###
  • Programi
  • Sigurnost
  • Vijesti
  • Zanimljiv
  • Savjet
  • Vijesti
  • Recenzije

    • Razina zaštite ks1. Zahtjevi za sredstva elektroničkog potpisa i certifikacijski centar - Rossiyskaya Gazeta. Trenutne mogućnosti izvora napada

    17.05.2020 Sigurnost

    Alati za zaštitu kriptografskih informacija sigurnosnih klasa KS2 i KS1 u skladu sa zahtjevima FSB-a Rusije razlikuju se u stvarnim mogućnostima izvora napada i mjerama koje se poduzimaju za suzbijanje napada.

    1. Trenutne mogućnosti izvora napada

    Alati za kriptografsku zaštitu informacija (CIPF) klase KS1 koriste se kada su prisutne trenutne mogućnosti izvora napada, naime, za samostalno kreiranje metoda napada, pripremu i izvođenje napada samo izvan kontroliranog područja.

    1. samostalno kreirati metode napada, pripremati i izvoditi napade samo izvan kontroliranog područja;
    2. samostalno kreiraju metode napada, pripremaju i izvode napade unutar kontroliranog prostora, ali bez fizičkog pristupa hardveru na kojem su implementirani CIPF i njihovo operativno okruženje (SF).

    Tako se CIPF klasa KS2 razlikuje od KS1 po neutralizaciji izvora napada, samostalnom kreiranju metoda napada, pripremi i izvođenju napada unutar kontroliranog područja, ali bez fizičkog pristupa hardveru na kojem su implementirani CIPF i IP.

    2. Mogućnosti implementacije CIPF klasa zaštite KS3, KS2 i KS1

    Opcija 1, ovo je osnovni CIPF softver koji pruža klasu zaštite KS1.

    Opcija 2 je CIPF klasa KS2, koja se sastoji od osnovne CIPF klase KS1 zajedno s certificiranim hardversko-softverskim pouzdanim modulom opterećenja (APMDZ).

    Opcija 3 je CIPF klase KS3, koja se sastoji od CIPF klase KS2 zajedno sa specijaliziranim softverom za stvaranje i kontrolu zatvorenog softverskog okruženja.

    Stoga se softver CIPF klase KS2 razlikuje od KS1 samo po dodatku certificiranog APMDZ-a CIPF klasi KS1. Razlika između CIPF klase KS3 i klase KS1 je korištenje CIPF klase KS1 u kombinaciji s certificiranim APMDZ i specijaliziranim softverom za stvaranje i kontrolu zatvorenog softverskog okruženja. Također, razlika između CIPF klase KS3 i klase KS2 je korištenje CIPF klase KS2 zajedno sa specijaliziranim softverom za stvaranje i kontrolu zatvorenog softverskog okruženja.

    Softver ViPNet SysLocker (1.0 od 28. ožujka 2016.) besplatni je specijalizirani softver za kreiranje i kontrolu zatvorenog softverskog okruženja.

    3. Mjere za suzbijanje napada

    CIPF klasa KS2 ne primjenjuje mjere za protunapade, koje su obvezne kada se koristi CIPF klasa KS1, naime:

    1. odobren je popis osoba koje imaju pravo pristupa prostorijama;
    2. odobren je popis osoba koje imaju pravo pristupa prostorijama u kojima se nalaze sustavi kriptografske zaštite informacija;
    3. odobrena su pravila za pristup prostorijama u kojima se nalaze sustavi kriptografske zaštite informacija u radno i neradno vrijeme, kao iu izvanrednim situacijama;
    4. pristup kontroliranom prostoru i prostorijama u kojima se nalaze resursi informacijskih sustava osobnih podataka (PDIS) i/ili CIPF-a osiguran je u skladu s režimom kontrole pristupa;
    5. informacije o fizičkim mjerama zaštite objekata u kojima se nalaze informacijski sustavi dostupne su ograničenom broju zaposlenika;
    6. dokumentaciju za CIPF pohranjuje odgovorna osoba za CIPF u metalni sef (ormar);
    7. prostori u kojima se nalazi dokumentacija za komponente CIPF, CIPF i SF opremljeni su ulaznim vratima s bravama, čime se osigurava da su vrata prostora stalno zaključana i otvorena samo za ovlašteni prolaz;
    8. predstavnici tehničkih službi, službi održavanja i drugih pomoćnih službi pri radu u prostorima (regalima) u kojima se nalazi CIPF, te djelatnici koji nisu korisnici CIPF-a, nalaze se u tim prostorijama samo u prisustvu djelatnika operative;
    9. zaposlenici koji su korisnici ISPD-a, a nisu korisnici CIPF-a, upoznati su s pravilima rada u ISPD-u i odgovornosti za nepoštivanje pravila informacijske sigurnosti;
    10. Korisnici CIPF-a upoznati su s pravilima rada u ISDN-u, pravilima rada s CIPF-om i odgovornosti za nepoštivanje pravila informacijske sigurnosti;
    11. provodi se registracija i snimanje radnji korisnika s osobnim podacima;
    12. nadzire se cjelovitost sredstava informacijske sigurnosti.

