«В Казахстане создается национальный институт развития в сфере обеспечения информационной безопасности» – статья директора научно-исследовательского института информационной безопасности и криптологии ЕНУ им. Л.Н. Гумилева, члена Общественного совета МОАП

Сейткулов Ержан Нураханович, директор научно-исследовательского института информационной безопасности и криптологии ЕНУ им. Л.Н. Гумилева, член Общественного совета министерства оборонной и аэрокосмической промышленности РК, рассуждает об основных задачах создаваемого головного института в сфере информационной безопасности.

Уже более двух лет я обосновываю необходимость создания головного (национального) Института для эффективной реализации научно-исследовательских и опытно-конструкторских работ государственной важности в сфере информационной безопасности. В моей авторской работе «Информационная безопасность Республики Казахстан: состояние и перспективы» http://www.enu.kz/ru/info/novosti-enu/novosti-nauki/45582/, опубликованной на сайте ЕНУ им. Л.Н. Гумилева 10 октября 2016 года, дано подробное обоснование создания данного института.

Данное предложение по созданию национального Института информационной безопасности реализовывается согласно Закону РК «Об информатизации» (с изменениями и дополнениями от 28.12.2017 года), в котором обозначены 5 основных задач:

1) участвует в реализации государственной политики в сфере обеспечения информационной безопасности;

2) разрабатывает документы по стандартизации в сфере обеспечения информационной безопасности;

3) осуществляет научно-техническую деятельность в сфере обеспечения информационной безопасности;

4) проводит научно-техническую экспертизу проектов в сфере обеспечения информационной безопасности;

5) осуществляет подготовку, переподготовку и повышение квалификации в сфере информационной безопасности.

Задача 1. Министерство оборонной и аэрокосмической промышленности призвано развивать отечественную индустрию в сфере информационной безопасности и электронной промышленности. А это весьма сложная и долгосрочная миссия, но своевременная и выполнимая. Организация научных исследований, разработка и производство собственных аппаратных и программных средств защиты информации, а также ключевых элементов ИТ-инфраструктуры необходимы для обеспечения «цифрового суверенитета» любой страны.

В стране слабо развита отечественная индустрия информационной безопасности. И причиной этому являются иностранные вендоры-гиганты. К примеру, когда государственными органами и иными организациями объявляются конкурсы на закупку средств защиты информации, то выигрывают компании, являющиеся локальными партнерами ведущих иностранных производителей. То есть зарубежные корпорации через своих представителей в Казахстане не дают возможности «встать на ноги» отечественным стартапам. Иностранные поставщики не создают рабочие места в Казахстане, не инвестируют, а занимаются исключительно сбытом своих продукций. 

Разработки в области защиты информации напрямую связаны с деятельностью по обеспечению государственных и коммерческих секретов, поэтому использование готовой иностранной продукции небезопасно. Практически невозможно исследовать на предмет наличия или отсутствия незадекларированных возможностей в данных готовых программно-аппаратных продуктах. В интересах обеспечения информационной безопасности, разработка ключевых элементов средств защиты и иных программно-технических продуктов государственной важности должна выполняться в специализированных национальных лабораториях с привлечением отечественных ученых и специалистов.

Поэтому основные задачи головного Института – это форсирование стратегической задачи поэтапного импортозамещения, разработка научно-обоснованных отчетов и документов для МОАП РК, развитие государственно-частного партнерства, поддержка отечественных исследователей и стартапов, привлечение инвестиций и трансфер технологий, постоянная актуализация образовательных программ в сфере информационной безопасности и т.д. Для реализации этих задач нужно постоянное научно-аналитическое сопровождение государственной концепции «Киберщит Казахстана». Таким образом, для реализации государственной политики в сфере обеспечения информационной безопасности требуется внедрение эффективного проектного менеджмента.

Задача 2. Когда идет речь о стандартах, то всегда надо учитывать интегрированность Казахстана в мировую экономику, поэтому практически все стандарты должны быть гармонизированы с международными техническими регламентами. Это особенно важно для развития ИТ-индустрии. Однако, в сфере информационной безопасности есть свои нюансы, особенно по стандартам в области криптографии. Каждая страна старается разработать свои национальные стандарты в области криптографии и это общемировая практика. Например, в Белоруссии, Узбекистане, Украине стандарты блочного шифрования являются отечественными продуктами. В России все стандарты в области криптографии являются отечественными продуктами.

В Казахстане же полностью отсутствует национальная (гражданская) криптография, уполномоченный орган просто переписывает иностранные стандарты, что наносит непоправимый урон отечественной индустрии (т.к. казахстанский рынок становится открытым для иностранных поставщиков, у которых в наличии имеются все заготовки), а также развитию отечественной криптографической школы. Отметим, что Казахстан до сих пор использует старый советский алгоритм шифрования – ГОСТ 28147-89, разработанный в недрах КГБ во времена советского союза. Белоруссия отказалась от советского ГОСТа в 2011 году, разработав свой отечественный алгоритм шифрования; Украина отказалась от советского ГОСТа в 2014 году, разработав свой отечественный алгоритм «Калина»; Россия ввела в действие новый отечественный алгоритм шифрования «Кузнечик» в 2015 году. Поэтому разработка национальных стандартов в сфере информационной безопасности и их гармонизация с международными техническими регламентами является одной из стратегических задач Института.

Задача 3. «Киберщит Казахстана» нуждается в особом проектном менеджменте. Необходимо сформировать пул актуальных научно-исследовательских и опытно-конструкторских тем для их финансирования. Однако существуют разные модели реализации проектов, и это зависит от специфики конкретного проекта.

