Требования к средствам электронной подписи и удостоверяющего центра — Российская газета. Средства криптографической защиты информации: виды и применение Требования при использовании скзи

Средства криптографической защиты информации классов защиты КС2 и КС1 в соответствии с требованиями ФСБ России различаются актуальными возможностями источников атак и принятыми мерами по противодействию атакам.

1. Актуальные возможности источников атак

Средства криптографической защиты информации (СКЗИ) класса КС1 применяют при актуальных возможностях источников атак, а именно самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны.

  1. самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны;
  2. самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования (СФ).

Таким образом, СКЗИ класса КС2 отличается от КС1 по нейтрализации актуальной возможностью источников атак, самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и СФ.

2. Варианты исполнения СКЗИ класса защиты КС3, КС2 и КС1

Вариант 1, это базовое программное обеспечение СКЗИ обеспечивающий класс защиты КС1.

Вариант 2, это СКЗИ класса КС2, состоящего из базового СКЗИ класса КС1 совместно с сертифицированным аппаратно-программным модулем доверенной загрузки (АПМДЗ).

Вариант 3, это СКЗИ класса КС3, состоящего из СКЗИ класса КС2 совместно со специализированным программным обеспечением для создания и контроля замкнутой программной среды.

Таким образом, программное обеспечение СКЗИ класса КС2 отличается от КС1 только добавлением к СКЗИ класса КС1 сертифицированного АПМДЗ. Отличия СКЗИ класса КС3 от класса КС1 - это использование СКЗИ класса КС1 совместно с сертифицированным АПМДЗ и специализированным программным обеспечением для создания и контроля замкнутой программной среды. И также отличие СКЗИ класса КС3 от класса КС2 - это использование СКЗИ класса КС2 совместно со специализированным программным обеспечением для создания и контроля замкнутой программной среды.

ПО ViPNet SysLocker (1.0 от 28.03.2016) - бесплатное специализированное программное обеспечение для создания и контроля замкнутой программной среды.

3. Меры по противодействию атакам

В СКЗИ класса КС2 не применяются меры по противодействию атакам, который обязательны для выполнения при эксплуатации СКЗИ класса КС1, а именно:

  1. утвержден перечень лиц, имеющих право доступа в помещения;
  2. утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ;
  3. утверждены правила доступа в помещения, где располагаются СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
  4. доступ в контролируемую зону и помещения, где располагается ресурсы информационные системы персональных данных (ИСПДн) и(или) СКЗИ, обеспечивается в соответствии с контрольно-пропускным режимом;
  5. сведения о физических мерах защиты объектов, в которых размещены ИСПДн, доступны ограниченному кругу сотрудников;
  6. документация на СКЗИ хранится у ответственного за СКЗИ в металлическом сейфе (шкафу);
  7. помещения, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;
  8. представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены СКЗИ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации;
  9. сотрудники, являющиеся пользователями ИСПДн, но не являющиеся пользователями СКЗИ, проинформированы о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;
  10. пользователи СКЗИ проинформированы о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;
  11. осуществляется регистрация и учет действий пользователей с персональными данными;
  12. осуществляется контроль целостности средств защиты информации.

В требованиях по безопасности информации при проектировании информационных систем указываются признаки, характеризующие применяемые средства защиты информации. Они определены различными актами регуляторов в области обеспечения информационной безопасности, в частности - ФСТЭК и ФСБ России. Какие классы защищенности бывают, типы и виды средств защиты, а также где об этом узнать подробнее, отражено в статье.

Введение

Сегодня вопросы обеспечения информационной безопасности являются предметом пристального внимания, поскольку внедряемые повсеместно технологии без обеспечения информационной безопасности становятся источником новых серьезных проблем.

О серьезности ситуации сообщает ФСБ России: сумма ущерба, нанесенная злоумышленниками за несколько лет по всему миру составила от $300 млрд до $1 трлн. По сведениям, представленным Генеральным прокурором РФ, только за первое полугодие 2017 г. в России количество преступлений в сфере высоких технологий увеличилось в шесть раз, общая сумма ущерба превысила $ 18 млн. Рост целевых атак в промышленном секторе в 2017 г. отмечен по всему миру. В частности, в России прирост числа атак по отношению к 2016 г. составил 22 %.

Информационные технологии стали применяться в качестве оружия в военно-политических, террористических целях, для вмешательства во внутренние дела суверенных государств, а также для совершения иных преступлений. Российская Федерация выступает за создание системы международной информационной безопасности.

На территории Российской Федерации обладатели информации и операторы информационных систем обязаны блокировать попытки несанкционированного доступа к информации, а также осуществлять мониторинг состояния защищенности ИТ-инфраструктуры на постоянной основе. При этом защита информации обеспечивается за счет принятия различных мер, включая технические.

Средства защиты информации, или СЗИ обеспечивают защиту информации в информационных системах, по сути представляющих собой совокупность хранимой в базах данных информации, информационных технологий, обеспечивающих ее обработку, и технических средств.

Для современных информационных систем характерно использование различных аппаратно-программных платформ, территориальная распределенность компонентов, а также взаимодействие с открытыми сетями передачи данных.

Как защитить информацию в таких условиях? Соответствующие требования предъявляют уполномоченные органы, в частности, ФСТЭК и ФСБ России. В рамках статьи постараемся отразить основные подходы к классификации СЗИ с учетом требований указанных регуляторов. Иные способы описания классификации СЗИ, отраженные в нормативных документах российских ведомств, а также зарубежных организаций и агентств, выходят за рамки настоящей статьи и далее не рассматриваются.

Статья может быть полезна начинающим специалистам в области информационной безопасности в качестве источника структурированной информации о способах классификации СЗИ на основании требований ФСТЭК России (в большей степени) и, кратко, ФСБ России.

Структурой, определяющей порядок и координирующей действия обеспечения некриптографическими методами ИБ, является ФСТЭК России (ранее - Государственная техническая комиссия при Президенте Российской Федерации, Гостехкомиссия).

Если читателю приходилось видеть Государственный реестр сертифицированных средств защиты информации , который формирует ФСТЭК России, то он безусловно обращал внимание на наличие в описательной части предназначения СЗИ таких фраз, как «класс РД СВТ», «уровень отсутствия НДВ» и пр. (рисунок 1).

Рисунок 1. Фрагмент реестра сертифицированных СЗИ

Классификация криптографических средств защиты информации

ФСБ России определены классы криптографических СЗИ: КС1, КС2, КС3, КВ и КА.

К основным особенностям СЗИ класса КС1 относится их возможность противостоять атакам, проводимым из-за пределов контролируемой зоны. При этом подразумевается, что создание способов атак, их подготовка и проведение осуществляется без участия специалистов в области разработки и анализа криптографических СЗИ. Предполагается, что информация о системе, в которой применяются указанные СЗИ, может быть получена из открытых источников.

Если криптографическое СЗИ может противостоять атакам, блокируемым средствами класса КС1, а также проводимым в пределах контролируемой зоны, то такое СЗИ соответствует классу КС2. При этом допускается, например, что при подготовке атаки могла стать доступной информация о физических мерах защиты информационных систем, обеспечении контролируемой зоны и пр.

В случае возможности противостоять атакам при наличии физического доступа к средствам вычислительной техники с установленными криптографическими СЗИ говорят о соответствии таких средств классу КС3.

Если криптографическое СЗИ противостоит атакам, при создании которых участвовали специалисты в области разработки и анализа указанных средств, в том числе научно-исследовательские центры, была возможность проведения лабораторных исследований средств защиты, то речь идет о соответствии классу КВ.

Если к разработке способов атак привлекались специалисты в области использования НДВ системного программного обеспечения, была доступна соответствующая конструкторская документация и был доступ к любым аппаратным компонентам криптографических СЗИ, то защиту от таких атак могут обеспечивать средства класса КА.

Классификация средств защиты электронной подписи

Средства электронной подписи в зависимости от способностей противостоять атакам принято сопоставлять со следующими классами: КС1, КС2, КС3, КВ1, КВ2 и КА1. Эта классификация аналогична рассмотренной выше в отношении криптографических СЗИ.

Выводы

В статье были рассмотрены некоторые способы классификации СЗИ в России, основу которых составляет нормативная база регуляторов в области защиты информации. Рассмотренные варианты классификации не являются исчерпывающими. Тем не менее надеемся, что представленная сводная информация позволит быстрее ориентироваться начинающему специалисту в области обеспечения ИБ.

В соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" 1 приказываю утвердить:

Требования к средствам электронной подписи (приложение N 1);
Требования к средствам удостоверяющего центра (приложение N 2).

Директор А. Бортников

1 Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; N 27, ст. 3880.

Требования к средствам электронной подписи

I. Общие положения

3) ключ ЭП - уникальная последовательность символов, предназначенная для создания ЭП;

4) ключ проверки ЭП - уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП (далее - проверка ЭП);

5) средства ЭП - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;

6) сертификат ключа проверки ЭП - электронный документ или документ на бумажном носителе, выданные УЦ либо доверенным лицом УЦ и подтверждающие принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП.

3. Настоящие Требования устанавливают структуру и содержание требований к средствам ЭП.

4. Настоящие Требования предназначены для заказчиков и разработчиков разрабатываемых (модернизируемых) средств ЭП при их взаимодействии между собой, с организациями, проводящими криптографические, инженерно-криптографические и специальные исследования средств ЭП, ФСБ России, осуществляющей подтверждение соответствия средств ЭП настоящим Требованиям.

