Настоящий стандарт устанавливает основные термины с соответствующими определениями, применяемые при проведении работ по стандартизации в области криптографической защиты информации.
Приглашаем обсудить проект ПНСТ по криптографической защите информации
Публичное обсуждение проекта продлится до 31 марта 2022 г.
Разработка терминологического стандарта в области криптографической защиты информации станет дополнительным стимулом для российских и зарубежных производителей в части импортозамещения и установления цифрового суверенитета Российской Федерации.
Использование единого понятийного аппарата и терминологической системы будет способствовать более эффективному инвестированию лицензиатами всех видов криптографической деятельности в создание новых средств криптографической защиты информации, отвечающих всем требованиям действующего законодательства и уполномоченного органа власти, уполномоченного на регулирование в этой области.
Определение 54 термина "открытый ключ" не соответствует практике - открытый ключ во многих приложениях не делается общедоступным и ракрывается только ограниченному кругу авторизованных участников информационного обмена.
Предлагается заменить определение: "Общедоступный криптографический ключ из ключевой пары" на формулировку из международного стандарта ИСО/МЭК 11770-1:2010, ст.2.35 "Криптографический ключ из ключевой пары, который обычно может быть опубликован, не компрометируя при этом безопасность"
В определении 50 термина «уничтожение ключей» умиляет отсылка в Примечании на стандарт ИСО/МЭК 11770-1:2010, ст. 2.20, в которой дано совсем иное определение данного термина: «Уничтожение ключей – сервис безопасного уничтожения ключей, которые перестали быть нужными».
Международное определение представляется более правильным, поскольку, во-первых, оно акцентирует внимание на уничтожении собственно ключей, а не их носителей (можно ведь уничтожить носитель, предварительно скопировав ключ куда-то ещё!), и, во-вторых, не связывает жёстко уничтожение с вопросами возможной компрометации, указывая более распространенную причину для уничтожения.
Ещё лучше было бы сказать о том, что уничтожение ключей означает необратимое уничтожение всех существующих, бумажных и электронных экземпляров и копий ключей (в асимметричной криптографии – закрытого ключа), - в том числе на резервных копиях информационных систем, если они туда попали – предпочтительно, посредством уничтожения соответствующих носителей. Очистка носителей без их физического уничтожения может допускаться лишь в отдельных специфических ситуациях после тщательного анализа рисков, в соответствии с утверждёнными нормативными документами.
Определение 61 термина «штамп времени» (он же "метка доверенного времени") повисло в воздухе и оказалось фактически циклическим, поскольку авторы – в отличие от ИСО/МЭК 18014-1:2018 – не потрудились дать определение понятию «метка времени», через которое «штамп времени» определятеся.
Рекомендуем дополнить предстандарт либо определением из ИСО/МЭК 18014-1:2018, ст. 3.12, либо сформулировать определение на основе определения из Федерального закона от 06.04.2011 №63-ФЗ (ред. от 02.07.2021), ст. 2, п.19: "метка доверенного времени - достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центром или оператором информационной системы и полученная в момент подписания электронного документа электронной подписью в установленном уполномоченным федеральным органом порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом."
Определение 63 термина "инфраструктура открытых ключей" крайне узкое (охватывает только центры сертификации и УЦ), в результате чего оно не соответствует куда более широким существующим международным определениям в стандартах ИСО/МЭК.
Определение 136 термина «цифровая подпись» не имеет права на существование, поскольку вносит терминологическую путаницу. В России, в т.ч. в действующем законодательстве, используется понятие «усиленная электронная подпись» либо несколько устаревшее «электронная цифровая подпись, ЭЦП»
В целом ряде терминов (157-165) неоправданно используется неудобная и редко встречающаяся в литературе конструкция «невозможность отрицания» вместо привычной и короткой «неотказуемости».
Приглашаем обсудить проект ПНСТ по криптографической защите информации
Публичное обсуждение проекта продлится до 31 марта 2022 г.
