Модернизация СТБ 34.101.27

Действующий стандарт СТБ 34.101.27 определяет требования к программным СКЗИ (средствам криптографической защиты информации). Проект Skzi, открытый нами на площадке Github, сопровождает разработку новой редакции СТБ 34.101.27.

В новой редакции мы хотим:

  1. Ввести требования безопасности не только к программным, но и к аппаратным СКЗИ. 
  2. Уточнить классификацию СКЗИ, ввести новые классы (по сути, уровни безопасности).
  3. Ввести пакеты – опциональные группы консолидированных тематических требований.
  4. Уточнить действующие требования, учитывая практику применения СТБ 34.101.27.

Мы считаем, что требование безопасности должно быть компромиссом между заказчиком, разработчиком и экспертом.

Заказчик СКЗИ опасается за безопасность своих информационных систем и их пользователей. Заказчик заинтересован в максимально жестких требованиях. Во многих случаях он не полагается на дисциплинированность пользователей и пытается максимально автоматизировать средства защиты, исключив так называемые оргмеры. При этом заказчик не забывает об удобстве работы, например, не заставляет пользователей использовать длинные заведомо незапоминаемые пароли и менять их каждые две недели.

Разработчику СКЗИ важно, чтобы требования были понятны и технологически реализуемы. Разработчик не принимает декларации типа "генератор случайных чисел, который используется для построения ключей, должен выдавать реализации независимых случайных величин с равномерным распределением на {0,1}". В таких декларациях речь идет об идеальных математических моделях, а не о генераторах.

Эксперту, который проводит испытания СКЗИ, важно, чтобы требование можно было проверить. Максимально объективно, вплоть до автоматизации.

Требование должно устраивать все стороны. При поиске компромисса уровень безопасности ни в коем случае не должен снижаться. Иногда, чтобы наладить реализуемость и проверяемость, уровень может даже немного завышаться.

Мы начинаем проект Skzi с записи накопившихся вопросов и поиску ответов на них. К обсуждению приглашаются все стороны компромисса.

 
Новости
24.02.2020
План семинара весна 2020
20.10.2019
План семинара осень 2019
01.10.2019
XII Международная научная конференция
18.04.2019
Школа по компьютерным наукам
18.04.2019
Computer Science Summer
01.04.2019
AgatCTF-2019
07.03.2019
CDAM’2019
04.03.2019
План семинара весна 2019
12.09.2018
План семинара осень 2018