    Zahtjevi FSB-a još uvijek ostaju misterij za mnoge stručnjake. Zašto se ovo događa?

    • Opcionalno korištenje enkripcije od strane operatera.
    • Teško razumjeti regulatorni okvir.
    • Nedostatak objašnjenja za dokumente regulatora.
    • Strah operatera od dodatnog nadzora pri korištenju kriptografije.

    No, unatoč svim poteškoćama, nemoguće je bez kriptografske zaštite pri prijenosu osobnih podataka nezaštićenim komunikacijskim kanalom, što uključuje npr. rad na daljinu zaposlenika s bazom podataka o klijentima, razmjenu informacija između podružnica i središnjice, prijenos osobnih podataka zaposlenika trećim stranama. U ovom ili onom obliku, takvi zadaci prisutni su u gotovo svakoj organizaciji.

    Pogledajmo općenito regulatorni okvir o ovom pitanju. Tri su glavna dokumenta o kriptografskoj zaštiti osobnih podataka Ruska Federacija:

    1. Metodološke preporuke za osiguranje sigurnosti osobnih podataka korištenjem kriptografskih alata pri njihovoj obradi u informacijskim sustavima osobnih podataka korištenjem alata za automatizaciju", odobrila je uprava 8. centra FSB-a Rusije 21. veljače 2008. br. 149/54-144. -
    2. Standardni zahtjevi za organiziranje i osiguranje funkcioniranja enkripcijskih (kriptografskih) sredstava namijenjenih zaštiti podataka koji ne sadrže podatke koji predstavljaju državnu tajnu, u slučaju njihove uporabe za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka,” odobreno od strane uprave 8. FSB centra Rusija 21.02.2008 br. 149/6/6-622 - Dokument nije službeno objavljen.
    3. Naredba FSB-a br. 378 od 10. srpnja 2014. „O odobrenju sastava i sadržaja organizacijskih i tehničkih mjera za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka korištenjem kriptografskih alata za zaštitu informacija potrebnih za ispunjavanje utvrđenih zahtjeva zaštite od strane Vlade Ruske Federacije osobni podaci za svaku sigurnosnu razinu.” Registrirano u Ministarstvu pravosuđa Rusije 18. kolovoza 2014.

    Dokument je usvojen još dok su bili na snazi ​​„stari“ dokumenti FSTEC-a („Četiri knjige“, 58. naredba, 781. Vladina rezolucija) i dopunio je njihov sadržaj. Važno je napomenuti da predmetni regulatorni dokument nije registriran u Ministarstvu pravosuđa; danas je njegov status nejasan. Najvjerojatnije su u vezi s objavljivanjem Naredbe 378. Metodološke preporuke izgubile na važnosti. Međutim, želim ukratko raspravljati o sadržaju dokumenta kako bi bilo jasno kako su se zahtjevi za sustave šifriranja povijesno razvijali.

    Zahtjevi navedenog dokumenta (kao i drugih propisa iz područja kriptografske zaštite osobnih podataka) ne odnose se na sljedeće slučajeve:

    • Obrada osobnih podataka bez upotrebe alata za automatizaciju;
    • Rad s osobnim podacima koji predstavljaju državnu tajnu;
    • Korištenje tehničke opreme koja se nalazi izvan Ruske Federacije.

    U dokumentu se navodi da je u slučaju korištenja sredstava kriptografske zaštite potrebno razviti model prijetnje u skladu sa zahtjevima FSTEC-a i FSB-a (uz rijetke iznimke). Operateri mogu sami izraditi modele prijetnji i uljeza, samo ako je potrebno, uključujući nositelje licence FSB-a. Sve prijetnje u dokumentu podijeljene su na napade i prijetnje koje nisu napadi, navedeni su primjeri uobičajenih prijetnji. Metodologiju možete koristiti kao referencu pri pisanju modela za nove zahtjeve.

    Model prijetnje vrhunska razina utvrđuje sigurnosna svojstva osobnih podataka i drugih zaštićenih objekata. Detaljan model prijetnji identificira potrebne uvjete za kriptografsku zaštitu.