5. Настоящие Требования распространяются на средства ЭП, предназначенные для использования на территории Российской Федерации, в учреждениях Российской Федерации за рубежом и в находящихся за рубежом обособленных подразделениях юридических лиц, образованных в соответствии с законодательством Российской Федерации.

6. К средствам ЭП в части их разработки, производства, реализации и эксплуатации предъявляются требования, закрепленные Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 г. № 66 1 (с изменениями, внесенными приказом ФСБ России от 12 апреля 2010 г. № 173 2) для шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

7. Требования к технологиям создания (формирования) и проверки ЭП с помощью средства ЭП указываются в тактико-техническом задании или техническом задании на проведение опытно-конструкторской работы или составной части опытно-конструкторской работы по разработке (модернизации) средства ЭП (далее - ТЗ на разработку (модернизацию) средства ЭП).


II. Требования к средствам ЭП

8. При создании ЭП средства ЭП должны:

Показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает3;
- создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП3;
- однозначно показывать, что ЭП создана 3 .

9. При проверке ЭП средства ЭП должны:

Показывать содержание электронного документа, подписанного ЭП 3 ;
- показывать информацию о внесении изменений в подписанный ЭП электронный документ 3 ;
- указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы 3 .

10. Требования пунктов 8 и 9 настоящих Требований не применяются к средствам ЭП, используемым для автоматического создания и (или) автоматической проверки ЭП в информационной системе.
11. Средство ЭП должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемой средством ЭП информации или с целью создания условий для этого (далее - атака).

12. В зависимости от способностей противостоять атакам средства ЭП подразделяются на классы 4 .
13. Средства ЭП класса КС1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:
13.1. Самостоятельное осуществление создания способов атак, подготовки и проведения атак.
13.2. Действия на различных этапах жизненного цикла средства ЭП 5 .
13.3. Проведение атаки только извне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее - контролируемая зона 6).

13.4. Проведение на этапах разработки, производства, хранения, транспортировки средств ЭП и этапе ввода в эксплуатацию средств ЭП (пусконаладочные работы) следующих атак:

Внесение несанкционированных изменений в средство ЭП и (или) в компоненты СФ, в том числе с использованием вредоносных программ;
- внесение несанкционированных изменений в документацию на средство ЭП и на компоненты СФ.

13.5. Проведение атак на следующие объекты:

Документацию на средство ЭП и на компоненты СФ;

- ключевую, аутентифицирующую и парольную информацию средства ЭП;
- средство ЭП и его программные и аппаратные компоненты;
- аппаратные средства, входящие в СФ, включая микросхемы с записанным микрокодом BIOS, осуществляющей инициализацию этих средств (далее - аппаратные компоненты СФ);
- программные компоненты СФ;

- помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы средства ЭП и СФ;
- иные объекты атак, которые при необходимости указываются в ТЗ на разработку (модернизацию) средства ЭП с учетом используемых в информационной системе информационных технологий, аппаратных средств (далее - АС) и программного обеспечения (далее - ПО).

13.6. Получение следующей информации:

Общих сведений об информационной системе, в которой используется средство ЭП (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);
- сведений об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно со средством ЭП;
- сведений о физических мерах защиты объектов, в которых размещены средства ЭП;
- сведений о мерах по обеспечению контролируемой зоны объектов информационной системы, в которой используется средство ЭП;
- сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы средства ЭП и СФ;
- содержания находящейся в свободном доступе документации на аппаратные и программные компоненты средства ЭП и СФ;
- общих сведений о защищаемой информации, используемой в процессе эксплуатации средства ЭП;

- сведений о линиях связи, по которым передается защищаемая средством ЭП информация;
- сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушениях правил эксплуатации средства ЭП и СФ;
- сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправностях и сбоях аппаратных компонентов средства ЭП и СФ;
- сведений, получаемых в результате анализа любых сигналов от аппаратных компонентов средства ЭП и СФ, которые может перехватить нарушитель.

13.7. Использование:

Находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты средства ЭП и СФ;

13.8. Использование в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки (далее - канал атаки):

Не защищенных от НСД к информации организационно-техническими мерами каналов связи (как вне контролируемой зоны, так и в ее пределах), по которым передается защищаемая средством ЭП информация;
- каналов распространения сигналов, сопровождающих функционирование средства ЭП и СФ.

13.9. Проведение атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц.

13.10. Использование АС и ПО из состава средств информационной системы, используемых на местах эксплуатации средства ЭП (далее - штатные средства) и находящихся за пределами контролируемой зоны.

14. Средства ЭП класса КС2 противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в подпунктах 13.1 - 13.10 настоящих Требований, и следующие дополнительные возможности:

14.1. Проведение атаки при нахождении как вне пределов, так и в пределах контролируемой зоны.

14.2. Использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется средство ЭП, и направленными на предотвращение и пресечение несанкционированных действий.

15. Средства ЭП класса КС3 противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в подпунктах 13.1 - 13.10, 14.1, 14.2 настоящих Требований, и следующие дополнительные возможности:

15.1. Доступ к СВТ, на которых реализованы средство ЭП и СФ.

15.2. Возможность располагать аппаратными компонентами средства ЭП и СФ в объеме, зависящем от мер, направленных на предотвращение и пресечение несанкционированных действий, реализованных в информационной системе, в которой используется средство ЭП.

16. Средства ЭП класса КВ1 противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в подпунктах 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2 настоящих Требований, и следующие дополнительные возможности:

16.1. Создание способов атак, подготовка и проведение атак с привлечением специалистов, имеющих опыт разработки и анализа средств ЭП, включая специалистов в области анализа сигналов, сопровождающих функционирование средства ЭП и СФ.

16.2. Проведение лабораторных исследований средства ЭП, используемого вне контролируемой зоны, в объеме, зависящем от мер, направленных на предотвращение и пресечение несанкционированных действий, реализованных в информационной системе, в которой используется средство ЭП.

17. Средства ЭП класса КВ2 противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в подпунктах 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2 настоящих Требований, и следующие дополнительные возможности:

17.1. Создание способов атак, подготовка и проведение атак с привлечением специалистов, имеющих опыт разработки и анализа средств ЭП, включая специалистов в области использования для реализации атак возможностей прикладного ПО, не описанных в документации на прикладное ПО.

17.2. Постановка работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа средств ЭП и СФ.

17.3. Возможность располагать исходными текстами входящего в СФ прикладного ПО.

18. Средства ЭП класса КА1 противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в подпунктах 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2, 17.1 - 17.3 настоящих Требований, и следующие дополнительные возможности:

18.1. Создание способов атак, подготовка и проведение атак с привлечением специалистов, имеющих опыт разработки и анализа средств ЭП, включая специалистов в области использования для реализации атак возможностей системного ПО, не описанных в документации на системное ПО.

18.2. Возможность располагать всей документацией на аппаратные и программные компоненты СФ.

18.3. Возможность располагать всеми аппаратными компонентами средства ЭП и СФ.

19. В случае реализации в средстве ЭП функции проверки ЭП электронного документа с использованием сертификата ключа проверки ЭП эта реализация должна исключить возможность проверки ЭП электронного документа без проверки ЭП в сертификате ключа проверки ЭП или без наличия положительного результата проверки ЭП в сертификате ключа проверки ЭП.

20. При разработке средств ЭП должны использоваться криптографические алгоритмы, утвержденные в качестве государственных стандартов или имеющие положительное заключение ФСБ России по результатам их экспертных криптографических исследований 7 .

21. Инженерно-криптографическая защита средства ЭП должна исключить события, приводящие к возможности проведения успешных атак в условиях возможных неисправностей или сбоев аппаратного компонента средства ЭП или аппаратного компонента СВТ, на котором реализовано программное средство ЭП.

22. В средстве ЭП должны быть реализованы только заданные в ТЗ на разработку (модернизацию) средства ЭП алгоритмы функционирования средства ЭП.

23. Программный компонент средства ЭП (в случае наличия программного компонента средства ЭП) должен удовлетворять следующим требованиям:

Объектный (загрузочный) код программного компонента средства ЭП должен соответствовать его исходному тексту;
- в программном компоненте средства ЭП должны использоваться при реализации только описанные в документации функции программной среды, в которой функционирует средство ЭП;
- в исходных текстах программного компонента средства ЭП должны отсутствовать возможности, позволяющие модифицировать или искажать алгоритм работы средства ЭП в процессе его использования, модифицировать или искажать информационные или управляющие потоки и процессы, связанные с функционированием средства ЭП, и получать нарушителям доступ к хранящейся в открытом виде ключевой, идентификационной и (или) аутентифицирующей информации средства ЭП;
- значения входных и внутренних параметров, а также значения параметров настроек программного компонента средства ЭП не должны негативно влиять на его функционирование.

24. В случае планирования размещения средств ЭП в помещениях, в которых присутствует речевая акустическая и визуальная информация, содержащая сведения, составляющие государственную тайну, и (или) установлены АС и системы приема, передачи, обработки, хранения и отображения информации, содержащей сведения, составляющие государственную тайну, АС иностранного производства, входящие в состав средств ЭП, должны быть подвергнуты проверкам по выявлению устройств, предназначенных для негласного получения информации.

В случае планирования размещения средств ЭП в помещениях, в которых отсутствует речевая акустическая и визуальная информация, содержащая сведения, составляющие государственную тайну, и не установлены АС и системы приема, передачи, обработки, хранения и отображения информации, содержащей сведения, составляющие государственную тайну:

Решение о проведении проверок АС иностранного производства, входящих в состав средств ЭП классов КС1, КС2, КС3, КВ1 и КВ2, принимается организацией, обеспечивающей эксплуатацию данных средств ЭП;
- проверки АС иностранного производства, входящих в состав средств ЭП класса КА1, проводятся в обязательном порядке.

