воскресенье, 30 января 2022 г.

Росстандарт: Начато публичное обсуждение проекта предстандарта ПНСТ «Криптографическая защита информации. Термины и определения»

На сайте NORMACS ( https://www.normacs.info ) с 18 января 2022 года время открыто публичное обсуждение проекта предварительного национального стандарта ПНСТ «Информационная технология. Криптографическая защита информации. Термины и определения» объёмом 94 страницы, содержащий 196 терминов, см. https://www.normacs.info/projects/9882 . Обсуждение продлится до 31 марта 2022 года; для участия в обсуждении может потребоваться регистрация на сайте.

Текст проекта стандарта можно скачать по адресу https://www.normacs.info/project_files/10509 , а пояснительной записки к нему – по адресу https://www.normacs.info/project_files/10508 .

Документ разработан Академией криптографии Российской Федерации, внесён Техническим комитет ТК26 «Криптографическая защита информации».

В аннотации на документ отмечается: «Настоящий стандарт устанавливает основные термины с соответствующими определениями, применяемые при проведении работ по стандартизации в области криптографической защиты информации.»

В приглашении принять участие в публичном обсуждении документа сказано:

«Разработка терминологического стандарта в области криптографической защиты информации станет дополнительным стимулом для российских и зарубежных производителей в части импортозамещения и установления цифрового суверенитета Российской Федерации.

Использование единого понятийного аппарата и терминологической системы будет способствовать более эффективному инвестированию лицензиатами всех видов криптографической деятельности в создание новых средств криптографической защиты информации, отвечающих всем требованиям действующего законодательства и уполномоченного органа власти, уполномоченного на регулирование в этой области.»

Меня заинтересовали следующие определения:

23. Аутентификация данных (data authentication) - Проверка целостности данных и аутентификация их источника

50. Уничтожение ключей (key destruction) - Очистка или уничтожение ключевых носителей в целях исключения компрометации ключей

Примечание: Адаптировано из ИСО/МЭК 11770-1:2010, статья 2.20

Мой комментарий: Авторы написали примечание с большим юмором – определение в международном стандарте совершенно иное, и звучит так: «Уничтожение ключей – сервис безопасного уничтожения ключей, которые перестали быть нужными».

С моей точки зрения, международное определение более правильное – во-первых, оно акцентирует внимание на уничтожении собственно ключей, а не их носителей (можно уничтожить носитель, предварительно скопировав ключ куда-то ещё!), и, во-вторых, не связывает жёстко уничтожение с вопросами возможной компрометации, указывая более распространенную причину для уничтожения.

Неудачно сформулировано определение понятия «штамп времени (метка доверенного времени)» (п.61), которое не соответствует ни международному стандарту, из которого оно вроде как позаимствовано, ни тем более определению понятия «метка доверенного времени», данному в Федеральном законе от 06.04.2011 №63-ФЗ «Об электронной подписи» (ред. от 02.07.2021), ст.2, п.19.

Определение термина «инфраструктура открытых ключей» (п.63) дано крайне узкое, охватывающее только центры сертификации и удостоверяющие центры, в результате чего оно не соответствует куда более широким существующим международным определениям в стандартах ИСО/МЭК.

В документе определено понятие «цифровая подпись» - калька с английского термина digital signature. Однако – и авторам из Академии криптографии РФ следовало бы это знать – данное англоязычное понятие соответствует нашим терминам «усиленная электронная подпись» либо «электронная цифровая подпись, ЭЦП».

В целом ряде терминов (157-165), на мой взгляд, неоправданно используется неудобная и редко встречающаяся конструкция «невозможность отрицания» вместо привычной и короткой «неотказуемости».

Содержание документа следующее:

Предисловие
1. Область применения
2. Нормативные ссылки
3. Термины и определения

3.1. Общие термины и определения
3.2. Термины и определения, относящиеся к ключевой системе
3.3. Термины и определения, относящиеся к системе шифрования
3.4. Термины и определения, относящиеся к системе подписи
3.5. Термины и определения, относящиеся к системе имитозащиты
3.6. Термины и определения, относящиеся к системе аутентификации сторон
3.7. Термины и определения, относящиеся к средствам криптографической защиты информации

4. Алфавитный указатель терминов на русском языке
5. Алфавитный указатель терминов на английском  языке
6. Приложение А (справочное): Вспомогательные термины и определения в области криптографической защиты информации, не включенные в раздел 3 настоящего стандарта
7. Приложение Б (справочное): Термины и определения, применяемые в областях деятельности, смежных с криптографической защитой информации
8. Библиография

Оставить свои замечания на предстандарт можно здесь: https://www.normacs.info/discussions/7855#7855

Источник: сайт NORMACS
https://www.normacs.info/projects/9882
https://www.normacs.info/project_files/10509
https://www.normacs.info/project_files/10508

Комментариев нет:

Отправить комментарий