    Na model prijetnje utječu različiti čimbenici: uvjeti za stvaranje i korištenje osobnih podataka, oblici prezentacije osobnih podataka, sigurnosne karakteristike itd.

    Uz uobičajene karakteristike: cjelovitost, povjerljivost i dostupnost, izdvajaju se i neporecivost, računovodstvenost, autentičnost i primjerenost.

    Primjer modela prijetnje najviše razine:

    1. Ugrožavanje povjerljivosti osobnih podataka.
    2. Ugrožavanje integriteta osobnih podataka.
    3. Prijetnja dostupnosti osobnih podataka.

    Dokument je posvećen ne samo pitanjima formiranja modela prijetnje, već i značajkama izrade adekvatnog modela uljeza. Sve povrede u Metodološkim preporukama podijeljene su u dvije klase: izravne i neizravne povrede sigurnosti osobnih podataka (prijetnje koje stvaraju uvjete za nastanak izravnih prijetnji). Postoji 6 glavnih tipova prekršitelja: H1, H2, H3, H4, H5, H6. Što je veći broj, to je više mogućnosti; prekršitelj svake sljedeće vrste nasljeđuje sposobnosti prethodne. Operater samostalno utvrđuje razinu obučenosti prekršitelja, alate koji su im dostupni i pretpostavlja postojanje tajnog dogovora. Dokument ukazuje na glavne karakteristike svake vrste počinitelja. Također je definirano 6 razina kriptografske zaštite: KC1, KC2, KC3, KB1, KB2, KA1 i 6 klasa kriptovaluta sličnih naziva, po tom pitanju se do danas ništa nije promijenilo. ISPD su također podijeljeni u 6 razreda, ovisno o najvišoj kategoriji počinitelja. AK1 - ako je najviša kategorija počinitelja H1, AK2 - ako je H2, AK3 - ako je H3, AK4 - ako je H4, AK5 - ako je H5, AK6 - ako je H6. Sredstva kriptografske zaštite raspoređena su prema tome: AK1 - KS1, AK2 - KS2, AK3 - KS3, AK4 - KB1, AK5 - KB2, AK6 - KA1.

    Tipični zahtjevi

    Standardni zahtjevi napisani su u istom razdoblju kad i Metodološke preporuke, nisu bili evidentirani u Ministarstvu pravosuđa, danas je njihov status nejasan. Po mom mišljenju, dokument sadrži korisne informacije za proučavanje. Detaljno su opisane odgovornosti korisnika kripto fondova te su navedena osnovna pravila za njih:

    • spriječiti kopiranje ključnih informacija;
    • ne otkrivajte podatke o ključevima;
    • nemojte pisati na ključne medije vanjske informacije itd.

    Opisuje se postupak uništavanja ključa, osnovni zahtjevi za prostore, te tipski oblici trupaca. Na temelju informacija sadržanih u dokumentu možete sastaviti neke korisne upute.

    Narudžba 378

    Čitava stručna javnost čekala je izlazak Naredbe 378, a sada je konačno stupila na snagu. Danas je to glavni dokument u području kriptografske zaštite osobnih podataka, a njegovo djelovanje se odnosi na sve informacijske sustave koji kao zaštitu koriste kriptografske informacijske sigurnosne sustave. Naredba definira zahtjeve ne samo za kriptografsku zaštitu, već i za sigurnosni režim prostorija, postupak pohranjivanja medija za pohranjivanje i druge organizacijske mjere ovisno o stupnju sigurnosti sustava. Posebno je navedeno da operater treba koristiti sustave informacijske sigurnosti koji su prošli ocjenu sukladnosti i certificirani prema sigurnosnim zahtjevima. Zaštitne mjere su detaljno opisane i uključuju zahtjeve za opremu prostora (brave, uređaji za brtvljenje, rešetke na prozorima i dr.). Za razliku od odredaba Metodoloških preporuka, Naredba 378 određuje klasu CIPF-a u odnosu na razinu sigurnosti i aktualnu vrstu prijetnji. Sposobnosti napadača uzimaju se u obzir samo pri određivanju CIPF klase za razinu 4 sigurnosti.

    Tablica 1. CIPF klasa

    Ovisnost o razini sigurnosti i vrsti prijetnji prilično je očita i, kao što vidimo, operater gotovo uvijek može odabrati CIPF klasu između nekoliko opcija.