25. Средство ЭП должно проводить аутентификацию субъектов доступа (лиц, процессов) к этому средству, при этом:

При осуществлении доступа к средству ЭП аутентификация субъекта доступа должна проводиться до начала выполнения первого функционального модуля средства ЭП;
- механизмы аутентификации должны блокировать доступ этих субъектов к функциям средства ЭП при отрицательном результате аутентификации.

26. Средство ЭП должно проводить аутентификацию лиц, осуществляющих локальный доступ к средству ЭП.

27. Необходимость проведения средством ЭП аутентификации процессов, осуществляющих локальный или удаленный (сетевой) доступ к средству ЭП, указывается в ТЗ на разработку (модернизацию) средства ЭП.

28. Для любого входящего в средство ЭП механизма аутентификации должен быть реализован механизм ограничения количества следующих подряд попыток аутентификации одного субъекта доступа, число которых не должно быть больше 10. При превышении числа следующих подряд попыток аутентификации одного субъекта доступа установленного предельного значения доступ этого субъекта к средству ЭП должен блокироваться на заданный в ТЗ на разработку (модернизацию) средства ЭП промежуток времени.

29. В средстве ЭП должен быть реализован механизм (процедура) контроля целостности средства ЭП и СФ.

Контроль целостности может осуществляться:

В начале работы со средством ЭП до перехода СВТ, в котором реализовано средство ЭП, в рабочее состояние (например, до загрузки операционной системы СВТ);
- в ходе регламентных проверок средства ЭП на местах эксплуатации (регламентный контроль);
- в автоматическом режиме в процессе функционирования средства ЭП (динамический контроль).

Контроль целостности должен проводиться в начале работы со средством ЭП.

Механизм регламентного контроля целостности должен входить в состав средств ЭП.

30. Для средств ЭП классов КС1 и КС2 необходимость предъявления требований к управлению доступом и очистке памяти, а также их содержание указываются в ТЗ на разработку (модернизацию) средства ЭП.

31. В состав средств ЭП классов КС3, КВ1, КВ2 и КА1 или СФ должны входить компоненты, обеспечивающие:

Управление доступом субъектов к различным компонентам и (или) целевым функциям средства ЭП и СФ на основе параметров, заданных администратором или производителем средства ЭП (требования к указанному компоненту определяются и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям);
- очистку оперативной и внешней памяти, используемой средством ЭП для хранения защищаемой информации, при освобождении (перераспределении) памяти путем записи маскирующей информации (случайной или псевдослучайной последовательности символов) в память.

32. В состав средств ЭП классов КВ2 и КА1 или СФ должны входить компоненты, обеспечивающие экстренное стирание защищаемой информации ограниченного доступа. Требования к реализации и надежности стирания задаются в ТЗ на разработку (модернизацию) средства ЭП.

33. Для средств ЭП классов КС1 и КС2 необходимость предъявления требований к регистрации событий и их содержание указываются в ТЗ на разработку (модернизацию) средства ЭП.

34. В состав средств ЭП классов КСЗ, КВ1, КВ2 и КА1 должен входить модуль, производящий фиксацию в электронном журнале регистрации событий в средстве ЭП и СФ, связанных с выполнением средством ЭП своих целевых функций.

Требования к указанному модулю и перечень регистрируемых событий определяются и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.

35. Журнал регистрации событий должен быть доступен только лицам, определенным оператором информационной системы, в которой используется средство ЭП, или уполномоченными им лицами. При этом доступ к журналу регистрации событий должен осуществляться только для просмотра записей и для перемещения содержимого журнала регистрации событий на архивные носители.

36. Срок действия ключа проверки ЭП не должен превышать срок действия ключа ЭП более чем на 15 лет.

37. Требования к механизму контроля срока использования ключа ЭП, блокирующего работу средства ЭП в случае попытки использования ключа дольше заданного срока, определяются разработчиком средства ЭП и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.

38. Криптографические протоколы, обеспечивающие операции с ключевой информацией средства ЭП, должны быть реализованы непосредственно в средстве ЭП.

39. Исследования средств ЭП с целью оценки соответствия средств ЭП настоящим Требованиям должны проводиться с использованием разрабатываемых ФСБ России числовых значений параметров и характеристик реализуемых в средствах ЭП механизмов защиты и аппаратных и программных компонентов СФ 8 .

1 Зарегистрирован Минюстом России 3 марта 2005 г., регистрационный № 6382.

3 Реализуется в том числе с использованием аппаратных и программных средств, совместно с которыми штатно функционируют средства ЭП и которые способны повлиять на выполнение предъявляемых к средствам ЭП требований, в совокупности представляющих среду функционирования средств ЭП (далее - СФ).
4 Необходимый класс разрабатываемого (модернизируемого) средства ЭП определяется заказчиком (разработчиком) средства ЭП путем определения возможностей осуществлять создание способов атак, подготовку и проведение атак на основе пунктов 13 - 18 настоящих Требований и указывается в T3 на разработку (модернизацию) средства ЭП.
5 К этапам жизненного цикла средства ЭП относятся разработка (модернизация) указанных средств, их производство, хранение, транспортировка, ввод в эксплуатацию (пусконаладочные работы), эксплуатация.
6 Границей контролируемой зоны могут быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
7 Подпункт 25 пункта 9 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. № 960 (Собрание законодательства Российской Федерации, 2003, № 33, ст. 3254; 2004, № 28, ст. 2883; 2005, № 36, ст. 3665; № 49, ст. 5200; 2006, № 25, ст. 2699; № 31 (ч. I), ст. 3463; 2007, № 1 (ч. I), ст. 205; № 49, ст. 6133; № 53, ст. 6554; 2008, № 36, ст. 4087; № 43, ст. 4921; № 47, ст. 5431; 2010, № 17, ст. 2054; № 20, ст. 2435; 2011, № 2, ст. 267; № 9, ст. 1222) (далее - Положение о ФСБ России).
8 Подпункт 47 пункта 9 Положения о ФСБ России.

Приложение N 2

Требования к средствам удостоверяющего центра

I. Общие положения

1. Настоящие Требования разработаны в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон).

2. В настоящих Требованиях используются следующие основные понятия, определенные в статье 2 Федерального закона:

1) электронная подпись (далее - ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

3) средства ЭП - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;

4) ключ ЭП - уникальная последовательность символов, предназначенная для создания ЭП;

5) ключ проверки ЭП - уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП (далее - проверка ЭП);

6) сертификат ключа проверки ЭП - электронный документ или документ на бумажном носителе, выданные УЦ либо доверенным лицом УЦ и подтверждающие принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП;

7) квалифицированный сертификат ключа проверки ЭП (далее - квалифицированный сертификат) - сертификат ключа проверки ЭП, выданный аккредитованным УЦ или доверенным лицом аккредитованного УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования ЭП (далее - уполномоченный федеральный орган);

8) владелец сертификата ключа проверки ЭП - лицо, которому в установленном Федеральным законом порядке выдан сертификат ключа проверки ЭП;

9) аккредитация УЦ - признание уполномоченным федеральным органом соответствия УЦ требованиям Федерального закона;

10) средства УЦ - аппаратные и (или) программные средства, используемые для реализации функций УЦ;

11) участники электронного взаимодействия - осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, а также граждане.

3. Настоящие Требования устанавливают структуру и содержание требований к средствам УЦ.

4. Настоящие Требования предназначены для заказчиков и разработчиков разрабатываемых (модернизируемых) средств УЦ при их взаимодействии между собой, с организациями, проводящими криптографические, инженерно-криптографические и специальные исследования средств УЦ, ФСБ России, осуществляющей подтверждение соответствия средств УЦ настоящим Требованиям.

5. Настоящие Требования распространяются на средства УЦ, предназначенные для использования на территории Российской Федерации.

6. К средствам УЦ в части их разработки, производства, реализации и эксплуатации предъявляются требования, закрепленные Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 г. № 66 1 (с изменениями, внесенными приказом ФСБ России от 12 апреля 2010 г. № 173 2), для шифровальных (криптографических) средств защиты информации (далее - СКЗИ) с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

II. Требования к средствам УЦ

7. Средства УЦ должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения инженерно-технической и криптографической безопасности средств УЦ или с целью создания условий для этого (далее - атака).

8. В зависимости от способностей противостоять атакам средства УЦ подразделяются на классы 3 .

9. Средства УЦ класса КС1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

9.1. Подготовка и проведение атак извне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее - контролируемая зона).
9.2. Подготовка и проведение атак без использования доступа к функциональным возможностям программно-аппаратных средств взаимодействия с УЦ.

9.3. Самостоятельное осуществление создания способов атак, подготовки и проведения атак на следующие объекты:

Документацию на средства УЦ;
- защищаемые электронные документы;
- ключевую, аутентифицирующую и парольную информацию;
- средства УЦ, их программные и аппаратные компоненты;
- данные, передаваемые по каналам связи;
- помещения, в которых находятся аппаратные средства (далее - АС), на которых реализованы средства УЦ, а также другие защищаемые ресурсы информационной системы.

9.4. Внесение на этапах разработки, производства, хранения, транспортировки и ввода в эксплуатацию средств УЦ:

Негативных функциональных возможностей в средства УЦ, в том числе с использованием вредоносных программ;
- несанкционированных изменений в документацию на средства УЦ.

