РусКрипто 2018
Первый день РусКрипто 2018
1. Российский сегмент Интернет хотят перевести на российскую криптографию. Непонятно пока – как? Нужно стимулировать и пользователя (скидки или отмены пошлин при регистрации/оплатах с использованием криптографии с ГОСТ), и разработчиков (кнутом?). Существующие российские криптографические решения для бабушки-бухгалтера не подходят - слишком сложны. Было высказано предложение российским юрлицам при получении госуслуг жестко установить использование только ГОСТ.2. Развитие российских криптоалгоритмов. Со временем, после ввода Магма (тот же 28147-89 в режиме простой замены и с фиксироваными блоками подстановки) в качестве межгосударственного стандарта, шифрование по ГОСТ 28147-89 будет постепенно выводиться из использования (отведено примерно 5 лет на отмирание).
3. НСПК хотят перевести на российскую криптографию из-за угроз, связанных с импортными HSM (теоретическая удаленная перепрошивка/остановка HSM, запрет поставок или техподдержки из-за санкций и т.п.).
- В редакцию 382-П, которая находится на согласовании в ФСБ, госорган хочет включить требование - в национально значимых ПС использовать или сертифицированные ФСБ СКЗИ или импортные, но временно разрешенные к использованию тем же ФСБ.
- Для импортных СКЗИ использовать тот же подход, что и для российских - проводить оценку влияния среды функционирования СКЗИ. Разрешение на использование иностранных несертифицированных СКЗИ ФСБ планирует давать, только если отсутствуют аналогичные российские сертифицированные СКЗИ (комм. автора: прослеживается аналогия с закупками ПО для гос. нужд).
- Модели угроз и нарушителя для импортных СКЗИ должны разрабатываться лицензиатами ФСБ.
- Оператор ПС после регистрации платежной системы по истечении времени T (конкретное значение еще согласовывается) должен определить функциональные требования к СКЗИ в ПС.
- Оператор ПС должен определить 3 аккредитованные российские организации (лицензиаты ФСБ на работы как минимум по разработке защищенных информационных систем, п. 2 ПП 313) для оценки выполнения функциональных требований в СКЗИ, в т.ч. импортных.
- Проводятся испытания СКЗИ, результаты отдаются в ФСБ. СКЗИ включаются в реестр разрешенных с использованию в ПС.
-Во временно разрешенных к использованию в ПС СКЗИ могут быть импортные криптографические алгоритмы.
- Через N лет (конкретное значение согласовывается) в национально значимой ПС долны быть только сертифицированные СКЗИ. Временно разрешенные СКЗИ не запрещаются до окончания срока их эксплуатации.
- Вопрос – в каком объеме эти требования будут включены в 382-П, и какое время (T и N) будет отведено на переход.
- Из доклада сложилось впечатление (возможно, ложное), что не только НСПК, а все российские платежные системы в будущем планируют переводить на российские криптоалгоритмы. Уточнить предположение у докладчика пока не удалось.
- Модели угроз и нарушителя для импортных СКЗИ должны разрабатываться лицензиатами ФСБ.
- Оператор ПС после регистрации платежной системы по истечении времени T (конкретное значение еще согласовывается) должен определить функциональные требования к СКЗИ в ПС.
- Оператор ПС должен определить 3 аккредитованные российские организации (лицензиаты ФСБ на работы как минимум по разработке защищенных информационных систем, п. 2 ПП 313) для оценки выполнения функциональных требований в СКЗИ, в т.ч. импортных.
- Проводятся испытания СКЗИ, результаты отдаются в ФСБ. СКЗИ включаются в реестр разрешенных с использованию в ПС.
-Во временно разрешенных к использованию в ПС СКЗИ могут быть импортные криптографические алгоритмы.
- Через N лет (конкретное значение согласовывается) в национально значимой ПС долны быть только сертифицированные СКЗИ. Временно разрешенные СКЗИ не запрещаются до окончания срока их эксплуатации.
- Вопрос – в каком объеме эти требования будут включены в 382-П, и какое время (T и N) будет отведено на переход.
- Из доклада сложилось впечатление (возможно, ложное), что не только НСПК, а все российские платежные системы в будущем планируют переводить на российские криптоалгоритмы. Уточнить предположение у докладчика пока не удалось.
4. Представитель Сбербанка в очередной раз порадовал достижениями в рамках эксперимента по удаленной регистрации бизнеса и открытию счетов.
Второй день РусКрипто 2018
Представители компаний-разработчиков антивирусов и GroupIB рассказывали о важности эшелонированной защиты от вредоносных программ.
Во второй день конференции Алексей Лукацкий провел интересный мастер-класс, хорошо описанный здесь.
На удивление, не было ожидаемого мной обсуждения изменений в 63-ФЗ "Об электронной подписи" со стороны удостоверяющих центров. В прошлом году представителю Минкомсвязи пришлось "отбиваться" от представителей УЦ. Видимо, и из-за этого тоже в этом году от Минкомсвязи представителей не было:)
Еще материалы по форуму.
Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях!
Комментариев нет:
Отправить комментарий