    Dokument ima jasnu logiku prikaza - dovoljno je znati razinu sigurnosti vašeg sustava - zahtjevi za ISPD svake razine prikazani su u posebnim odjeljcima. Vrijedno je napomenuti da su zahtjevi naslijeđeni od više niske razine do viših, ISPD 1. stupnja sigurnosti mora udovoljavati zahtjevima za ISPD 2., 3. i 4. stupnja. Po mom mišljenju, razumijevanje zahtjeva novog Reda neće biti teško čak ni stručnjaku početniku.

    Naravno, u jednom kratkom članku nemoguće je odrediti sve nijanse kriptografske zaštite osobnih podataka i je li to potrebno učiniti? Ovdje smo analizirali glavne točke, razumjeli logiku dokumenata, ostalo su detalji koje možete sami proučiti. A u petom dijelu razmatrat će se ne manje važna pitanja: određivanje zahtjeva za sustav zaštite osobnih podataka i odabir mjera zaštite.

    U skladu s dijelom 5. članka 8. Saveznog zakona od 6. travnja 2011. N 63-FZ „O Elektronički potpis" 1 Naručujem odobriti:

    Zahtjevi za sredstva elektroničkog potpisa (Prilog br. 1);
    Zahtjevi za sredstva certifikacijskog centra (Prilog br. 2).

    Redatelj A. Bortnikov

    1 Zbirka zakonodavstva Ruske Federacije, 2011, br. 15, čl. 2036; N 27, čl. 3880.

    Zahtjevi za alate za elektronički potpis

    ja Opće odredbe

    3) ES ključ - jedinstveni niz znakova namijenjen kreiranju ES;

    4) ES ključ za provjeru - jedinstveni niz znakova koji je jedinstveno povezan s ES ključem i namijenjen je provjeri autentičnosti ES (u daljnjem tekstu: ES provjera);

    5) ES alati - enkripcijski (kriptografski) alati koji se koriste za implementaciju najmanje jedne od sljedećih funkcija - stvaranje ES, provjera ES, izrada ES ključa i ES ključa za provjeru;

    6) Certifikat ES ključa za provjeru - elektronički dokument ili papirnati dokument izdan od strane CA ili ovlaštenog predstavnika CA koji potvrđuje da ključ provjere elektroničkog potpisa pripada vlasniku certifikata ključa provjere digitalnog potpisa.

    3. Ovi Zahtjevi utvrđuju strukturu i sadržaj zahtjeva za elektronička sredstva.

    4. Ovi Zahtjevi namijenjeni su korisnicima i programerima razvijenih (nadograđenih) alata za elektronički potpis u njihovoj međusobnoj interakciji, s organizacijama koje provode kriptografske, inženjersko-kriptografske i posebne studije alata za elektronički potpis, FSB Rusije, koji potvrđuje usklađenost alate za elektronički potpis s ovim Zahtjevima.

    5. Ovi Zahtjevi se odnose na digitalne elektroničke uređaje namijenjene za upotrebu na teritoriju Ruske Federacije, u institucijama Ruske Federacije u inozemstvu iu zasebnim odjelima koji se nalaze u inozemstvu pravne osobe, formiran u skladu sa zakonodavstvom Ruske Federacije.

    6. Elektronička sredstva u pogledu njihovog razvoja, proizvodnje, prodaje i rada podliježu zahtjevima propisanim Pravilnikom o razvoju, proizvodnji, prodaji i radu enkripcijskih (kriptografskih) sredstava informacijske sigurnosti (Odredba PKZ-2005), otrž. naredbom FSB-a Rusije od 9. veljače 2005. br. 66 1 (izmijenjeno i dopunjeno naredbom FSB-a Rusije od 12. travnja 2010. br. 173 2) za enkripcijska (kriptografska) sredstva za zaštitu informacija s ograničenim pristupom koja ne sadrže podatke koji predstavljaju državnu tajnu.

    7. Zahtjevi za tehnologije za izradu (generiranje) i provjeru elektroničkog potpisa pomoću alata za elektronički potpis navedeni su u taktičkom projektni zadatak ili tehničku specifikaciju za izvođenje razvojnih radova ili komponentu razvojnih radova za razvoj (modernizaciju) elektroničkog sredstva (u daljnjem tekstu tehničke specifikacije za razvoj (modernizaciju) elektroničkog sredstva).


    II. Zahtjevi za elektronička sredstva

    8. Prilikom izrade digitalnog potpisa, alati za digitalni potpis moraju:

    Pokažite osobi koja potpisuje elektronički dokument sadržaj informacija koje potpisuje3;
    - izraditi elektronički potpis tek nakon potvrde potpisnika elektroničkog dokumenta o operaciji izrade elektroničkog dokumenta3;
    – jasno pokazati da je elektronički potpis izrađen 3.