9.5. Получение следующей информации:

Общих сведений об информационной системе, в которой используются средства УЦ (назначение, состав, объекты, в которых размещены ресурсы информационной системы);
- сведений об информационных технологиях, базах данных, АС, программном обеспечении (далее - ПО), используемых в информационной системе совместно со средствами УЦ;
- сведений о физических мерах защиты объектов, в которых размещены средства УЦ;
- сведений о мерах по обеспечению защиты контролируемой зоны объектов информационной системы, в которой используются средства УЦ;
- сведений о мерах по разграничению доступа в помещения, в которых размещены средства УЦ;
- содержания находящейся в свободном доступе технической документации на средства УЦ;
- сведений о защищаемой информации, используемой в процессе эксплуатации средств УЦ (виды защищаемой информации: служебная информация, парольная и аутентифицирующая информация, конфигурационная информация, управляющая информация, информация в электронных журналах регистрации; общие сведения о содержании каждого вида защищаемой информации; характеристики безопасности для каждого вида защищаемой информации);
- всех возможных данных, передаваемых в открытом виде по каналам связи, не защищенным от несанкционированного доступа (далее - НСД) к информации организационно-техническими мерами;
- сведений о линиях связи, по которым передается защищаемая с использованием средств УЦ информация;
- сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушениях правил эксплуатации средств УЦ;
- сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправностях и сбоях средств УЦ;
- сведений, получаемых в результате анализа любых доступных для перехвата сигналов от аппаратных компонентов средств УЦ.

9.6. Использование:

Находящихся в свободном доступе или за пределами контролируемой зоны АС и ПО, включая программные и аппаратные компоненты средств УЦ;
- специально разработанных АС и ПО.

9.7. Использование в качестве каналов атак не защищенных от НСД к информации организационно-техническими мерами каналов связи (как вне контролируемой зоны, так и в ее пределах), по которым передается информация, обрабатываемая средствами УЦ.

10. Средства УЦ класса КС2 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

10.1. Возможности, перечисленные в подпунктах 9.3 - 9.7 настоящих Требований.

10.2. Подготовка и проведение атак из контролируемой зоны.

10.3. Подготовка и проведение атак без использования доступа к АС, на которых реализованы средства УЦ.

10.4. Использование штатных средств информационной системы, в которой используются средства УЦ.

11. Средства УЦ класса КСЗ противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

11.1. Возможности, перечисленные в подпунктах 10.1, 10.4 настоящих Требований.

11.2. Подготовка и проведение атак из-за пределов контролируемой зоны с использованием доступа к функциональным возможностям программно-аппаратных средств взаимодействия с УЦ на основе легального обладания аутентифицирующей информацией либо подготовка и проведение атак из контролируемой зоны с использованием доступа к АС, на которых реализованы компоненты УЦ, с правами лица, не являющегося членом группы физических лиц, уполномоченных производить инсталляцию, конфигурирование и эксплуатацию средств УЦ, конфигурирование профиля и параметров журнала аудита (функции системного администратора), архивирование, резервное копирование и восстановление информации после сбоев (функции оператора), создание и аннулирование сертификатов ключей проверки ЭП (функции администратора сертификации), просмотр и поддержку журнала аудита (функции администратора аудита) (далее - группа администраторов средств УЦ) ни одного из компонентов УЦ.

11.3. Обладание АС УЦ в объеме, зависящем от реализованных мер, направленных на предотвращение и пресечение несанкционированных действий.

12. Средства УЦ класса КВ1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

12.1. Возможности, перечисленные в подпунктах 11.1 - 11.3 настоящих Требований.

12.2. Осуществление создания способов и подготовки атак с привлечением специалистов, имеющих опыт разработки и анализа СКЗИ УЦ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочных электромагнитных излучений и наводок СКЗИ УЦ).

12.3. Проведение лабораторных исследований средств УЦ, используемых вне контролируемой зоны в объеме, зависящем от реализованных мер, направленных на предотвращение и пресечение несанкционированных действий.

13. Средства УЦ класса КВ2 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

13.1. Возможности, перечисленные в подпунктах 12.1 - 12.3 настоящих Требований.

13.2. Осуществление создания способов и подготовки атак с привлечением специалистов в области использования для реализации атак недекларированных возможностей прикладного и системного ПО.

13.3. Постановка работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа средств УЦ.

13.4. Обладание исходными текстами прикладного ПО, применяемого в информационной системе, в которой используются средства УЦ, и находящейся в свободном доступе документацией.

14. Средства УЦ класса КА1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

14.1. Возможности, перечисленные в подпунктах 13.1 - 13.4 настоящих Требований.

14.2. Осуществление создания способов и подготовки атак с привлечением научно-исследовательских центров, специализирующихся в области разработки и анализа СКЗИ и в области использования для реализации атак недекларированных возможностей прикладного и системного ПО.

14.3. Обладание всей документацией на аппаратные и программные компоненты средств УЦ.

14.4. Обладание всеми аппаратными компонентами средств УЦ.

15. Средства УЦ должны эксплуатироваться в соответствии с эксплуатационной документацией на средства УЦ. Комплекс организационно-технических мероприятий по обеспечению безопасного функционирования средств УЦ должен быть указан в эксплуатационной документации на средства УЦ.

16. Класс средств ЭП, используемых в средствах УЦ, должен быть не ниже соответствующего класса средств УЦ. Класс средств ЭП, используемых в средствах УЦ, должен быть указан в эксплуатационной документации на средства УЦ.

Класс СКЗИ, используемых в средствах УЦ, должен быть не ниже соответствующего класса средств УЦ. Класс СКЗИ, используемых в средствах УЦ, должен быть указан в эксплуатационной документации на средства УЦ.

17. Каждое требование, предъявляемое к средствам УЦ любого класса кроме КА1, либо предъявляется к средствам УЦ следующего класса без изменений (в этом случае оно в перечне требований к средствам УЦ следующего класса не указывается), либо ужесточается (в этом случае в перечне требований к средствам УЦ следующего класса приводится ужесточенная формулировка). Требования к средствам УЦ следующего класса могут содержать дополнительные требования, не входящие в требования к средствам УЦ предыдущего класса.

18. Требования к ПО средств УЦ:

18.1. Требования для средств УЦ класса КС1:

ПО средств УЦ не должно содержать средств, позволяющих модифицировать или искажать алгоритм работы программных средств и АС УЦ.

18.2. Требования для средств УЦ класса КС2:

Прикладное ПО средств УЦ и СКЗИ, используемых в УЦ, должно использовать только документированные функции системного ПО.

18.3. Требования для средств УЦ класса КС3:

Системное и прикладное ПО средств УЦ должно обеспечивать разграничение доступа системного администратора средств УЦ, администратора сертификации средств УЦ и лиц, обеспечиваемых системным администратором средств УЦ идентифицирующей и аутентифицирующей информацией и не являющихся администратором сертификации средств УЦ (далее - пользователи средств УЦ), к информации, обрабатываемой средствами УЦ, на основании правил разграничения доступа, заданных системным администратором средств УЦ;
- системное и прикладное ПО средств УЦ должно соответствовать 4 уровню контроля отсутствия недекларированных возможностей;
- системное и прикладное ПО средств УЦ не должно содержать известных уязвимостей, опубликованных в общедоступных источниках;
- в состав системного и (или) прикладного ПО средств УЦ должен входить механизм, обеспечивающий очистку оперативной и внешней памяти, используемой для хранения информации ограниченного доступа.

18.4. Требования для средств УЦ класса КВ1 совпадают с требованиями для средств УЦ класса КС3.

18.5. Требования для средств УЦ класса КВ2:

Исходные тексты системного и прикладного ПО средств УЦ должны пройти проверку реализации в них методов и способов защиты информации, противостоящих атакам, для подготовки и проведения которых используются возможности, перечисленные в пунктах 9 - 13 настоящих Требований;
- исходные тексты системного и прикладного ПО должны пройти проверку на отсутствие недекларированных возможностей;
- системное и прикладное ПО должно быть устойчиво к компьютерным атакам из внешних сетей.

18.6. Требования для средств УЦ класса КА1:

Исходные тексты системного и прикладного ПО средств УЦ должны пройти формальную верификацию реализации в них методов и способов защиты информации, противостоящих атакам, для подготовки и проведения которых используются возможности, перечисленные в пунктах 9 - 14 настоящих Требований, а также отсутствия в них недекларированных возможностей.

19. Требования к АС УЦ:

19.1. В случае планирования размещения АС УЦ в помещениях, в которых присутствует речевая акустическая и визуальная информация, содержащая сведения, составляющие государственную тайну, и (или) установлены технические средства и системы приема, передачи, обработки, хранения и отображения информации, содержащей сведения, составляющие государственную тайну, технические средства иностранного производства, входящие в состав средств УЦ, должны быть подвергнуты проверкам по выявлению устройств, предназначенных для негласного получения информации, а также исследованиям на соответствие требованиям по защите от утечки информации по каналам побочных электромагнитных излучений и наводок в соответствии с категорией выделенного помещения.

19.2. Требования для средств УЦ класса КС1:

Проводится проверка соответствия реализации целевых функций УЦ на основе системы тестов АС УЦ.

19.3. Требования для средств УЦ классов КС2, КС3, КВ1, КВ2 совпадают с требованиями для средств УЦ класса КС1.

19.4. Требования для средств УЦ класса КА1:

Проведение специальной проверки технических средств иностранного производства, входящих в состав АС УЦ, в целях выявления устройств, предназначенных для негласного получения информации;
- проведение полной верификации АС (совместно с анализом программного кода BIOS), на которых реализуются средства УЦ, с целью исключения негативных функциональных возможностей.

