среда, 21 марта 2018 г.

РусКрипто 2018

РусКрипто 2018

Интересные темы: перевод российского сегмента Интернет на российские криптоалгоритмы, развитие российских криптографических стандартов, перевод НСПК на российскую криптографию, эшелонированная защита от вредоносных программ, мастер-класс Алексей Лукацкого.


Первый день РусКрипто 2018

1. Российский сегмент Интернет хотят перевести на российскую криптографию. Непонятно пока – как? Нужно стимулировать и пользователя (скидки или отмены пошлин при регистрации/оплатах с использованием криптографии с ГОСТ), и разработчиков (кнутом?). Существующие российские криптографические решения для бабушки-бухгалтера не подходят - слишком сложны. Было высказано предложение российским юрлицам при получении госуслуг жестко установить использование только ГОСТ.
2. Развитие российских криптоалгоритмов. Со временем, после ввода Магма (тот же 28147-89 в режиме простой замены и с фиксироваными блоками подстановки) в качестве межгосударственного стандарта, шифрование по ГОСТ 28147-89 будет постепенно выводиться из использования (отведено примерно 5 лет на отмирание).



3. НСПК хотят перевести на российскую криптографию из-за угроз, связанных с импортными HSM (теоретическая удаленная перепрошивка/остановка HSM, запрет поставок или техподдержки из-за санкций и т.п.). 

- В редакцию 382-П, которая находится на согласовании в ФСБ, госорган хочет включить требование - в национально значимых ПС использовать или сертифицированные ФСБ СКЗИ или импортные, но временно разрешенные к использованию тем же ФСБ.
Для импортных СКЗИ использовать тот же подход, что и для российских - проводить оценку влияния среды функционирования СКЗИ. Разрешение на использование иностранных несертифицированных СКЗИ ФСБ планирует давать, только если отсутствуют аналогичные российские сертифицированные СКЗИ (комм. автора: прослеживается аналогия с закупками ПО для гос. нужд).
- Модели угроз и нарушителя для импортных СКЗИ должны разрабатываться лицензиатами ФСБ.
- Оператор ПС после регистрации платежной системы по истечении времени T (конкретное значение еще согласовывается) должен определить функциональные требования  к СКЗИ в ПС.

- Оператор ПС должен определить 3 аккредитованные российские организации (лицензиаты ФСБ на работы как минимум по разработке защищенных информационных систем, п. 2 ПП 313) для оценки выполнения функциональных требований в СКЗИ, в т.ч. импортных.

- Проводятся испытания СКЗИ, результаты отдаются в ФСБ. СКЗИ включаются в реестр разрешенных с использованию в ПС.
 -Во временно разрешенных к использованию в ПС СКЗИ могут быть импортные криптографические алгоритмы.
- Через N лет (конкретное значение согласовывается) в национально значимой ПС долны быть только сертифицированные СКЗИ. Временно разрешенные СКЗИ не запрещаются до окончания срока их эксплуатации.
- Вопрос – в каком объеме эти требования будут включены в 382-П, и какое время (T и N) будет отведено на переход. 
- Из доклада сложилось впечатление (возможно, ложное), что не только НСПК, а все российские платежные системы в будущем планируют переводить на российские криптоалгоритмы. Уточнить предположение у докладчика пока не удалось.
4. Представитель Сбербанка в очередной раз порадовал достижениями в рамках эксперимента по удаленной регистрации бизнеса и открытию счетов.

Второй день РусКрипто 2018

Представители компаний-разработчиков антивирусов и GroupIB рассказывали о важности эшелонированной защиты от вредоносных программ.






Во второй день конференции Алексей Лукацкий провел интересный мастер-класс, хорошо описанный здесь
На удивление, не было ожидаемого мной обсуждения изменений в 63-ФЗ "Об электронной подписи" со стороны удостоверяющих центров. В прошлом году представителю Минкомсвязи пришлось "отбиваться" от представителей УЦ. Видимо, и из-за этого тоже в этом году от Минкомсвязи представителей не было:) 
Еще материалы по форуму.

Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях! 

Комментариев нет:

Отправка комментария