можно использовать для понимания «как они делают». Он заключил, что 80% стандартов в ИТ и ИБ имеют статус IDT. В условиях импортозамещения при наличии стратегии развития мы могли бы за 3-5 лет догнать развитие мировых стандартов и развивать национальную систему стандартизации параллельно со стандартами TIU и ISO/IEC, подытожил спикер.
Говоря о проблемах стандартизации вокруг PKI, Алексей Сабанов напомнил, что основные стандарты в области инфраструктуры открытых ключей и доверенных сервисов официально не переведены. Основные международные стандарты PKI не прописаны в РФ.
PKI по определению является инфраструктурой доверия к открытым ключам, содержащимся в сертификатах X.509. При этом в развитии отечественной нормативно-правовой базы имеется явный перекос нормативного регулирования в сторону электронных подписей, в то время как ЭП — лишь один из доверенных сервисов на базе PKI. Помимо сервисов ЭП есть ещё вопросы идентификации, аутентификации, валидации, гарантированной доставки документов и сообщений, проверки полномочий и штампы времени. Включение всех вопросов в стандарты позволяет говорить об уровне доверия.
Остановившись на работе профильного Технического комитета 26, докладчик отметил, что ТК 26 разработал национальные стандарты ГОСТ 34-10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи», криптографический стандарт на хеш-функцию ГОСТ 34-11-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» и принимал активное участие в создании международных стандартов.
«У нас создается многое, чтобы можно было работать», — считает эксперт. — «Ведётся не совсем комплексно и планомерно, но даёт возможность отрасли работать».
Надо использовать опыт международных стандартов: разработка международных стандартов и сервисов на базе PKI традиционна, но имеет уклон в сторону защиты ПДн и неприкосновенности частной жизни в цифровой среде. Разрабатываемые отечественные стандарты не должны противоречить принятым нормативно-правовым актам.
«По инициативе Технического комитета 26 в сфере PKI разработаны или находятся в работе национальные стандарты, однако, для полноценной работы необходима централизация управления процессами планирования и разработки стандартов системы ГОСТ-Р», — уверен спикер — «Планирование должно идти сверху, а для сокращения времени возможна корректировка системы планирования». Он полагает, что идентичные ISO/IEC стандарты нужны, но скорее как информационные, а не нормативные. И для сокращения разрыва с ISO/IEC целесообразно принимать не один глобальный документ, а несколько стандартов по данной тематике.
«Национальные стандарты должны способствовать созданию системы управления доверием в цифровой среде и улучшению качества продуктов (СЗИ, СКЗИ) для поддержки сервисов безопасности на базе PKI», — подытожил Алексей Сабанов. При этом для нормального развития отрасли ведомственные документы должны регламентироваться стандартами на предмет нормативного регулирования.