    9. Prilikom provjere ES-a, ES alati moraju:

    Prikaz sadržaja elektroničkog dokumenta potpisanog elektroničkim potpisom 3;
    - prikaz informacija o izmjenama potpisanog elektroničkog dokumenta 3;
    - navesti osobu čijim digitalnim ključem su potpisani elektronički dokumenti 3.

    10. Zahtjevi iz stavaka 8. i 9. ovih Zahtjeva ne odnose se na alate za elektronički potpis koji se koriste za automatsku izradu i (ili) automatska provjera ES u informacijskom sustavu.
    11. ES alati moraju se suprotstaviti prijetnjama koje predstavljaju ciljane radnje pomoću hardvera i (ili) softver u svrhu narušavanja sigurnosti podataka zaštićenih elektroničkim putem ili u svrhu stvaranja uvjeta za to (u daljnjem tekstu napad).

    12. Ovisno o sposobnosti odupiranja napadima elektronička sredstva dijele se na klase 4.
    13. ES alati klase KS1 odolijevaju napadima, pri kreiranju metoda, pripremi i provođenju kojih se koriste sljedeće mogućnosti:
    13.1. Samostalna provedba kreiranja metoda napada, priprema i izvođenje napada.
    13.2. Radnje u različitim fazama životni ciklus EP znači 5.
    13.3. Izvođenje napada samo izvan prostora unutar kojeg se nadzire boravak i radnja osoba i (ili) vozila (u daljnjem tekstu: kontrolirana zona 6).

    13.4. Izvođenje sljedećih napada u fazama razvoja, proizvodnje, skladištenja, transporta elektroničke opreme i fazi puštanja elektroničke opreme u rad (poslovi puštanja u rad):

    Neovlaštene izmjene alata za digitalni potpis i (ili) komponenti SF-a, uključujući korištenje zlonamjernih programa;
    - neovlašteno mijenjati dokumentaciju za elektronička sredstva i komponente SF-a.

    13.5. Izvođenje napada na sljedeće objekte:

    Dokumentacija za elektronička sredstva i za komponente SF-a;

    - informacije o ključu, autentifikaciji i lozinci alata za elektronički potpis;
    - ES alat i njegove softverske i hardverske komponente;
    - hardver uključen u SF, uključujući mikrokrugove sa snimljenim BIOS mikrokodom koji inicijalizira ta sredstva (u daljnjem tekstu hardverske komponente SF-a);
    - SF programske komponente;

    – prostor u kojem se nalazi skup programskih i tehničkih elemenata sustava za obradu podataka koji mogu funkcionirati samostalno ili u sastavu drugih sustava (u daljnjem tekstu SVT), na kojima su implementirani elektronički i digitalni električni alati;
    – druge objekte napada, koji su po potrebi navedeni u projektnom zadatku za razvoj (modernizaciju) elektroničkih sredstava, uzimajući u obzir ona koja se koriste u informacijskom sustavu informacijske tehnologije, hardver (u daljnjem tekstu - AS) i softver(u daljnjem tekstu softver).

    13.6. Dobivanje sljedećih informacija:

    Opći podaci o informacijskom sustavu u kojem se koristi alat za elektronički potpis (namjena, sastav, operater, objekti u kojima se nalaze resursi informacijskog sustava);
    - podatke o informacijskim tehnologijama, bazama podataka, AS-u, softveru koji se koristi u informacijskom sustavu zajedno s alatom za elektronički potpis;
    – podatke o fizičkim mjerama zaštite objekata u kojima se nalaze elektronički uređaji;
    – informacije o mjerama za osiguranje nadziranog prostora objekata informacijskog sustava u kojima se koristi alat za elektronički potpis;
    – podatke o mjerama ograničenja pristupa prostorijama u kojima se nalazi oprema, u kojima su implementirana elektronička i SF sredstva;
    - sadržaj slobodno dostupne dokumentacije za hardverske i softverske komponente ES i SF alata;
    – opći podaci o zaštićenim podacima koji se koriste tijekom rada elektroničkog sredstva;

    – podatke o komunikacijskim linijama kojima se prenose podaci zaštićeni elektroničkim putem;
    - podatke o svim kršenjima pravila rada ES i SF opreme koja se pojavljuju u komunikacijskim kanalima koji nisu zaštićeni od neovlaštenog pristupa informacijama organizacijskim i tehničkim mjerama;
    – informacije o svim kvarovima i kvarovima hardverskih komponenti ES i SF sredstava koji se pojavljuju u komunikacijskim kanalima koji organizacijskim i tehničkim mjerama nisu zaštićeni od neovlaštenog pristupa informacijama;
    - informacije dobivene kao rezultat analize bilo kojih signala iz hardverskih komponenti ES i SF znače da ih uljez može presresti.

