Андрей Анатольевич Чапчаев, генеральный директор компании «ИнфоТеКС», заместитель председателя и ответственный секретарь ТК 26, рассказал о деятельности комитета: его планах, действиях и целях.
Изменилась роль и статус ТК 26 в вопросах стандартизации с момента создания комитета в декабре 2007 года?
ТК 26 «Криптографическая защита информации» ведет активную работу в области национальной и международной стандартизации криптографических механизмов. ТК силами своих экспертов проводит как разработку криптографических механизмов, так и независимую экспертизу по оценке их криптографических качеств и эксплуатационных свойств. Результатом этой работы являются национальные стандарты, рекомендации по стандартизации, методические рекомендации и технические спецификации. Все эти результаты опубликованы и доступны всем желающим. Деятельность ТК, безусловно, успешна, и с каждым годом ТК только укрепляет свой статус открытого центра компетенций в области криптографической защиты информации.
Какие задачи были решены за прошедшие 8 лет? Какие знаковые события в истории комитета вы бы выделили?
Основной результат деятельности ТК состоит в разработке и принятии стандартизирующих документов. Главное достижение состоит в том, что за прошедшие годы был полностью обновлен базовый набор национальных криптографических стандартов: в 2012 году выпущены новые стандарты на электронную подпись ГОСТ Р 34.10-2012 и хэш-функцию ГОСТ Р 34.11-201. В 2015 году — стандарты на блочные шифры ГОСТ Р 34.12-2015 и режимы их работы ГОСТ Р 34.13-2015. Ведутся работы по подготовке стандартов и на другие криптографические механизмы, в частности, на генераторы псевдослучайных чисел и протоколы выработки общего ключа по открытому каналу.
Рабочие группы ТК, куда входят значительное число представителей компаний-разработчиков СКЗИ, занимаются выработкой целого спектра рекомендаций по стандартизации и методических рекомендаций по использованию национальных криптографических стандартов в конкретных средствах защиты информации и прикладных системах, которых принято уже более 15. Например, были подготовлены следующие рекомендации:
- по заданию параметров эллиптических кривых в соответствии со стандартом на электронную подпись,
- по использованию алгоритмов подписи и хэширования для профиля сертификата и списка отзыва сертификатов инфраструктуры открытых ключей X.509, актуальные в свете реализации ФЗ 63 «Об электронной подписи»,
- по применению алгоритмов шифрования, хэширования и электронной подписи в криптографических сообщениях формата CMS для систем защищенного электронного документооборота,
- по применению криптоалгоритмов в транспортном протоколе TLS для защиты электронных коммуникаций в сети Интернет.
Как в ТК 26 оценивают перспективы развития отрасли в целом в свете современных экономико-политический тенденций?
Эксперты ТК ведут работы в области международной стандартизации, принимая регулярное участие в работе профильной рабочей группы JTC1/SC27/WG2 Международной организации по стандартизации ISO. В 2010 году национальный стандарт на электронную подпись вошел в состав международного стандарта ISO/IEC 14888-3. Сейчас ведется работа по проведению в стандарт ISO/IEC 10118-3 и хэш-функции «Стрибог» из национального стандарта.
Для поддержки этой деятельности и привлечения внимания научной и практической общественности к «Стрибогу» был организован Открытый конкурс научно-исследовательских работ, посвященных анализу криптографических качеств этой хэш-функции. В результате были опубликованы около 10 работ, в которых получены независимые оценки стойкости «Стрибога». Победителями стали представители Китая, Канады, Российской Федерации и Сингапура. Порядок использования национальных стандартов был внесен в широко известную отраслевую спецификацию на интерфейс криптографического модуля PKCS#11 версии 2.4.
Определенный успех деятельности ТК 26 в области международной стандартизации позволит, в обозримой перспективе, заменить иностранные криптографические механизмы на национальные в ряде криптографических сервисов и информационно-коммуникационных технологиях. В частности, ТК активно включился в работу по созданию Национальной системы платежных карт (НСПК). Ни для кого не секрет, что защитные механизмы в технологиях платежных карт, использующиеся в России, до сих пор полностью основаны на зарубежной криптографии.
В связи с известными событиями и обстановкой, задача замещения зарубежной криптографии на национальную, очень актуальна. В составе ТК 26 создан новый подкомитет «Криптографические алгоритмы и протоколы в платежных системах», задачей которого является стандартизация применения российских криптографических алгоритмов в НСПК. И сейчас проводятся конкретные работы, в которых участвуют как представителя криптографического, так и банковского сообществ. Мы рассчитываем на успешное решение задачи импортозамещения в этой области к 2017-2018 году.
Активно ли участвует российское профессиональное сообщество в работе комитета?
Разработка стойких криптографических механизмов, а также поиск перспективных областей применения отечественных криптографических решений являются приоритетными задачами ТК. И эта работа проводится силами конкретных экспертов. ТК открыт для всех, кто заинтересован в развитии системы национальной стандартизации в области криптографической защиты информации.
Сейчас в ТК входит 66 организаций. При этом на момент создания в 2008 году их было 34. Практически на каждом заседании мы принимаем новых членов, что показывает интерес к стандартизации у представителей отрасли.
Создание стандартизующих документов ведется всегда силами конкретных экспертов — от нескольких человек до нескольких десятков. Не всегда консенсус достигается быстро, но всегда конструктивно. Общее число принятых документов говорит о том, что эксперты активны и мотивированы. Причем, если смотреть на процесс ретроспективно, видно, что активность нарастает.
Какие задачи стоят перед ТК 26 в настоящее время и с какими трудностями приходится сталкиваться?
Мы становимся больше, упорядочиваем свою деятельность. Исходя из нашего собственного и международного опыта, был разработан «Порядок оформления документов, содержащих проекты методических рекомендаций по вопросам, относящимся к стандартизации в области криптографической защиты информации». Документ определяет основные требования к содержанию, обоснованию и форме предложений, поступающих в адрес ТК. Он существенно оптимизирует процедуру разработки и упрощает процесс экспертной оценки решений, рассматриваемых ТК. Это ставит всех разработчиков в единые условия и устраняет излишнюю непрозрачность процесса.
Перед нами стоит задача разработки порядка создания стандартизующих документов и работы самого ТК, причем как содержательного, так и календарного: от стадии подачи заявки до выхода на стандартизующий документ. Такой порядок позволил бы активнее стимулировать членов ТК к работе и прогнозировать на долгосрочной основе выход стандартизующих документов.
Взаимодействует ли ТК 26 с другими техническими комитетами?
В своей повседневной деятельности ТК 26 не ограничивается взаимодействием со структурами системы технического регулирования (профильный институт ВНИИНМАШ, Интерстандарт и Стандартинформ), а стремится к развитию горизонтальных связей. Делается это при помощи взаимного представительства технических комитетов в деятельности друг друга. ТК 26 имеет представителей в ТК 362 «Защита информации», и подкомитете № 1 «Безопасность финансовых (банковских) операций» ТК 122.
Такое плотное взаимодействие позволяет охватить весь спектр разрабатываемых проектов стандартов в смежных областях и своевременное, еще до этапа обсуждения окончательной редакции проекта стандарта, оказание необходимой экспертной помощи.
