Ситуация в Казахстане

Когда идет речь о стандартах, то всегда надо учитывать интегрированность Казахстана в мировую экономику, поэтому практически все стандарты должны быть гармонизированы с международными техническими регламентами. Это особенно важно для развития ИТ-индустрии. Однако, в сфере информационной безопасности есть свои нюансы, особенно по стандартам в области криптографии. Каждая страна старается разработать свои национальные стандарты в области криптографии и это общемировая практика. Например, в Белоруссии, Узбекистане, Украине стандарты блочного шифрования являются отечественными продуктами. В России все стандарты в области криптографии являются отечественными продуктами.

В Казахстане же полностью отсутствует национальная (гражданская) криптография, уполномоченный орган просто переписывает иностранные стандарты, что наносит непоправимый урон отечественной индустрии (т.к. казахстанский рынок становится открытым для иностранных поставщиков, у которых в наличии имеются все заготовки), а также развитию отечественной криптографической школы. Отметим, что Казахстан до сих пор использует старый советский алгоритм шифрования – ГОСТ 28147-89, разработанный в недрах КГБ во времена советского союза. Белоруссия отказалась от советского ГОСТа в 2011 году, разработав свой отечественный алгоритм шифрования; Украина отказалась от советского ГОСТа в 2014 году, разработав свой отечественный алгоритм «Калина»; Россия ввела в действие новый отечественный алгоритм шифрования «Кузнечик» в 2015 году. Поэтому разработка национальных стандартов в сфере информационной безопасности и их гармонизация с международными техническими регламентами является одной из стратегических задач Института.

Задача 3. «Киберщит Казахстана» нуждается в особом проектном менеджменте. Необходимо сформировать пул актуальных научно-исследовательских и опытно-конструкторских тем для их финансирования. Однако существуют разные модели реализации проектов, и это зависит от специфики конкретного проекта.

Первая модель – классическая – это когда финансируется ход реализации научного проекта. Вторая модель – это когда вознаграждение победителю конкурса дается после завершения проекта. Третья модель – государственно-частное партнёрство. Надо изучать международный опыт в вопросах управления наукоемкими проектами государственной важности.

К примеру, в национальном институте стандартов и технологий США для принятия нового стандарта блочного шифрования была использована вторая модель. Конкурс и общественное научное обсуждение начались в 1997 году, и только в октябре 2000 года было объявлено, что алгоритм шифрования Rijndael (Рэндал) стал победителем среди 15 претендентов.

В России использовалась третья модель, так как уполномоченный орган привлек в соразработку алгоритма блочного шифрования частную компанию. Теперь в утвержденном стандарте блочного шифрования отмечено, что соавтором российского стандарта блочного шифрования является частная компания ИнфоТекс.

Первая же модель необходима для развития отечественной научной школы информационной безопасности, и темы грантовых проектов должны быть научными и «диссертабельными». Реализация же проектов государственной важности можно реализовывать в рамках научно-технологических программ либо с использованием механизма государственно-частного партнерства по опыту Российской Федерации.

Также важно отметить, что необходимо внедрить проектный менеджмент в отношении проектов и научно-технологических программ, которые планируется реализовывать под грифом секретности. Некоторые проекты в сфере кибербезопасности принципиально нельзя реализовывать под грифом секретности. Пример:

1 этап – научные исследования в области криптографии, такие как разработка алгоритма блочного шифрования, криптографической функции хеширования, алгоритма генерации псевдо-случайных чисел и т.д. Это базовые научные разработки, и проведение исследований под грифом секретности на данном этапе недопустимо. В криптографическом сообществе данный факт определен принципом Керкгоффса, который гласит, что чем больше частей криптографической системы хранится в секрете, тем более хрупкой становится вся система. Иными словами, если криптографическая стойкость алгоритма напрямую зависит от структурных секретных параметров, то такой алгоритм не имеет ничего общего с криптографической наукой.

Отметим, что этот этап является самой сложной научной частью в криптографии, например, в России разработка и анализ отечественного алгоритма шифрования «Кузнечик» длилось не менее 4-х лет на многочисленных открытых научных семинарах и профильных международных конференциях с 2011 по 2015 годы.

2 этап – процедура стандартизации, то есть оформление в техническую документацию разработанных алгоритмов из 1 этапа.