    13.7. Upotreba:

    AS i softver koji su u javnoj domeni ili se koriste izvan kontroliranog područja, uključujući hardverske i softverske komponente ES i SF alata;

    13.8. Korištenje kao medija za prijenos od subjekta do objekta (od objekta do subjekta) radnji napada izvedenih tijekom pripreme i (ili) provođenja napada (u daljnjem tekstu kanal napada):

    Komunikacijski kanali koji nisu zaštićeni od neovlaštenog pristupa informacijama organizacijskim i tehničkim mjerama (i izvan kontroliranog područja i unutar njega), preko kojih se prenose informacije zaštićene elektroničkim sredstvima;
    - kanale za širenje signala koji prate rad elektroničkih sredstava i SF.

    13.9. Izvođenje napada iz informacijsko-telekomunikacijskih mreža, čiji pristup nije ograničen na određeni krug osoba.

    13.10. Korištenje AS-a i softvera iz alata informacijskog sustava koji se koriste na radnim mjestima elektroničke opreme (u daljnjem tekstu standardni alati) i nalaze se izvan kontroliranog prostora.

    14. Elektronička sredstva klase KS2 otporna su na napade, pri kreiranju metoda, pripremi i provedbi istih koriste se sposobnosti navedene u podtočkama 13.1 – 13.10 ovih Zahtjeva i sljedeće dodatne mogućnosti:

    14.1. Izvođenje napada dok se nalazi izvan i unutar kontroliranog područja.

    14.2. Korištenje redovna sredstva, ograničena mjerama koje se provode u informacijskom sustavu u kojem se koriste elektronička sredstva, a usmjerene su na sprječavanje i suzbijanje neovlaštenih radnji.

    15. Elektronička sredstva klase KS3 odolijevaju napadima, pri izradi metoda, pripremi i provedbi kojih se koriste sposobnosti navedene u podtočkama 13.1 - 13.10, 14.1, 14.2 ovih Zahtjeva, te sljedeće dodatne mogućnosti:

    15.1. Pristup SVT-u, na kojem su implementirani ES i SF alati.

    15.2. Mogućnost posjedovanja hardverskih komponenti ES i SF alata u količini ovisnoj o mjerama za sprječavanje i suzbijanje neovlaštenih radnji implementiranih u informacijskom sustavu u kojem se ES alat koristi.

    16. Elektronička sredstva klase KV1 odolijevaju napadima, pri izradi metoda, pripremi i provedbi koji koriste sposobnosti navedene u podtočkama 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2 ovih Zahtjeva, te sljedeće dodatne mogućnosti:

    16.1. Izrada metoda napada, priprema i provođenje napada uz uključivanje stručnjaka s iskustvom u razvoju i analizi elektroničkih sredstava, uključujući stručnjake iz područja analize signala koji prate funkcioniranje elektroničkih sredstava i SF-a.

    16.2. Provođenje laboratorijskih istraživanja sredstava elektroničkog potpisa koja se koriste izvan nadzornog prostora, u opsegu ovisnom o mjerama za sprječavanje i suzbijanje neovlaštenih radnji koje se provode u informacijskom sustavu u kojem se koriste sredstva elektroničkog potpisa.

    17. Elektronička sredstva klase KV2 odolijevaju napadima, pri izradi metoda, pripremi i provedbi koji koriste sposobnosti navedene u podtočkama 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2 ovih Zahtjeva, te sljedeće dodatne mogućnosti:

    17.1. Kreiranje metoda napada, priprema i provođenje napada uz uključivanje stručnjaka s iskustvom u razvoju i analizi elektroničkih sredstava, uključujući stručnjake u području korištenja mogućnosti aplikacijskog softvera koji nisu opisani u dokumentaciji aplikacijskog softvera za provedbu napada.

    17.2. Organizacija rada na izradi metoda i sredstava napada u istraživačkim centrima specijaliziranim za razvoj i analizu elektroničkih i SF sredstava.

    17.3. Mogućnost uključivanja izvornih kodova aplikacijskog softvera u SF.

    18. Elektronička sredstva klase KA1 odolijevaju napadima, pri kreiranju metoda, pripremi i provedbi koji koriste sposobnosti navedene u podtočkama 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2, 17.1 - 17.3 ovih Zahtjeva, i sljedeće: dodatne mogućnosti:

    18.1. Kreiranje metoda napada, priprema i provođenje napada uz uključivanje stručnjaka s iskustvom u razvoju i analizi elektroničkih sredstava, uključujući stručnjake u području korištenja mogućnosti softvera sustava koji nisu opisani u dokumentaciji softvera sustava za provedbu napada.

