ФСТЭК переводит реестр сертифицированных средств защиты на блокчейн

Юмор
На прошедшей 13-го марта «Нашей игре», посвященной сетевой безопасности, среди прочих я задал следующий вопрос:

Ответом на него был «Google Dorks», то есть набор приемов, который позволяет с помощью специальных операторов Google находить всякие разные штуки, включая уязвимости, пароли, а также конфиденциальные документы, а также файлы, которые сложно найти через систему индексации сайта. Я иногда «прохаживаюсь» по сайтам наших регуляторов и иногда улов бывает очень интересным. Например, как сегодня. На сайте ФСТЭК я наткнулся на презентацию, подготовленную консультантом управления ФСТЭК, в которой говорится о планах перевода реестра сертифицированных средств защиты информации на технологию блокчейн.

Я уже писал о том, каким мог бы быть реестр сертификатов ФСТЭК и на прошедшей в феврале конференции регулятора Виталий Сергеевич Лютиков сказал, что они внимательно изучили мой «сон» и что-то возьмут на реализацию, а что-то сделают уже в самое ближайшее время. И что-то они действительно сделали.

Но я не думал, что будет сделан такой рывок вперед. ФСТЭК решила перевести свой реестр на блокчейн, который в презентации назван «цепной записью». Кстати, именно этот термин используется ФСБ и ТК26, которые даже первый документ на эту тему выпустили.

На конференции РусКрипто я выступал как раз на тему блокчейна и приводил условия, при которых блокчейн не имеет смысла. Например, когда речь идет о централизации, которую пытаются подменить блокчейном. Но в случае с реестром ФСТЭК централизации как раз и нет.

Налицо схема «консорциум», в которой могут участвовать сотни компаний, вносящих изменения в блокчейн и обменивающихся информацией о сертификатах на средства защиты информации.

В блоке цепной записи ФСТЭК планирует хранить всю сопутствующую средству защиты информацию:

в том числе и контрольные суммы на средство защиты информации:

И судя по составу информации, она может меняться достаточно часто — ФСТЭК приводит несколько таких ситуаций.

Судя по следующему слайду, помимо идеи автоматизации работы с реестром и снижения нагрузки на ФСТЭК, регулятор хочет внедрить инновации у производителей и испытательных лабораторий, живущих еще в 20-м веке при применяемым технологиям и подходам. Интересная попытка. Судя по идее ФСТЭК, они хотят, чтобы сертифицированные средства защиты могли самостоятельно подключаться к распределенному реестру и проверять статус своего сертификата (полезно для пользователя), как это делается для ключей активации/лицензионных ключей.

Но на пути внедрения блокчейна ФСТЭК ждет немало подводных и надводных камней. ФСТЭК их тоже прекрасно видит. И дело тут не только в применении сертифицированной криптографии в блокчейне (что само по себе нетривиально), но и в выполнении требований обоих регуляторов (и ФСТЭК, и ФСБ) в распределенной, постоянно меняющейся среде функционирования. Это большой камень преткновения для регулятора, привыкшего к статическим правилам игры и неизменной среде функционирования. Посмотрим, как ФСТЭК выкрутится.

В целом надо отметить революционность подхода ФСТЭК, которая не только пытается следовать курсу на цифровую трансформацию, который активно провозгласили российские власти, но и делать действительно что-то полезное для отрасли. А сложно не согласиться с тем, что описанный в презентации подход ей будет только полезен.

Будем ждать новый идей и реализаций от основного регулятора в области информационной безопасности.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. ProZa

    Сову на глобус ..

    Ответить