20. Требования к ролевому разграничению:

20.1. Для обеспечения выполнения функций УЦ средства УЦ должны поддерживать ролевое разграничение членов группы администраторов средств УЦ.

20.2. Требования для средств УЦ класса КС1:

Должны быть определены список ролей и распределение обязанностей между ролями;
- список ролей и распределение обязанностей между ролями должны быть указаны в эксплуатационной документации на средства УЦ.

20.3. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

20.4. Требования для средств УЦ класса КС3:

Средства УЦ должны поддерживать следующие обязательные роли:

1) системного администратора с основными обязанностями инсталляции, конфигурации и поддержки функционирования средств УЦ, создания и поддержки профилей членов группы администраторов средств УЦ, конфигурации профиля и параметров журнала аудита;

2) администратора сертификации с основными обязанностями: создание и аннулирование сертификатов ключей проверки ЭП;

В средствах УЦ должен быть реализован механизм, исключающий возможность авторизации одного члена из группы администраторов средств УЦ для выполнения различных ролей.

20.5. Требования для средств УЦ класса KB1:

Средства УЦ должны обеспечивать наличие обязательной роли оператора с основными обязанностями по резервному копированию и восстановлению.

20.6. Требования для средств УЦ класса КВ2 совпадают с требованиями для средств УЦ класса KB1.

20.7. Требования для средств УЦ класса КА1:

Средства УЦ должны обеспечивать наличие обязательной роли администратора аудита с основными обязанностями: просмотр и поддержка журнала аудита;
- системный администратор не должен иметь возможности вносить изменения в журнал аудита.

21. Требования к целостности средств УЦ:

21.1. Средства УЦ должны содержать механизм контроля несанкционированного случайного и (или) преднамеренного искажения (изменения, модификации) и (или) разрушения информации, программных средств и АС УЦ (далее - механизм контроля целостности).

21.2. Требования для средств УЦ класса КС1:

Требования к механизму контроля целостности должны быть указаны в ТЗ на разработку (модернизацию) средств УЦ;
- должен быть определен период контроля целостности программных средств и АС УЦ и указан в эксплуатационной документации на средства УЦ;
- контроль целостности программных средств и АС УЦ должен выполняться при каждой перезагрузке операционной системы (далее - ОС);
- должны иметься средства восстановления целостности средств УЦ.

21.3. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

21.4. Требования для средств УЦ класса КС3:
- контроль целостности должен выполняться не реже 1 раза в сутки.

21.5. Требования для средств УЦ класса KB1:
- контроль целостности должен выполняться до загрузки ОС средств УЦ.

21.6. Требования для средств УЦ класса КВ2 совпадают с требованиями для средств УЦ класса KB1.

21.7. Требования для средств УЦ класса КА1:
- контроль целостности должен осуществляться динамически при функционировании средств УЦ.

22. Требования к управлению доступом:

22.1. Средства УЦ должны обеспечивать управление доступом.

22.2. Требования для средств УЦ класса КС1:
- должны быть определены требования к управлению доступом и указаны в ТЗ на разработку (модернизацию) средств УЦ.

22.3. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

22.4. Требования для средств УЦ класса КС3:
- в УЦ должен обеспечиваться дискреционный принцип контроля доступа.

22.5. Требования для средств УЦ класса КВ1 совпадают с требованиями для средств УЦ класса КС3.

22.6. Требования для средств УЦ класса КВ2:
- должно быть обеспечено создание замкнутой рабочей среды 4 средств УЦ.

22.7. Требования для средств УЦ класса КА1:
- в УЦ должен обеспечиваться мандатный принцип контроля доступа; для ввода ключа ЭП администратора сертификации требуется не менее двух доверенных лиц 5 .

23. Требования к идентификации и аутентификации:

23.1. Идентификация и аутентификация включают в себя распознавание пользователя средств УЦ, члена группы администраторов средств УЦ или процесса и проверку их подлинности. Механизм аутентификации должен блокировать доступ этих субъектов к функциям УЦ при отрицательном результате аутентификации.

23.2. В средствах УЦ для любой реализованной процедуры аутентификации должен быть применен механизм ограничения количества следующих подряд попыток аутентификации одного субъекта доступа, число которых не должно быть больше трех. При превышении числа следующих подряд попыток аутентификации одного субъекта доступа установленного предельного значения доступ этого субъекта доступа к средствам УЦ должен быть заблокирован на промежуток времени, который указывается в ТЗ на разработку (модернизацию) средств УЦ.

23.3. Требования для средств УЦ класса КС1:

Описание процедуры регистрации пользователей средств УЦ (внесения данных в реестр пользователей средств УЦ) должно содержаться в эксплуатационной документации на средства УЦ;
- для всех лиц, осуществляющих доступ к средствам УЦ, должна проводиться аутентификация. При этом допускается ограничиться использованием для аутентификации только символьного периодически изменяющегося пароля из не менее чем 8 символов при мощности алфавита не менее 36 символов. Период изменения пароля не должен быть больше 6 месяцев.

23.4. Требования для средств УЦ класса КС2:

Необходимость предъявления пользователем средств УЦ при его регистрации документов, удостоверяющих личность, должна быть отражена в эксплуатационной документации на средства УЦ;
- для всех пользователей средств УЦ допускается использование механизмов удаленной аутентификации. Специальные характеристики механизмов удаленной аутентификации должны быть подтверждены в рамках проведения проверки соответствия средств УЦ и объектов информатизации, использующих данные средства, настоящим Требованиям;
- при осуществлении локального доступа к средствам УЦ аутентификация членов группы администраторов средств УЦ должна выполняться до перехода в рабочее состояние этих средств УЦ (например, до загрузки базовой ОС).

23.5. Требования для средств УЦ класса КС3:

В средствах УЦ должен быть реализован механизм аутентификации локальных пользователей, имеющих доступ к средствам УЦ, но не входящих в состав группы администраторов средств УЦ.

23.6. Требования для средств УЦ класса KB1:

При осуществлении удаленного доступа к средствам УЦ использование только символьного пароля не допускается, должны использоваться механизмы аутентификации на основе криптографических протоколов.

23.7. Требования для средств УЦ класса КВ2 совпадают с требованиями для средств УЦ класса KB1.

23.8. Требования для средств УЦ класса КА1:

В средствах УЦ для любого реализованного механизма аутентификации должна быть реализована возможность установки предельно допустимого количества следующих подряд попыток аутентификации одного субъекта доступа и установки времени блокировки доступа к средствам УЦ на местах их эксплуатации.

24. Требования к защите данных, поступающих (экспортируемых) в (из) УЦ:

24.1. Средства УЦ должны обеспечивать доверенный ввод самоподписанного сертификата ключа проверки ЭП.

24.2. Требования для средств УЦ класса КС1:

Средства УЦ должны обеспечивать передачу данных, содержащих информацию ограниченного доступа, поступающих в УЦ и экспортируемых из УЦ, способом, защищенным от НСД;
- в средствах УЦ должна быть реализована процедура защиты от навязывания ложных сообщений 6 ;
- требования к процедуре защиты от навязывания ложных сообщений указываются в ТЗ на разработку (модернизацию) средств УЦ.

24.3. Требования для средств УЦ класса КС2:

Средства УЦ должны обеспечивать защиту первоначального запроса на сертификат ключа проверки ЭП;
- средства УЦ должны принимать критичную для функционирования УЦ информацию, только если она подписана ЭП.

24.4. Требования для средств УЦ класса КС3:

В средствах УЦ должен быть реализован механизм защиты от навязывания ложных сообщений на основе использования средств ЭП, получивших подтверждение соответствия требованиям к средствам ЭП.

24.5. Требования для средств УЦ класса KB1:

В средствах УЦ должен быть реализован механизм защиты данных при передаче их между физически разделенными компонентами на основе использования СКЗИ.

24.6. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса KB1.

25. Требования к регистрации событий:

25.1. Базовая ОС средств УЦ должна поддерживать ведение журнала аудита системных событий.

25.2. Требования для средств УЦ класса КС1:

В средствах УЦ должен быть реализован механизм, производящий выборочную регистрацию событий в журнале аудита, связанных с выполнением УЦ своих функций;
- список регистрируемых событий должен содержаться в эксплуатационной документации на средства УЦ.

25.3. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

25.4. Требования для средств УЦ класса КС3:

Должны быть приняты меры обнаружения несанкционированных изменений журнала аудита пользователями средств УЦ, не являющимися членами группы администраторов средств УЦ.

25.5. Требования для средств УЦ класса КВ1 совпадают с требованиями для средств УЦ класса КС3.

25.6. Требования для средств УЦ класса КВ2:

Должны быть приняты меры обнаружения несанкционированных изменений каждой записи в журнале аудита.

25.7. Требования для средств УЦ класса КА1:

Журнал аудита должен быть доступен только администратору аудита, который может осуществлять только его просмотр, копирование и полную очистку. После очистки первой записью в журнале аудита должен автоматически регистрироваться факт очистки с указанием даты, времени и информации о лице, производившем операцию.

26. Требования по надежности и устойчивости функционирования средств УЦ:

26.1. Должны быть определены требования по надежности и устойчивости функционирования средств УЦ и указаны в ТЗ на разработку (модернизацию) средств УЦ.

26.2. Требования для средств УЦ класса КС1:

Проводится расчет вероятности сбоев и неисправностей АС УЦ, приводящих к невыполнению УЦ своих функций.

