Академия информационных систем
РусКрипто-2023: день второй
24 марта 2023
РусКрипто-2023: день второй
Второй день конференции был продуктивным и насыщенным на сессии и дискуссии. Мы сделали для вас подборку ярких моментов.
Российские криптографические средства защиты информации
Секция была посвящена докладам ФСБ России и ответам на вопросы слушателей. В ходе неё эксперты обсудили практические аспекты работы со средствами криптографической защиты информации (СКЗИ) и регулированию этой сферы.
Как объяснил представитель ФСБ России и соведущий секции Игорь Папаев, ключевой задачей регулятора в этом вопросе является максимально подробно определить правила игры:
«Если действовать по этим правилам, будет достигнут наилучший эффект и с точки зрения построения системы с необходимым уровнем информационной безопасности и с минимальными затратами для заказчика. Но, к сожалению, действительно есть некоторое поверхностное отношение, когда при создании системы компания ради снижения затрат снижает уровень с КС3 до КС2, изменяя под это модель».
По его словам, если попытаться немного упростить себе жизнь на этапе разработки этого документа, дальше упрощения не будет. В качестве примера он привел реальный случай, когда, по мнению регулятора, должен был быть уровень КС3, но заказчик настоял, что ему достаточно КС2. Через какое-то время начались утечки. Оказалось, что они происходили по вине пользователя, который забирал данные и сливал их. В итоге возникли негативные эффекты, исправления, репутационные риски, а затем все равно пришлось перейти на КС3.
«Изначально регулятор не может заставить вас принять тот уровень, который ему кажется, но он подсказывает», — пояснил он.
Из зала даже прозвучали просьбы к регулятору ужесточить требования безопасности: «Нужно не просто делать образование 500 часов (профессиональная переподготовка по ИБ, — ред.), а требовать образования в области криптографии. Чтобы рассуждать об СКЗИ, нужно иметь базовое образование в криптографии», — высказал свою позицию один из участников РусКрипто.
В рамках секции также широко обсуждалась тема работы СКЗИ. Значительное внимание в своих докладах эксперты уделили разработке средств защиты, поэтому в вопросах к регулятору участники по большей части рассуждали об их эксплуатации и внедрении.
В частности, в зале предложили ввести обязательные требования к подготовке специалистов не только по разработке СКЗИ, но и по их эксплуатации. В ответ Игорь Попов сказал, что регулятор из этих соображений согласует правила пользования, заставляя разработчиков вписывать в них нормативные требования, однако само предложение обязать получать лицензию на эксплуатацию СКЗИ в ФСБ России сочли чрезмерным.
Электронный документооборот и электронная подпись
В экспертной сессии приняли участие представители профильной Ассоциации «РОСЭУ», бизнеса и профильных ведомств: ФНС России, Минцифры России, Федерального Казначейства и Федеральной нотариальной палаты.
Эксперты обсудили нормативные, организационные и технологические аспекты российского ЮЗЭДО, а также вопросы использования КЭП государством, гражданами и бизнесом и переход на использование МЧД и многое другое.
По данным Ассоциации «РОСЭУ», российский рынок ЭДО в 2022 году вырос на 10% и достиг 70,6 млрд рублей. При этом на 26% увеличилось число пользователей ЭДО (активнее стали подключаться к нему юрлица и ИП) и на 22% вырос объем ЭДО.
В качестве ключевых факторов роста рынка эксперт ассоциации Илья Виноградов привел:
· более чем 50% увеличение рынка маркировки;
· продление использования ЭП без применения МЧД и рост популярности МЧД;
· более чем 70% рост рынка кадрового ЭДО;
· создание ГИС ЭПД и появление форматов транспортной накладной (ЭТРН).
Также он отметил появление пилотных проектов по трансграничному ЭДО с Беларусью, Арменией, Казахстаном и Китаем.
Больше всего вопросов было направлено в адрес директора Правового департамента Минцифры России Романа Кузнецова. Отвечая на них, он предупредил, что после снятия моратория на проверки ряд удостоверяющих центров могут потерять свой статус в результате проверки ведомства, если их несостоятельность уже подкреплена судебными решениями.
Он уточнил, что для внутреннего КЭДО можно использовать универсальный формат МЧД. Кроме того, ведомство планирует провести совещание по наполнению классификатора полномочиями для В2В взаимодействия после утверждения новой структуры классификатора.
В свою очередь, начальник управления электронного документооборота ФНС России Федор Новиков заявил, что поддержка пользователей распределенного реестра должна осуществляться владельцами узлов, которые предоставляют услуги по размещению доверенности, а сервисы распределенного реестра планируется доработать в части расшифровки причины отказа в регистрации доверенности. При этом будет учтена невозможность раскрытия налоговой тайны и персональных данных.
Представитель Налоговой службы пояснил, что рекомендации госорганам использовать в своей деятельности универсальный формат МЧД сейчас прорабатывается и в итоге будет исходить от Правительства.
Он также предупредил, что операторы ЭДО могут потерять свой статус в случае несоблюдения положений в рамках их взаимодействия для оптимизации роуминга, когда это станет нормативным требованием.
ИнфоТеКС, генеральный партнер РусКрипто, много лет внедряет криптографические средства в промышленные системы. По мнению заместителя гендиректора компании Дмитрия Гусева, основные сложности в этом процессе — найти общий язык с инженерами-отраслевиками и предложить им достаточные обоснования влияния решения на исходные системы:
«Отрасль ещё с советских времен осталась хорошо централизованной. Мы видим архитектуру системы и можем предлагать для неё криптографическую защиту (...) В целом область применения подобных систем гораздо шире. Нам уже поступают запросы от других отраслевых институтов и ведомств с просьбой дать предложения по защите схожих систем».
Он также отметил, что с учетом специфики конкретных отраслей промышленности, средства криптографической защиты могут нарушить характеристики исходных систем. Однако, когда речь заходит о необходимости создания решений по защите схожих систем в других отраслях, «начинает проявляться универсальность криптографии как науки, которая не оперирует отдельно взятыми величинами».
Придуманные один раз, проверенные и тем более сертифицированные механизмы защиты, по словам Дмитрия Гусева, могут быть применены во многих параллельно существующих отраслях.
Второй день конференции завершился развлекательной программой, хедлайнером которой стали три боксерских турнира.
Количество показов: 1523