    18.2. Mogućnost posjedovanja sve dokumentacije za hardverske i softverske komponente SF-a.

    18.3. Mogućnost posjedovanja svih hardverskih komponenti ES i SF alata.

    19. Ako ES alat implementira funkciju provjere ES-a elektroničkog dokumenta pomoću certifikata ES-a za verifikacijski ključ, ta bi implementacija trebala isključiti mogućnost provjere ES-a elektroničkog dokumenta bez provjere ES-a u ES-u certifikata za verifikacijski ključ ili bez prisutnost pozitivnog rezultata ES provjere u certifikatu ključa ES provjere.

    20. Pri razvoju ES alata moraju se koristiti kriptografski algoritmi koji su odobreni kao državni standardi ili imaju pozitivan zaključak FSB-a Rusije na temelju rezultata njihovih stručnih kriptografskih istraživanja 7 .

    21. Inženjerska kriptografska zaštita elektroničkog potpisa mora isključiti događaje koji dovode do mogućnosti provedbe uspješnih napada u uvjetima mogućih kvarova ili kvarova hardverske komponente ES alata ili hardverske komponente SVT na kojoj je implementiran ES programski alat.

    22. Alat za elektronički potpis mora implementirati samo algoritme za funkcioniranje alata za elektronički potpis koji su navedeni u projektnom zadatku za izradu (modernizaciju) alata za elektronički potpis.

    23. Programska komponenta alata za elektronički potpis (ukoliko postoji programska komponenta alata za digitalni potpis) mora ispunjavati sljedeće zahtjeve:

    Objektni (boot) kod programske komponente alata za elektronički potpis mora odgovarati njegovom izvornom tekstu;
    - u programskoj komponenti, alati za elektronički potpis trebaju se koristiti kada se provode samo funkcije programskog okruženja u kojem radi alat za digitalni potpis opisane u dokumentaciji;
    – u izvornom kodu programske komponente alata za elektronički potpis ne smiju postojati mogućnosti koje bi dopuštale izmjenu ili iskrivljavanje algoritma rada alata za elektronički potpis tijekom njegove uporabe, izmjenu ili iskrivljavanje informacija ili kontrolnih tokova i procesa povezanih s funkcioniranje alata za digitalni potpis i omogućavanje prekršiteljima pristupa podacima pohranjenim u otvorena forma ključ, identifikacijski i (ili) podaci o autentičnosti elektroničkog potpisa;
    - vrijednosti ulaznih i internih parametara, kao i vrijednosti postavki softverske komponente elektroničkog alata ne bi trebale negativno utjecati na njegovo funkcioniranje.

    24. U slučaju planiranja postavljanja digitalnih elektroničkih uređaja u prostorije u kojima postoji govorna akustika i vizualne informacije, koji sadrže podatke koji predstavljaju državnu tajnu, i (ili) instalirani AS i sustavi za primanje, prijenos, obradu, pohranu i prikaz informacija koji sadrže podatke koji predstavljaju državnu tajnu, AS strane proizvodnje, uključeni u sredstva elektroničkog potpisa, moraju biti podvrgnuti inspekcijama identificirati uređaje dizajnirane za tajno dobivanje informacija.

    U slučaju planiranja postavljanja elektroničkih uređaja u prostore u kojima nema govornih, akustičkih i vizualnih informacija koje sadrže podatke koji predstavljaju državnu tajnu, te nema zvučnika i sustava za primanje, prijenos, obradu, pohranjivanje i prikazivanje informacija koje sadrže podatke koji predstavljaju državnu tajnu. tajni su instalirani:

    Odluku o provođenju pregleda AS-ova inozemne proizvodnje, koji su dio elektroničke opreme razreda KS1, KS2, KS3, KV1 i KV2, donosi organizacija koja osigurava rad te elektroničke opreme;
    - inspekcije zvučnika strane proizvodnje koji su dio elektroničke opreme klase KA1 provode se bez greške.

    25. Alat za elektronički potpis mora autentificirati subjekte pristupa (osobe, procese) ovom alatu, pri čemu:

    Prilikom pristupanja alatu za elektronički potpis, autentifikacija subjekta pristupa mora se provesti prije početka izvođenja prvog funkcionalnog modula alata za elektronički potpis;
    - mehanizmi autentifikacije trebaju blokirati pristup tim subjektima funkcijama alata za elektronički potpis ako je rezultat autentifikacije negativan.