26.3. Требования для средств УЦ класса КС2:

Должно осуществляться тестирование устойчивости функционирования средств УЦ.

26.4. Требования для средств УЦ класса КС3:

Должны быть определены требования по времени восстановления средств УЦ после сбоя и указаны в ТЗ на разработку (модернизацию) средств УЦ;

Меры и средства повышения надежности и устойчивости функционирования средств УЦ должны содержать механизмы квотирования ресурсов средств УЦ.

26.5. Требования для средств УЦ класса KB1:

Вероятность сбоев и неисправностей АС УЦ, приводящих к невыполнению УЦ своих функций, в течение суток не должна превышать аналогичной вероятности для используемых СКЗИ.

26.6. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса KB1.

27. Требования к ключевой информации:

27.1. Порядок создания, использования, хранения и уничтожения ключевой информации определяется в соответствии с требованиями эксплуатационной документации на средства ЭП и иные СКЗИ, используемые средствами УЦ.

27.2. Срок действия ключа ЭП средства ЭП, используемого средствами УЦ, должен соответствовать требованиям, установленным к средствам ЭП.

27.3. Требования для средств УЦ класса КС1:

Не допускается копирование информации ключевых документов (криптографических ключей, в том числе ключей ЭП) на носители (например, жесткий диск), не являющиеся ключевыми носителями, без ее предварительного шифрования (которое должно осуществляться встроенной функцией используемого СКЗИ). Копирование ключевых документов должно осуществляться только в соответствии с эксплуатационной документацией на используемое СКЗИ;

Ключи ЭП, используемые для подписи сертификатов ключей проверки ЭП и списков уникальных номеров сертификатов ключей проверки ЭП, действие которых на определенный момент было прекращено УЦ до истечения срока их действия (далее - список аннулированных сертификатов), не должны использоваться ни для каких иных целей;

Сроки действия всех ключей должны быть указаны в эксплуатационной документации на средства УЦ.

27.4. Требования для средств УЦ классов КС2 и КС3 совпадают с требованиями для средств УЦ класса КС1.

27.5. Требования для средств УЦ класса KB1:

Должны быть приняты организационно-технические меры, исключающие возможность компрометации ключа ЭП, используемого для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, при компрометации ключевой информации, доступной одному лицу.

27.6. Требования для средств УЦ класса КВ2:

Ключ ЭП, используемый для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, должен генерироваться, храниться, использоваться и уничтожаться в средстве ЭП. Допускается использование только средств ЭП, получивших подтверждение соответствия требованиям, предъявляемым к средствам ЭП в соответствии с Федеральным законом;
- должны быть приняты организационно-технические меры, исключающие возможность компрометации ключа ЭП, используемого для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, при компрометации ключевой информации, доступной двум лицам.

27.7. Требования для средств УЦ класса КА1:

Должны быть приняты организационно-технические меры, исключающие возможность компрометации ключа ЭП, используемого для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, при компрометации ключевой информации, доступной трем лицам.

28. Требования к резервному копированию и восстановлению работоспособности средств УЦ:

28.1. Средства УЦ должны реализовывать функции резервного копирования и восстановления на случай повреждения АС и (или) информации, обрабатываемой средствами УЦ. В ходе резервного копирования должна быть исключена возможность копирования криптографических ключей.

28.2. Требования для средств УЦ класса КС1:

Данные, сохраненные при резервном копировании, должны быть достаточны для восстановления функционирования средств УЦ в состояние, зафиксированное на момент копирования.

28.3. Требования для средств УЦ классов КС2 и КС3 совпадают с требованиями для средств УЦ класса КС1.

28.4. Требования для средств УЦ класса KB1:

Должны быть приняты меры обнаружения несанкционированных изменений сохраненных данных;
- должны быть определены требования по времени восстановления и указаны в ТЗ на разработку (модернизацию) средств УЦ и в эксплуатационной документации на средства УЦ.

28.5. Требования для средств УЦ класса КВ2:

Сохраняемая при резервном копировании защищаемая информация должна сохраняться только в зашифрованном виде.

28.6. Требования для средств УЦ класса КА1 совпадают с требованиями для средств УЦ класса КВ2.

29. Требования к созданию и аннулированию сертификатов ключей проверки ЭП:

29.1. Протоколы создания и аннулирования сертификатов ключей проверки ЭП должны быть описаны в эксплуатационной документации на средства УЦ.

29.2. Создаваемые УЦ сертификаты ключей проверки ЭП и списки аннулированных сертификатов должны соответствовать международным рекомендациям ITU-T Х.509 7 (далее - рекомендации Х.509). Все поля и дополнения, включаемые в сертификат ключей проверки ЭП и список аннулированных сертификатов, должны быть заполнены в соответствии с рекомендациями Х.509. При использовании альтернативных форматов сертификатов ключей проверки ЭП должны быть определены требования к протоколам создания и аннулирования сертификатов ключей проверки ЭП и указаны в ТЗ на разработку (модернизацию) средств УЦ.

29.3. Средства УЦ должны реализовывать протокол аннулирования сертификата ключа проверки ЭП с использованием списков аннулированных сертификатов.

29.4. Допускается реализация протоколов аннулирования без использования списков аннулированных сертификатов, требования к которым должны быть указаны в ТЗ на разработку (модернизацию) средств УЦ.

29.5. Требования для средств УЦ класса КС1:

В средствах УЦ должна быть реализована функция изготовления сертификата ключа проверки ЭП на бумажном носителе. Порядок выдачи сертификата ключа проверки ЭП на бумажном носителе, а также процедура контроля соответствия сертификата ключа проверки ЭП в электронном виде и на бумажном носителе должны быть указаны в эксплуатационной документации на средства УЦ;

В средствах УЦ в отношении владельца сертификата ключа проверки ЭП должны быть реализованы механизмы проверки уникальности ключа проверки ЭП и обладания соответствующим ключом ЭП.

29.6. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

29.7. Требования для средств УЦ класса КС3:

Погрешность значений времени в сертификатах ключей проверки ЭП и списках аннулированных сертификатов не должна превышать 10 минут.

29.8. Требования для средств УЦ класса KB1:

Погрешность значений времени в сертификатах ключей проверки ЭП и списках аннулированных сертификатов не должна превышать 5 минут.

29.9. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса KB 1.

30. Требования к структуре сертификата ключа проверки ЭП и списка аннулированных сертификатов:

30.1. Требования для средств УЦ класса КС1:

Допустимые структуры сертификата ключа проверки ЭП и списка аннулированных сертификатов должны быть перечислены в эксплуатационной документации на средства УЦ;
- в средствах УЦ должен быть реализован механизм контроля соответствия создаваемых сертификатов ключей проверки ЭП и списков аннулированных сертификатов заданной структуре;
- в структуре сертификата ключа проверки ЭП должны быть предусмотрены поле, содержащее сведения о классе средств УЦ, с использованием которых был создан настоящий сертификат ключа проверки ЭП, и поле, содержащее сведения о классе средства ЭП владельца сертификата ключа проверки ЭП.

30.2. Требования для средств УЦ классов КС2 и КС3 совпадают с требованиями для средств УЦ класса КС1.

30.3. Требования для средств УЦ класса КВ1:

В средствах УЦ должен быть реализован механизм задания системным администратором набора допустимых дополнений сертификата ключа проверки ЭП и списка аннулированных сертификатов.

30.4. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса KB1.

31. Требования к реестру сертификатов ключей проверки ЭП и обеспечению доступа к нему:

31.1. Требования для средств УЦ класса КС1:

В средствах УЦ должны быть реализованы механизмы хранения и поиска всех созданных сертификатов ключей проверки ЭП и списков аннулированных сертификатов в реестре, а также сетевого доступа к реестру.

31.2. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

31.3. Требования для средств УЦ класса КС3:

В средствах УЦ должен быть реализован механизм поиска сертификатов ключей проверки ЭП и списков аннулированных сертификатов в реестре сертификатов ключей проверки ЭП по различным их атрибутам;
- все изменения реестра сертификатов ключей проверки ЭП должны регистрироваться в журнале аудита.

31.4. Требования для средств УЦ классов KB1, КВ2 и КА1 совпадают с требованиями для средств УЦ класса КС3.
32. Требования к проверке ЭП в сертификате ключа проверки ЭП:

32.1. Должен быть определен механизм проверки подписи в сертификате ключа проверки ЭП по запросу участника электронного взаимодействия и указан в эксплуатационной документации на средства УЦ.

32.2. В средствах УЦ должен быть реализован механизм проверки подлинности ЭП УЦ в выдаваемых им сертификатах ключей проверки ЭП.

32.3. Проверка ЭП в сертификате ключа проверки ЭП осуществляется в соответствии с рекомендациями Х.509, включая обязательную проверку всех критических дополнений.

32.4. Если, исходя из особенностей эксплуатации средств УЦ, допускается использование альтернативных форматов сертификата ключа проверки ЭП, должен быть определен механизм проверки подписи в сертификате ключа проверки ЭП и указан в ТЗ на разработку (модернизацию) средств УЦ.

33. Для ограничения возможностей по построению каналов атак на средства УЦ с использованием каналов связи должны применяться средства межсетевого экранирования.

34. Должны быть определены требования по защите средств УЦ от компьютерных вирусов и компьютерных атак и указаны в ТЗ на разработку (модернизацию) средств УЦ.

35. При подключении средств УЦ к информационно-телекоммуникационной сети, доступ к которой не ограничен определенным кругом лиц, указанные средства должны соответствовать требованиям к средствам УЦ класса КВ2 или КА1.