3 этап – разработка средств криптографической защиты информации (СКЗИ). То есть это разработка конкретных изделий, криптографические модули которых изготавливаются по утвержденным стандартам. Эти разработки можно делать под грифом секретности, так как научная ошибка исключается.

Материал от http://www.enu.kz/ru/info/novosti-enu/novosti-nauki/51745/

СТ РК 1073-2007 “Средства криптографической защиты информации. Общие технические требования.” Введен взамен СТ РК 1073-2002

СТ РК ISO/IEC 24759 – 2013 “Информационные технологии. Методы обеспечения безопасности. Требования к испытаниям криптографических модулей.”

СТ РК ISO/IEC 19772-2013 “Информационные технологии. Методы защиты. Шифрование с аутентификацией.”

СТ РК ИСО/МЭК 9798-1-2008 “Информационная технология. Методы и средства обеспечения безопасности. Механизмы аутентификации. Часть 1. Общие положения.”

СТ РК ИСО/МЭК 9798-2-2008 “Информационная технология. Методы и средства обеспечения безопасности. Механизмы аутентификации. Часть 2. Механизмы с применением алгоритмов симметричного шифрования.”

СТ РК ИСО/МЭК 9798-3-2008 “Информационная технология. Методы и средства обеспечения безопасности. Механизмы аутентификации. Часть 3. Механизмы с применением методов цифровой подписи.”

СТ РК ISO/IEC 9798-4-2013 “Информационные технологии. Методы защиты. Аутентификация объектов. Часть 4. Механизмы, использующие криптографическую функцию контроля.”

СТ РК ISO/IEC 9798-5-2013 “Информационные технологии. Методы защиты. Аутентификация объектов. Часть 5. Механизмы с применением методов без сообщения конфиденциальных сведений.”

СТ РК ISO/IEC 9798-6-2013 “Информационные технологии. Методы защиты. Аутентификация объектов. Часть 6. Механизмы, использующие передачу данных вручную.”
СТ РК ИСО/МЭК 10116-2008 “Информационная технология. Методы и средства обеспечения безопасности. Режимы работы n-битовых блочных шифров.” Введен впервые

СТ РК ИСО/МЭК 10118-1-2006 “Информационная технология. Методы защиты информации. Хэш-Функции. Часть 1. Общие положения.” Введен впервые

СТ РК ИСО/МЭК 10118-2-2006 “Информационная технология. Методы защиты информации. Хэш-Функции, использующим n-битовый блок щифрования.” Введен впервые

СТ РК ИСО/МЭК 10118-3-2006 “Информационная технология. Методы защиты информации. Хэш-функции. Часть 3. Специализированные хэш-функции.”

СТ РК ИСО/МЭК 10118-4-2006 “Информационная технология. Методы защиты информации. Хэш-функции. Часть 4. Хэш-функции, использующие модульную арифметику.”

СТ РК ИСО/МЭК 9797-1-2008 “Информационная технология. Методы и средства обеспечения безопасности. Коды аутентификации сообщений. Часть 1. Механизмы с использованием блочного шифра.”

СТ РК ИСО/МЭК 11770-1-2008 “Информационная технология. Методы и средства обеспечения безопасности. Управление ключами. Часть 1. Основные положения.”

СТ РК ИСО/МЭК 11770-2-2008 “Информационная технология. Методы и средства обеспечения безопасности. Управление ключами. Часть 2. Механизмы, использующие симметричные методы.” Введен впервые

СТ РК ИСО/МЭК 13888-2-2008 “Информационная технология. Методы и средства обеспечения безопасности. Неотказуемость. Часть 2. Механизмы, использующие симметричные методы.” Введен впервые

СТ РК ИСО/МЭК 14888-1-2006 “Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 1. Общие положения.” Введен впервые

СТ РК ИСО/МЭК 14888-2-2006 “Информационная тахнология. Методы защиты информации. Цифровые подписи с приложением. Часть 2. Механизмы, основанные на идентичности.” Введен впервые

СТ РК ИСО/МЭК 14888-3-2006 “Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 3. Механизмы, основанные на сертификате.” Введен впервые

СТ РК ГОСТ Р 34.10-2015 “Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.”

СТ РК ГОСТ Р 34.11-2015 “Информационная технология. Криптографическая защита информации. Функция хэширования.”