Пожалуй, самая сложная и нуждающаяся в дискуссии тема: стандартизация в области PKI. На PKI-форуме уже не раз высказывались мнения о том, какие именно вопросы, связанные с регулированием отрасли проработаны грамотно, какие нет, каких активностей профессиональное сообщество ожидает от регулятора.
При этом участники мероприятия, по их словам, хотели бы более активного участия в работе подобных площадок представителей регулятора, в том числе тех же Минсвязи и ФСБ.
Алексей Сабанов, представитель ТК 362 (Технический комитет по стандартизации "Защита информации"), представил первые два стандарта из плана по развитию системы национальных стандартов: ГОСТ Р "Идентификация и аутентификация. Общие положения" и ГОСТ Р "Уровни доверия к результатам идентификации". Кроме того, спикер уделил время стандартам ISO в области идентификации/аутентификации и защиты персональных данных - тому, что скоро появится на международной арене. Отдельный вопрос касался международного опыта применения биометрии: было отмечено, что при идентификации биометрия может использоваться только в дополнение к другим идентификационным атрибутам, а при аутентификации - также совместно с другими факторами.
Александра Жильцова, ведущий эксперт ООО «Газинформсервис», рассказала о разработке в рамках ТК 26 методических рекомендаций "Информационная технология. Криптографическая защита информации. Инфраструктура Открытых Ключей. Доверенная третья сторона. Протокол сервиса валидации". Предпосылками для них стала Стратегия развития информационного общества, а также программа "Цифровая экономика". Методические рекомендации сегодня всё еще в разработке, окончательное утверждение документа намечено на сентябрь 2020 года. В протокол сервиса валидации входит, в том числе, его описание, функционал CPD, CCPD , VSD и VPKC, сценарии использования, пример транзакции штампа времени и типов данных в запросах на проверку.
Выступление ответственного секретаря Подкомитета № 1 "Безопасность финансовых (банковских) операций" ТК № 122 "Стандарты финансовых операций" Владимира Голованова касалось актуальных направлений развития системы национальных и отраслевых стандартов ИБ для российских финансовых организаций. В своей работе ТК 122 ориентируется на то, что безопасность, с точки зрения бизнеса, - это не издержки, а новые возможности, фактор, способствующий развитию бизнеса. В задачи комитета входит разработка национальных стандартов, гармонизация международных и профессиональных стандартов для обеспечения безопасности банковской деятельности. Так, ГОСТ 57580.1-2017 и ГОСТ 57580.2-2018, касающиеся состава организационных и технических мер и методики оценки соответствия, были приняты уже в рамках планов работ ТК 122.
Владимир Иванов, директор по развитию компании «Актив-Софт», указал на нюансы в области электронной подписи и уровней доверия, которые стоит учитывать регуляторам. Так, ЭП бывает простая, усиленная и квалифицированная, но при этом юридической значимостью может обладать документ, подписанный фактически любым видом ЭП. Разновидности документов, для обеспечения юридической значимости которых требуется тот или иной вид ЭП, законодательно не зафиксированы, как и те разновидности, которые вообще не могут быть оформлены в электронном виде. При этом есть несколько технологий хранения ключей и создания подписи, и в условиях этого "зоопарка" решений не прослеживается связь между классом СКЗИ с юридической значимостью документа. Спикер привел западный опыт законодательства, в частности, eIDAS. "Пришло время определить уровни доверия к ЭП, привести квалифицированную подпись в гармонию с европейским законодательством, определить перечень документов, которые могут существовать в электронном виде", - резюмировал он.
.jpg)
.jpg)
.jpg)
.png)