36. Исследования средств УЦ с целью подтверждения соответствия средств УЦ настоящим Требованиям должны проводиться с использованием разрабатываемых ФСБ России числовых значений параметров и характеристик механизмов защиты, реализуемых в средствах УЦ 8 .

1 Зарегистрирован Минюстом России 3 марта 2005 г., регистрационный № 6382.
2 Зарегистрирован Минюстом России 25 мая 2010 г., регистрационный № 17350.
3 Необходимый класс разрабатываемых (модернизируемых) средств УЦ определяется заказчиком (разработчиком) средств УЦ путем определения возможностей осуществлять создание способов атак, подготовку и проведение атак на основе пунктов 9 - 14 настоящих Требований и указывается в тактико-техническом задании или техническом задании на проведение опытно-конструкторской работы или составной части опытно-конструкторской работы по разработке (модернизации) средств УЦ (далее - Т3 на разработку (модернизацию) средств УЦ).
4 Программная среда, которая допускает существование в ней только фиксированного набора субъектов (программ, процессов).
5 Лица, являющиеся членами группы администраторов средств УЦ и заведомо не являющиеся нарушителями.
6 Навязывание ложного сообщения представляет собой действие, воспринимаемое участниками электронного взаимодействия или средствами УЦ как передача истинного сообщения способом, защищенным от НСД.
7 ITU-T Recommendation Х.509. Information technology - Open systems interconnection - The Directory: Public-key and attribute certificate frameworks. 2008. http://www.itu.int/rec/T-REC-X.509-200811-i.
8 Подпункт 47 пункта 9 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. №960 (Собрание законодательства Российской Федерации, 2003, № 33, ст. 3254; 2004, № 28, ст. 2883; 2005, № 36, ст. 3665; № 49, ст. 5200; 2006, № 25, ст. 2699; № 31 (ч. I), ст. 3463; 2007, № 1 (ч. I), ст. 205; № 49, ст. 6133; № 53, ст. 6554; 2008, № 36, ст.4087; № 43, ст. 4921; № 47, ст. 5431; 2010, № 17, ст. 2054; № 20, ст. 2435; 2011, № 2, ст. 267; № 9, ст. 1222).

Средства криптографической защиты информации, или сокращенно СКЗИ, используются для обеспечения всесторонней защиты данных, которые передаются по линиям связи. Для этого необходимо соблюсти авторизацию и защиту электронной подписи, аутентификацию сообщающихся сторон с использованием протоколов TLS и IPSec, а также защиту самого канала связи при необходимости.

В России использование криптографических средств защиты информации по большей части засекречено, поэтому общедоступной информации касательно этой темы мало.

Методы, применяемые в СКЗИ

  • Авторизация данных и обеспечение сохранности их юридической значимости при передаче или хранении. Для этого применяют алгоритмы создания электронной подписи и ее проверки в соответствии с установленным регламентом RFC 4357 и используют сертификаты по стандарту X.509.
  • Защита конфиденциальности данных и контроль их целостности. Используется асимметричное шифрование и имитозащита, то есть противодействие подмене данных. Соблюдается ГОСТ Р 34.12-2015.
  • Защита системного и прикладного ПО. Отслеживание несанкционированных изменений или неверного функционирования.
  • Управление наиболее важными элементами системы в строгом соответствии с принятым регламентом.
  • Аутентификация сторон, обменивающихся данными.
  • Защита соединения с использованием протокола TLS.
  • Защита IP-соединений при помощи протоколов IKE, ESP, AH.

Подробным образом методы описаны в следующих документах: RFC 4357, RFC 4490, RFC 4491.

Механизмы СКЗИ для информационной защиты

  1. Защита конфиденциальности хранимой или передаваемой информации происходит применением алгоритмов шифрования.
  2. При установлении связи идентификация обеспечивается средствами электронной подписи при их использовании во время аутентификации (по рекомендации X.509).
  3. Цифровой документооборот также защищается средствами электронной подписи совместно с защитой от навязывания или повтора, при этом осуществляется контроль достоверности ключей, используемых для проверки электронных подписей.
  4. Целостность информации обеспечивается средствами цифровой подписи.
  5. Использование функций асимметричного шифрования позволяет защитить данные. Помимо этого для проверки целостности данных могут быть использованы функции хеширования или алгоритмы имитозащиты. Однако эти способы не поддерживают определения авторства документа.
  6. Защита от повторов происходит криптографическими функциями электронной подписи для шифрования или имитозащиты. При этом к каждой сетевой сессии добавляется уникальный идентификатор, достаточно длинный, чтобы исключить его случайное совпадение, и реализуется проверка принимающей стороной.
  7. Защита от навязывания, то есть от проникновения в связь со стороны, обеспечивается средствами электронной подписи.
  8. Прочая защита - против закладок, вирусов, модификаций операционной системы и т. д. - обеспечивается с помощью различных криптографических средств, протоколов безопасности, антивирусных ПО и организационных мероприятий.

Как можно заметить, алгоритмы электронной подписи являются основополагающей частью средства криптографической защиты информации. Они будут рассмотрены ниже.

Требования при использовании СКЗИ

СКЗИ нацелено на защиту (проверкой электронной подписи) открытых данных в различных информационных системах общего использования и обеспечения их конфиденциальности (проверкой электронной подписи, имитозащитой, шифрованием, проверкой хеша) в корпоративных сетях.

Персональное средство криптографической защиты информации используется для охраны персональных данных пользователя. Однако следует особо выделить информацию, касающуюся государственной тайны. По закону СКЗИ не может быть использовано для работы с ней.

Важно: перед установкой СКЗИ первым делом следует проверить сам пакет обеспечения СКЗИ. Это первый шаг. Как правило, целостность пакета установки проверяется путем сравнения контрольных сумм, полученных от производителя.

После установки следует определиться с уровнем угрозы, исходя из чего можно определить необходимые для применения виды СКЗИ: программные, аппаратные и аппаратно-программные. Также следует учитывать, что при организации некоторых СКЗИ необходимо учитывать размещение системы.

Классы защиты

Согласно приказу ФСБ России от 10.07.14 под номером 378, регламентирующему применение криптографических средств защиты информации и персональных данных, определены шесть классов: КС1, КС2, КС3, КВ1, КВ2, КА1. Класс защиты для той или иной системы определяется из анализа данных о модели нарушителя, то есть из оценки возможных способов взлома системы. Защита при этом строится из программных и аппаратных средств криптографической защиты информации.

АУ (актуальные угрозы), как видно из таблицы, бывают 3 типов:

  1. Угрозы первого типа связаны с недокументированными возможностями в системном ПО, используемом в информационной системе.
  2. Угрозы второго типа связаны с недокументированными возможностями в прикладном ПО, используемом в информационной системе.
  3. Угрозой третьего типа называются все остальные.

Недокументированные возможности - это функции и свойства программного обеспечения, которые не описаны в официальной документации или не соответствуют ей. То есть их использование может повышать риск нарушения конфиденциальности или целостности информации.

Для ясности рассмотрим модели нарушителей, для перехвата которых нужен тот или иной класс средств криптографической защиты информации:

  • КС1 - нарушитель действует извне, без помощников внутри системы.
  • КС2 - внутренний нарушитель, но не имеющий доступа к СКЗИ.
  • КС3 - внутренний нарушитель, который является пользователем СКЗИ.
  • КВ1 - нарушитель, который привлекает сторонние ресурсы, например специалистов по СКЗИ.
  • КВ2 - нарушитель, за действиями которого стоит институт или лаборатория, работающая в области изучения и разработки СКЗИ.
  • КА1 - специальные службы государств.

Таким образом, КС1 можно назвать базовым классом защиты. Соответственно, чем выше класс защиты, тем меньше специалистов, способных его обеспечивать. Например, в России, по данным за 2013 год, существовало всего 6 организаций, имеющих сертификат от ФСБ и способных обеспечивать защиту класса КА1.

Используемые алгоритмы

Рассмотрим основные алгоритмы, используемые в средствах криптографической защиты информации:

  • ГОСТ Р 34.10-2001 и обновленный ГОСТ Р 34.10-2012 - алгоритмы создания и проверки электронной подписи.
  • ГОСТ Р 34.11-94 и последний ГОСТ Р 34.11-2012 - алгоритмы создания хеш-функций.
  • ГОСТ 28147-89 и более новый ГОСТ Р 34.12-2015 - реализация алгоритмов шифрования и имитозащиты данных.
  • Дополнительные криптографические алгоритмы находятся в документе RFC 4357.

Электронная подпись

Применение средства криптографической защиты информации невозможно представить без использования алгоритмов электронной подписи, которые набирают все большую популярность.

Электронная подпись - это специальная часть документа, созданная криптографическими преобразованиями. Ее основной задачей являются выявление несанкционированного изменения и определение авторства.

Сертификат электронной подписи - это отдельный документ, который доказывает подлинность и принадлежность электронной подписи своему владельцу по открытому ключу. Выдача сертификата происходит удостоверяющими центрами.

Владелец сертификата электронной подписи - это лицо, на имя которого регистрируется сертификат. Он связан с двумя ключами: открытым и закрытым. Закрытый ключ позволяет создать электронную подпись. Открытый ключ предназначен для проверки подлинности подписи благодаря криптографической связи с закрытым ключом.

Виды электронной подписи

По Федеральному закону № 63 электронная подпись делится на 3 вида:

  • обычная электронная подпись;
  • неквалифицированная электронная подпись;
  • квалифицированная электронная подпись.

