Национальный институт стандартов и техники

NIST - это Национальный институт стандартов и техники (National Institute of Standards and Technology), подразделение Министерства торговли США. Ранее он назывался Национальным бюро стандартов (NBS, National Bureau of Standards) и изменил имя в 1988 году. С помощью своей Лаборатории компьютерных систем (Computer Systems Laboratory, CSL), NIST продвигал открытые стандарты взаимодействия, которые, как он надеялся, ускорят развитие основанных на компьютерах отраслях промышленности. К настоящему времени NIST выпустил стандарты и руководства, которые, как он считает, будут приняты всеми компьютерными системами Соединенных Штатов. Официальные стандарты опубликованы как издания FIPS (Федеральные стандарты обработки информации.

Если вам нужны копии любого из FIPS (или других изданий NIST), свяжитесь с Национальной службой технической информации Министерства торговли США - National Technical Information Service (NTIS), U.S. Department of Commerce, 5285 Port Royal Road, Springfield, VA 22161; (703) 487-4650; или посетите gopher://csrc.ncsl.nist.go*

Когда в 1987 году Конгресс принял Акт о компьютерной безопасности (Computer Security Act), NIST был уполномочен определять стандарты, обеспечивающие безопасность важной, но не секретной информации в правительственных компьютерных. (Секретная информация и данные Предупреждающей поправки находятся в сфере юрисдикции NSA.) Акт разрешает NIST в ходе оценки предлагаемых технических стандартов сотрудничать с другими правительственными организациями и частными предприятиями.

NIST издает стандарты криптографических функций. Организации правительства США обязаны использовать их для важной, но несекретной информации. Часто эти стандарты принимаются и частным сектором. NIST выпустил DES, DSS, SHS и EES.

Все эти алгоритмы разработаны с некоторой помощью NSA, начиная от анализа DES до проектирования DSS, SHS и алгоритма Skipjack в EES. Некоторые критикуют NIST за то, что NSA в большой степени может контролировать эти стандарты, хотя интересы NSA могут не совпадать с интересами NIST. Неясно, как действительно NSA может повлиять на проектирование и разработку алгоритмов. Но при ограничениях на персонал, бюджет и ресурсы NIST привлечение NSA кажется разумным. NSA обладает большими возможностями, включая лучшую в мире компьютерные средства.

Официальный "Меморандум о взаимопонимании" ("Memorandum of Understanding", MOU) между двумя организациями гласит:

Меморандум о взаимопонимании между директором национального института стандартов и техники и директором агентства национальной безопасности относительно применения публичного закона 100-235

Сознавая, что:

A. В соответствии с разделом 2 Акта о компьютерной безопасности от 1987 года (Публичный закон 100-235), (Акт), на Национальный институт стандартов и техники (NIST) как часть Федерального правительства возлагается ответственность за:

1. Разработку технических , административных, физических стандартов, стандартов управления и руководств для рентабельных безопасности и защищенности важной информации Федеральных компьютерных систем, определенных в Акте; и,

2. Разработку руководств по технической безопасности соответствующих компьютерных систем Агентства национальной безопасности (NSA).

B. В соответствии с разделом 2 Акта NIST обязан работать в тесном взаимодействии с другими организациями, включая NSA, обеспечивая:

1. Максимальное использование всех существующих и планируемых программ, материалов, исследований и отчетов, касающихся безопасности и защищенности компьютерных систем, чтобы избежать недужного и дорогого дублирования работ; и,

2. Эти стандарты, разработанные NIST в соответствии с Актом, в максимально возможной степени должны быть согласованы и совместимы со стандартами и процедурами, разработанными для защиты секретной информации в Федеральных компьютерных системах.

C. В соответствии с Актом в обязанности Министра торговли, которые он перепоручает NIST, входит назначение членов Консультативного комитета по безопасности и защищенности компьютерных систем (Computer System Security and Privacy Advisory Board), по крайней мере члена, представляющего NSA.

Следовательно, для обеспечения целей данного MOU Директор NIST и Директор NSA настоящим признают следующее:

I. NIST будет:

1. Назначать в Консультативный комитет по безопасности и защищенности компьютерных систем по крайней мере одного представителя, замещающего Директора NSA.

2. Опираться на разработанные NSA руководства по технической безопасности компьютерных систем до той степени, в которой NIST определяет, что эти руководства отвечают требованиям, предъявляемым к защите важной информации в Федеральных компьютерных системах.

3. Признавать сертифицированный NSA рейтинг доверенных систем в соответствии с Программой критериев оценки безопасности доверенных компьютеров без дополнительной экспертизы.

4. Разрабатывать стандарты безопасности телекоммуникаций для защиты важных несекретных компьютерных данных, максимально опираясь на результаты экспертизы и разработки Агентства национальной безопасности, чтобы выполнять эти обязанности своевременно и эффективно.

5. По возможности избегать дублирования, разграничив совместные работы с NSA для получения помощи NSA.

6. Запрашивать помощи NSA по всем вопросам, связанным с криптографическими алгоритмами и криптографическими методами, включая исследования, оценку разработки, одобрение, но не ограничиваясь этими действиями.

II. NSA будет:

1. Обеспечивать NIST техническими руководствами по доверенным технологиям, безопасности телекоммуникаций и идентификации личности, которые могут быть использованы в рентабельных системах защиты важных компьютерных данных.

2. Проводить или инициировать исследовательские и проектные программы по доверенным технологиям, безопасности телекоммуникаций, криптографическим методам и методам идентификации личности.

3. По просьбам NIST оказывать помощь в отношении всех вопросов, связанных с криптографическими алгоритмами и криптографическими методами, включая исследования, оценку разработки, одобрение, но не ограничиваясь этими действиями.

4. Устанавливать стандарты и одобрять изделия для применения в безопасных системах, охватываемых 10 USC раздел 2315 (Поправка Уорнера).

5. По требованию федеральных организаций, их подрядчиков и других финансируемых правительством субъектов проводить оценку возможности вражеской разведывательной деятельности в отношении федеральных информационных систем, а также обеспечивать техническое содействие и рекомендовать изделия, одобренные для применения в безопасных системах, чтобы противостоять такой угрозе.

III. NIST и NSA будут:

1. Координировать свои планы по обеспечению безопасности и защищенности компьютерных систем, за которые NIST и NSA несут ответственность в соответствии с разделом 6(b) Акта.

2. Обмениваться техническими стандартами и руководствами, если это необходимо для достижения целей Акта.

3. Совместно работать над достижением целей этого меморандума с максимальной эффективностью, избегая ненужного дублирования усилий.

4. Поддерживать непрерывный диалог, гарантирующий, что каждая из организаций будет находиться на одинаковом уровне современных технологий и вопросов, влияющих на безопасность автоматизированных информационных компьютерных систем.

5. Организовывать техническую рабочую группу для обзора и анализа областей совместных интересов, касающихся защиты систем, обрабатывающих важную или другую несекретную информацию. Эта Группа будет состоять из шести федеральных служащих, по трое от NIST и NSA, и при необходимости может быть увеличена за счет представителей других организаций. Темы работы группы могут определяться либо заместителем директора NSA по информационной безопасности, либо заместителем директора NIST, либо могут инициироваться самой группой с последующим одобрением заместителем директора NSA по информационной безопасности или заместителем директора NIST. В течение нескольких дней после постановки перед Группой вопроса либо заместителем директора NSA по информационной безопасности, либо заместителем директора NIST Группа должна представить отчет о выполнении работ по этому вопросу и, при необходимости, план дальнейшего анализа.

6. На ежегодной основе обмениваться планами работы по всем исследовательским и конструкторским проектам, связанным с защитой систем, обрабатывающих важную или другую несекретную информацию, включая доверенные технологии, защиту целостности и доступности данных, безопасности телекоммуникаций и методов идентификации личности. Обмен информацией по проектам должен происходить ежеквартально, и обзор состояния проектов должен любой из сторон предоставляться по запросу другой стороны.

7. Проверять обзоры технической рабочей группы до опубликования всех вопросов, касающихся техники обеспечения безопасности систем, разрабатываемых для использования при защите важной информации в федеральных компьютерных системах, чтобы гарантировать совместимость раскрытия этих тем с национальной безопасностью Соединенных Штатов. Если NIST и NSA не смогут решить подобный вопрос в течение 60 дней, любая из организаций может поднять этот вопрос перед Министром обороны и Министром торговли. Признается, что данный вопрос с помощью NSC может быть передан для решения Президенту. Никакие действия не должны предприниматься до окончательного решения вопроса.

8. Определять дополнительные рабочие соглашения, заключенные между NSA и NIST, как приложения к этому MOU.

IV. Любая из сторон может прекратить действие этого MOU письменным уведомлением, направленным за шесть месяцев до прекращения действия. Этот MOU считается действительным при наличии обеих подписей.

/подписано/

РЭЙМОНД. ДЖ. КАММЕР

Исполнительный Директор, Национальный институт стандартов и техники, 24 марта 1989 года

У. О. СТЬЮДМЕН

Вице-адмирал, ВМС США, Директор, Агентство национальной безопасности, 23 марта 1989 года