RUEN
Главная » Блоги » skzi

Модернизация СТБ 34.101.27

Действующий стандарт СТБ 34.101.27 определяет требования к программным СКЗИ (средствам криптографической защиты информации). Проект Skzi, открытый нами на площадке Github, сопровождает разработку новой редакции СТБ 34.101.27.

В новой редакции мы хотим:

  1. Ввести требования безопасности не только к программным, но и к аппаратным СКЗИ. 
  2. Уточнить классификацию СКЗИ, ввести новые классы (по сути, уровни безопасности).
  3. Ввести пакеты – опциональные группы консолидированных тематических требований.
  4. Уточнить действующие требования, учитывая практику применения СТБ 34.101.27.

Мы считаем, что требование безопасности должно быть компромиссом между заказчиком, разработчиком и экспертом.

Заказчик СКЗИ опасается за безопасность своих информационных систем и их пользователей. Заказчик заинтересован в максимально жестких требованиях. Во многих случаях он не полагается на дисциплинированность пользователей и пытается максимально автоматизировать средства защиты, исключив так называемые оргмеры. При этом заказчик не забывает об удобстве работы, например, не заставляет пользователей использовать длинные заведомо незапоминаемые пароли и менять их каждые две недели.

Разработчику СКЗИ важно, чтобы требования были понятны и технологически реализуемы. Разработчик не принимает декларации типа "генератор случайных чисел, который используется для построения ключей, должен выдавать реализации независимых случайных величин с равномерным распределением на {0,1}". В таких декларациях речь идет об идеальных математических моделях, а не о генераторах.

Эксперту, который проводит испытания СКЗИ, важно, чтобы требование можно было проверить. Максимально объективно, вплоть до автоматизации.

Требование должно устраивать все стороны. При поиске компромисса уровень безопасности ни в коем случае не должен снижаться. Иногда, чтобы наладить реализуемость и проверяемость, уровень может даже немного завышаться.

Мы начинаем проект Skzi с записи накопившихся вопросов и поиску ответов на них. К обсуждению приглашаются все стороны компромисса.

 
Новости
07.03.2024
План семинара весна 2024
читать дальше
12.02.2024
Единый день голосования
читать дальше
24.10.2023
II Международная научная конференция
читать дальше
26.05.2023
XХVIII научно-практическая конференция
читать дальше
28.04.2023
TIBO 2023
читать дальше
02.01.2023
Программный комплекс ЭАДП
читать дальше
27.12.2022
С Новым годом!
читать дальше
21.11.2022
Программный инструментарий
читать дальше
13.09.2022
XIII Международная научная конференция
читать дальше