Простая ЭП создается за счет паролей, наложенных на открытие и просмотр данных, или подобных средств, косвенно подтверждающих владельца.

Неквалифицированная ЭП создается с помощью криптографических преобразований данных при помощи закрытого ключа. Благодаря этому можно подтвердить лицо, подписавшее документ, и установить факт внесения в данные несанкционированных изменений.

Квалифицированная и неквалифицированная подписи отличаются только тем, что в первом случае сертификат на ЭП должен быть выдан сертифицированным ФСБ удостоверяющим центром.

Область использования электронной подписи

В таблице ниже рассмотрены сферы применения ЭП.

Активнее всего технологии ЭП применяются в обмене документами. Во внутреннем документообороте ЭП выступает в роли утверждения документов, то есть как личная подпись или печать. В случае внешнего документооборота наличие ЭП критично, так как является юридическим подтверждением. Стоит также отметить, что документы, подписанные ЭП, способны храниться бесконечно долго и не утрачивать своей юридической значимости из-за таких факторов, как стирающиеся подписи, испорченная бумага и т. д.

Отчетность перед контролирующими органами - это еще одна сфера, в которой наращивается электронный документооборот. Многие компании и организации уже оценили удобство работы в таком формате.

По закону Российской Федерации каждый гражданин вправе пользоваться ЭП при использовании госуслуг (например, подписание электронного заявления для органов власти).

Онлайн-торги - еще одна интересная сфера, в которой активно применяется электронная подпись. Она является подтверждением того факта, что в торгах участвует реальный человек и его предложения могут рассматриваться как достоверные. Также важным является то, что любой заключенный контракт при помощи ЭП приобретает юридическую силу.

Алгоритмы электронной подписи

  • Full Domain Hash (FDH) и Public Key Cryptography Standards (PKCS). Последнее представляет собой целую группу стандартных алгоритмов для различных ситуаций.
  • DSA и ECDSA - стандарты создания электронной подписи в США.
  • ГОСТ Р 34.10-2012 - стандарт создания ЭП в РФ. Данный стандарт заменил собой ГОСТ Р 34.10-2001, действие которого официально прекратилось после 31 декабря 2017 года.
  • Евразийский союз пользуется стандартами, полностью аналогичными российским.
  • СТБ 34.101.45-2013 - белорусский стандарт для цифровой электронной подписи.
  • ДСТУ 4145-2002 - стандарт создания электронной подписи в Украине и множество других.

Стоит также отметить, что алгоритмы создания ЭП имеют различные назначения и цели:

  • Групповая электронная подпись.
  • Одноразовая цифровая подпись.
  • Доверенная ЭП.
  • Квалифицированная и неквалифицированная подпись и пр.

Требования ФСБ остаются до сих пор загадкой для многих специалистов. Почему так происходит?

  • Необязательное применение средств шифрования операторами.
  • Сложная для понимания нормативная база.
  • Отсутствие разъяснений к документам со стороны регулятора.
  • Страх операторов навлечь на себя дополнительные проверки при использовании криптографии.

Но, несмотря на все трудности, без криптографической защиты не обойтись при передаче персональных данных по незащищенному каналу связи, сюда входит, например, удаленная работа сотрудников с базой данных клиентов, обмен информацией между филиалами и головным офисом, передача личной информации работников третьим лицам. В том или ином виде подобные задачи присутствуют практически в каждой организации.

Давайте разберем в общих чертах нормативную базу по этому вопросу. Можно выделить три основных документа по криптографической защите персональных данных в Российской Федерации:

  1. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144 —
  2. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных«, утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622 — Документ официально опубликован не был.
  3. Приказ ФСБ № 378 от 10 июля 2014 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Зарегистрировано в Минюсте России 18 августа 2014г.

Документ был принят еще во времена действия «старых» документов ФСТЭК («четверокнижия», 58-го Приказа, 781 Постановления Правительства) и дополнял их содержание. Стоит отметить, что рассматриваемый нормативный документ не был зарегистрирован в Минюсте, на сегодняшний день статус его непонятен. Скорее всего, в связи с изданием Приказа 378 Методические рекомендации свою актуальность потеряли. Однако я хочу кратко остановиться на содержании документа, чтобы было понятно, как исторически развивались требования к системам шифрования.

Требования вышеуказанного документа (а также других нормативных актов в области криптографической защиты ПДн) не распространяются на следующие случаи:

  • Обработка персональных данных без использования средств автоматизации;
  • Работа с персональными данными, составляющими государственную тайну;
  • Использование технических средств, расположенных за пределами РФ.

В документе сказано, что в случае использования средств криптографической защиты, нужно разрабатывать модель угроз по требованиям как ФСТЭК, так и ФСБ (за редким исключением). Операторы могут сами составлять модели угроз и нарушителя, лишь при необходимости привлекая лицензиатов ФСБ. Все угрозы в документе делятся на атаки и угрозы, не являющиеся атаками, приведены примеры распространенных угроз. Вы можете руководствоваться Методикой как справочным материалом при написании модели по новым требованиям.

Модель угроз верхнего уровня определяет характеристики безопасности ПДн и других объектов защиты. В детализированной модели угроз обозначены требуемые условия криптозащиты.

На модель угроз влияют различные факторы: условия создания и использования ПДн, формы представления ПДн, характеристики безопасности и т.д.

Кроме привычных характеристик: целостности, конфиденциальности и доступности выделяют также неотказуемость, учетность, аутентичность и адекватность.

Пример модели угроз верхнего уровня:

  1. Угроза конфиденциальности персональных данных.
  2. Угроза целостности персональных данных.
  3. Угроза доступности персональных данных.

Документ посвящен не только вопросам формирования модели угроз, но и особенностям составления адекватной модели нарушителя. Все нарушения в Методических рекомендациях делятся на два класса: прямые и косвенные нарушения безопасности ПДн (угрозы, создающие условия для возникновения прямых угроз). Выделяется 6 основных типов нарушителей: Н1, Н2, Н3, Н4, Н5, Н6. Чем выше цифра, тем больше возможностей, нарушитель каждого следующего типа наследует возможности предыдущего. Оператор самостоятельно определяет уровень подготовки нарушителей, доступные им инструменты и делает предположение о сговоре. В документе указаны основные характеристики нарушителя каждого типа. Также определены 6 уровней криптозащиты: KC1, KC2, KC3, KB1, KB2, KA1 и 6 классов криптосредств с аналогичными названиями, в этом плане ничего не изменилось и по сей день. ИСПДн также разделяются на 6 классов, в зависимости от наивысшей категории нарушителя. АК1- если наивысшая категория нарушителя Н1, АК2-если Н2, АК3 — если Н3, АК4 — если Н4, АК5 — если Н5, АК6 — если Н6. Соответственно распределены средства криптозащиты: АК1 — КС1, АК2 — КС2, АК3 — КС3, АК4 — КВ1, АК5 — КВ2, АК6 — КА1.

Типовые требования

Типовые требования были написаны в тот же период, что и Методические рекомендации, не зарегистрированы в Минюсте, на сегодняшний день их статус непонятен. На мой взгляд, в документе содержится полезная для изучения информация. Подробно описаны обязанности пользователей криптосредств, обозначены основные правила для них:

  • не допускать копирования ключевой информации;
  • не разглашать информацию о ключах;
  • не записывать на ключевые носители постороннюю информацию и т.д.

Описан процесс уничтожения ключа, основные требования к помещениям, представлены типовые формы журналов. На основании информации, содержащейся в документе можно построить некоторые полезные инструкции.

Приказ 378

Выхода 378 Приказа ждало все профессиональное сообщество и вот, наконец, он вступил в силу. На сегодняшний день это — главный документ в области криптографической защиты персональных данных, и его действие распространяется на все ИСПДн, в которых используются в качестве защиты криптографические СЗИ. Приказом определены требования не только к криптографической защите, но и к режиму обеспечения безопасности помещений, порядок хранения носителей информации и другие организационные меры в зависимости от уровня защищенности системы. Отдельно указано, что оператору следует использовать СЗИ, прошедшие оценку соответствия — сертифицированные по требованиям безопасности. Защитные меры описаны очень подробно, включают в себя требования к оснащенности помещений (замки, приспособления для опечатывания, решетки на окна и т.д.). В отличие от положений Методических рекомендаций в Приказе 378 класс СКЗИ определяется относительно уровня защищенности и актуального типа угроз. Возможности злоумышленника учитываются лишь при определении класса СКЗИ для 4 уровня защищенности.

Таблица 1. Класс СКЗИ

Зависимость от уровня защищенности и типа угроз достаточно очевидна, и, как мы видим, оператор почти всегда может выбрать класс СКЗИ из нескольких вариантов.

Документ отличается четкой логикой изложения — достаточно знать уровень защищенности своей системы — требования к ИСПДн каждого уровня представлены в отдельных разделах. Стоит отметить, что требования наследуются от более низких уровней к более высоким, ИСПДн 1-го уровня защищенности должна отвечать требованиям для ИСПДн 2-го, 3-го и 4-го уровней. На мой взгляд, разобраться с требованиями нового Приказа не составит труда даже начинающему специалисту.

Безусловно, в одной краткой статье невозможно определить все нюансы криптографической защиты персональных данных, да и нужно ли это делать? Мы разобрали здесь основные моменты, поняли логику документов, остальное — детали, которые можно изучить самостоятельно. А в пятой части будут рассмотрены не менее важные вопросы: определение требований к системе защиты персональных данных и выбор мер защиты.

Статьи по теме: