1 Апреля, 2019

ФСТЭК переводит реестр сертифицированных средств защиты на блокчейн

Алексей Лукацкий
На прошедшей 13-го марта "Нашей игре", посвященной сетевой безопасности, среди прочих я задал следующий вопрос:


Ответом на него был "Google Dorks", то есть набор приемов, который позволяет с помощью специальных операторов Google находить всякие разные штуки, включая уязвимости, пароли, а также конфиденциальные документы, а также файлы, которые сложно найти через систему индексации сайта. Я иногда "прохаживаюсь" по сайтам наших регуляторов и иногда улов бывает очень интересным. Например, как сегодня. На сайте ФСТЭК я наткнулся на презентацию, подготовленную консультантом управления ФСТЭК, в которой говорится о планах перевода реестра сертифицированных средств защиты информации на технологию блокчейн.

Я уже писал  о том, каким мог бы быть реестр сертификатов ФСТЭК и на прошедшей в феврале конференции регулятора Виталий Сергеевич Лютиков сказал, что они внимательно изучили мой "сон" и что-то возьмут на реализацию, а что-то сделают уже в самое ближайшее время. И что-то они действительно сделали .


Но я не думал, что будет сделан такой рывок вперед. ФСТЭК решила перевести свой реестр на блокчейн, который в презентации назван "цепной записью". Кстати, именно этот термин используется ФСБ и ТК26, которые даже первый документ на эту тему выпустили .


На конференции РусКрипто я выступал как раз на тему блокчейна и приводил условия, при которых блокчейн не имеет смысла. Например, когда речь идет о централизации, которую пытаются подменить блокчейном. Но в случае с реестром ФСТЭК централизации как раз и нет.


Налицо схема "консорциум", в которой могут участвовать сотни компаний, вносящих изменения в блокчейн и обменивающихся информацией о сертификатах на средства защиты информации.


В блоке цепной записи ФСТЭК планирует хранить всю сопутствующую средству защиты информацию:


в том числе и контрольные суммы на средство защиты информации:


И судя по составу информации, она может меняться достаточно часто - ФСТЭК приводит несколько таких ситуаций.


Судя по следующему слайду, помимо идеи автоматизации работы с реестром и снижения нагрузки на ФСТЭК, регулятор хочет внедрить инновации у производителей и испытательных лабораторий, живущих еще в 20-м веке при применяемым технологиям и подходам. Интересная попытка. Судя по идее ФСТЭК, они хотят, чтобы сертифицированные средства защиты могли самостоятельно подключаться к распределенному реестру и проверять статус своего сертификата (полезно для пользователя), как это делается для ключей активации/лицензионных ключей.


Но на пути внедрения блокчейна ФСТЭК ждет немало подводных и надводных камней. ФСТЭК их тоже прекрасно видит. И дело тут не только в применении сертифицированной криптографии в блокчейне (что само по себе нетривиально), но и в выполнении требований обоих регуляторов (и ФСТЭК, и ФСБ) в распределенной, постоянно меняющейся среде функционирования. Это большой камень преткновения для регулятора, привыкшего к статическим правилам игры и неизменной среде функционирования. Посмотрим, как ФСТЭК выкрутится.



В целом надо отметить революционность подхода ФСТЭК, которая не только пытается следовать курсу на цифровую трансформацию, который активно провозгласили российские власти, но и делать действительно что-то полезное для отрасли. А сложно не согласиться с тем, что описанный в презентации подход ей будет только полезен.

Будем ждать новый идей и реализаций от основного регулятора в области информационной безопасности.