Разработка терминологического стандарта в области криптографической защиты информации станет дополнительным стимулом для российских и зарубежных производителей в части импортозамещения и установления цифрового суверенитета Российской Федерации.
Использование единого понятийного аппарата и терминологической системы будет способствовать более эффективному инвестированию лицензиатами всех видов криптографической деятельности в создание новых средств криптографической защиты информации, отвечающих всем требованиям действующего законодательства и уполномоченного органа власти, уполномоченного на регулирование в этой области.
Определение 54 термина "открытый ключ" не соответствует практике - открытый ключ во многих приложениях не делается общедоступным и ракрывается только ограниченному кругу авторизованных участников информационного обмена.
Предлагается заменить определение: "Общедоступный криптографический ключ из ключевой пары" на формулировку из международного стандарта ИСО/МЭК 11770-1:2010, ст.2.35 "Криптографический ключ из ключевой пары, который обычно может быть опубликован, не компрометируя при этом безопасность"
В определении 50 термина «уничтожение ключей» умиляет отсылка в Примечании на стандарт ИСО/МЭК 11770-1:2010, ст. 2.20, в которой дано совсем иное определение данного термина: «Уничтожение ключей – сервис безопасного уничтожения ключей, которые перестали быть нужными».
Международное определение представляется более правильным, поскольку, во-первых, оно акцентирует внимание на уничтожении собственно ключей, а не их носителей (можно ведь уничтожить носитель, предварительно скопировав ключ куда-то ещё!), и, во-вторых, не связывает жёстко уничтожение с вопросами возможной компрометации, указывая более распространенную причину для уничтожения.
Ещё лучше было бы сказать о том, что уничтожение ключей означает необратимое уничтожение всех существующих, бумажных и электронных экземпляров и копий ключей (в асимметричной криптографии – закрытого ключа), - в том числе на резервных копиях информационных систем, если они туда попали – предпочтительно, посредством уничтожения соответствующих носителей. Очистка носителей без их физического уничтожения может допускаться лишь в отдельных специфических ситуациях после тщательного анализа рисков, в соответствии с утверждёнными нормативными документами.
Определение 61 термина «штамп времени» (он же "метка доверенного времени") повисло в воздухе и оказалось фактически циклическим, поскольку авторы – в отличие от ИСО/МЭК 18014-1:2018 – не потрудились дать определение понятию «метка времени», через которое «штамп времени» определятеся.
Рекомендуем дополнить предстандарт либо определением из ИСО/МЭК 18014-1:2018, ст. 3.12, либо сформулировать определение на основе определения из Федерального закона от 06.04.2011 №63-ФЗ (ред. от 02.07.2021), ст. 2, п.19: "метка доверенного времени - достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центром или оператором информационной системы и полученная в момент подписания электронного документа электронной подписью в установленном уполномоченным федеральным органом порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом."
Определение 63 термина "инфраструктура открытых ключей" крайне узкое (охватывает только центры сертификации и УЦ), в результате чего оно не соответствует куда более широким существующим международным определениям в стандартах ИСО/МЭК.
Определение 136 термина «цифровая подпись» не имеет права на существование, поскольку вносит терминологическую путаницу. В России, в т.ч. в действующем законодательстве, используется понятие «усиленная электронная подпись» либо несколько устаревшее «электронная цифровая подпись, ЭЦП»
В целом ряде терминов (157-165) неоправданно используется неудобная и редко встречающаяся в литературе конструкция «невозможность отрицания» вместо привычной и короткой «неотказуемости».
sspchram, добрый день!
Пожалуйста, оформите ваши замечания в сводку отзывов, образец сводки отзывов приложен к проекту или можете скачать по этой ссылке: https://www.normacs.info/project_files/default/remark_form
Уважаемый Администратор,
Посылаю файл с замечаниями
sspchram, добрый день!
Спасибо! Передали разработчикам.