Первая модель – классическая – это когда финансируется ход реализации научного проекта. Вторая модель – это когда вознаграждение победителю конкурса дается после завершения проекта. Третья модель – государственно-частное партнёрство. Надо изучать международный опыт в вопросах управления наукоемкими проектами государственной важности.

К примеру, в национальном институте стандартов и технологий США для принятия нового стандарта блочного шифрования была использована вторая модель. Конкурс и общественное научное обсуждение начались в 1997 году, и только в октябре 2000 года было объявлено, что алгоритм шифрования Rijndael (Рэндал) стал победителем среди 15 претендентов.

В России использовалась третья модель, так как уполномоченный орган привлек в соразработку алгоритма блочного шифрования частную компанию. Теперь в утвержденном стандарте блочного шифрования отмечено, что соавтором российского стандарта блочного шифрования является частная компания ИнфоТекс.

Первая же модель необходима для развития отечественной научной школы информационной безопасности, и темы грантовых проектов должны быть научными и «диссертабельными». Реализация же проектов государственной важности можно реализовывать в рамках научно-технологических программ либо с использованием механизма государственно-частного партнерства по опыту Российской Федерации.

Также важно отметить, что необходимо внедрить проектный менеджмент в отношении проектов и научно-технологических программ, которые планируется реализовывать под грифом секретности. Некоторые проекты в сфере кибербезопасности принципиально нельзя реализовывать под грифом секретности. Пример:

1 этап – научные исследования в области криптографии, такие как разработка алгоритма блочного шифрования, криптографической функции хеширования, алгоритма генерации псевдо-случайных чисел и т.д. Это базовые научные разработки, и проведение исследований под грифом секретности на данном этапе недопустимо. В криптографическом сообществе данный факт определен принципом Керкгоффса, который гласит, что чем больше частей криптографической системы хранится в секрете, тем более хрупкой становится вся система. Иными словами, если криптографическая стойкость алгоритма напрямую зависит от структурных секретных параметров, то такой алгоритм не имеет ничего общего с криптографической наукой.

Отметим, что этот этап является самой сложной научной частью в криптографии, например, в России разработка и анализ отечественного алгоритма шифрования «Кузнечик» длилось не менее 4-х лет на многочисленных открытых научных семинарах и профильных международных конференциях с 2011 по 2015 годы.

2 этап – процедура стандартизации, то есть оформление в техническую документацию разработанных алгоритмов из 1 этапа.

3 этап – разработка средств криптографической защиты информации (СКЗИ). То есть это разработка конкретных изделий, криптографические модули которых изготавливаются по утвержденным стандартам. Эти разработки можно делать под грифом секретности, так как научная ошибка исключается.

4 этап – сертификация. Это прохождение процедуры соответствия изделий утверждённым стандартам для их последующей реализации на рынке.  

Поэтому одной из основных задач – это проведение научной и технической деятельности с обязательным внедрением эффективного проектного менеджмента.

Задача 4. Для эффективной реализации концепции «Киберщит Казахстана» необходим разумный протекционизм для поддержки отечественных ученых и производителей средств защиты информации. В концепции «Киберщит Казахстана» прописаны некоторые меры поддержки отечественных производителей, но предлагается дополнить их еще одним важным элементом проектного менеджмента — экспертиза на открытых научных семинарах. Считаю, что это будет эффективной мерой по выявлению истинно важных для государства проектов, а также будет поддержкой для отечественных стартапов и исследователей. Также предлагается тщательно и всесторонне изучить международный опыт, в частности опыт России в вопросах импортозамещения в сфере защиты информации. Хочу отметить, что МОАП уже начал работу по проведению первичной научно-технической экспертизы создав научно-технический совет при министерстве, который успешно функционирует.

Задача 5. Реализация первых 4 задач предполагает наличие подготовленных национальных кадров. Поэтому корнем проблем в вопросах обеспечения информационной безопасности является их дефицит. На протяжении нескольких лет я обосновывал необходимость увеличения количества образовательных грантов по специальности «Системы информационной безопасности». До 2016 года на весь Казахстан выделялось только 60 образовательных грантов, а в 2017 году это количество было увеличено до 167. Планируется поэтапное увеличение грантов до 500 в год.

В числе прочих задач, такие как переподготовка и повышение квалификации, необходимо совместно с НПП «Атамекен» оказывать содействие вузовскому образованию в области информационной безопасности, то есть прорабатывать вопросы, связанные с разработками образовательных стандартов обучения и выбором элективных дисциплин для качественной подготовки национальных кадров в области информационной безопасности.

Подробнее об этом материале по ссылке http://www.enu.kz/ru/info/novosti-enu/novosti-nauki/51745/

пресс-служба Казкосмоса

Также в разделе:

Новости

К началу нового учебного года, учащиеся свыше 250 сельских школ получили доступ к высокоскоростному интернету

Более 250 школ и около 200 больниц в отдаленных сельских населенных пунктах подключили к высокоскоростному...

В Казахстане будет налажена крупно-узловая сборка вертолетов Ми-8АМТ/Ми-171

Сегодня в Астане состоялось подписание Контракта на организацию в Республике Казахстан крупно-узловой сборки вертолетов Ми-8АМТ/Ми-171...

Аскар Жумагалиев назначен Заместителем Премьер-министра - Министром оборонной и аэрокосмической промышленности РК

Указом Главы государства от 26 декабря 2018 года Жумагалиев Аскар Куанышевич назначен Заместителем Премьер-министра Республики...

Республика Казахстан, г. Байконыр,

ул. Мира, дом 13А

тел.: 8 (33622) 71647

факс: 70143

e-mail: post@infracos.kz