    26. Alat za elektronički potpis mora autentificirati osobe koje imaju lokalni pristup alatu za digitalni potpis.

    27. Potreba za alatom za elektronički potpis za autentifikaciju procesa koji provode lokalni ili udaljeni (mrežni) pristup alatu za elektronički potpis navedena je u projektnom zadatku za razvoj (modernizaciju) alata za elektronički potpis.

    28. Za bilo koji mehanizam provjere autentičnosti uključen u alat za elektroničko potpisivanje mora se implementirati mehanizam za ograničavanje broja uzastopnih pokušaja autentifikacije jednog subjekta pristupa, čiji broj ne smije biti veći od 10. Ako je broj uzastopnih pokušaja autentifikacije jedan subjekt pristupa prekorači utvrđenu graničnu vrijednost, pristup ovog subjekta objektu Elektronički potpis mora biti blokiran na vrijeme navedeno u projektnom zadatku za razvoj (modernizaciju) digitalnog elektroničkog uređaja.

    29. ES alat mora implementirati mehanizam (proceduru) za praćenje integriteta ES alata i SF-a.

    Kontrola integriteta može se provesti:

    Na početku rada s elektroničkim sredstvima, prije prelaska SVT-a u koji je ugrađeno elektroničko sredstvo, na radni uvjeti(na primjer, prije učitavanja operacijski sustav SVT);
    - tijekom rutinskih pregleda elektroničke opreme u polju rada (rutinska kontrola);
    - u automatskom načinu rada tijekom rada elektroničkog upravljačkog uređaja (dinamičko upravljanje).

    Kontrolu integriteta treba provesti na početku rada s elektroničkim sredstvima.

    Mehanizam za regulatornu kontrolu integriteta trebao bi biti dio alata za elektronički potpis.

    30. Za ES alate klase KS1 i KS2 potreba za predočenjem zahtjeva za kontrolom pristupa i brisanjem memorije, kao i njihov sadržaj, navedeni su u projektnom zadatku za razvoj (modernizaciju) ES alata.

    31. Električna oprema klasa KS3, KV1, KV2 i KA1 ili SF mora uključivati ​​komponente koje osiguravaju:

    Kontrola pristupa subjekata različitim komponentama i (ili) ciljnim funkcijama alata za elektronički potpis i SF na temelju parametara koje je naveo administrator ili proizvođač alata za elektronički potpis (zahtjeve za navedenu komponentu utvrđuje i opravdava organizacija koja provodi istraživanje o alatu za digitalni potpis kako bi se ocijenila usklađenost alata za digitalni potpis s ovim Zahtjevima);
    - čišćenje operativnog i vanjska memorija, koji se koristi elektroničkim sredstvima za pohranjivanje zaštićenih informacija, prilikom oslobađanja (redistribucije) memorije upisivanjem maskirnih informacija (slučajni ili pseudo-slučajni niz znakova) u memoriju.

    32. Elektronička sredstva klase KV2 i KA1 ili SF moraju sadržavati komponente koje osiguravaju hitno brisanje zaštićenih informacija ograničen pristup. Zahtjevi za implementaciju i pouzdanost brisanja navedeni su u projektnom zadatku za razvoj (modernizaciju) alata za elektronički potpis.

    33. Za elektronička sredstva razreda KS1 i KS2 potreba za predočenjem zahtjeva za snimanje događaja i njihov sadržaj navedeni su u projektnom zadatku za razvoj (modernizaciju) elektroničkih sredstava.

    34. Sastav elektroničkih sredstava klasa KSZ, KV1, KV2 i KA1 mora uključivati ​​modul koji u elektronički dnevnik bilježi događaje u elektroničkim sredstvima i SF koji se odnose na obavljanje njegovih ciljnih funkcija elektroničkim sredstvima.

    Zahtjeve za navedeni modul i popis snimljenih događaja utvrđuje i opravdava organizacija koja provodi istraživanje elektroničkih sredstava za procjenu usklađenosti elektroničkih sredstava s ovim Zahtjevima.

    35. Dnevnik događaja trebao bi biti dostupan samo osobama od strane određenog operatera informacijski sustav u kojem se koristi alat za elektronički potpis ili njime ovlaštene osobe. U tom slučaju, pristup dnevniku događaja trebao bi se izvršiti samo radi pregleda zapisa i premještanja sadržaja dnevnika događaja na arhivski medij.

    36. Rok valjanosti ključa za provjeru elektroničkog potpisa ne smije biti duži od roka valjanosti ključa elektroničkog potpisa za više od 15 godina.

    37. Zahtjeve za mehanizam za praćenje razdoblja korištenja ključa elektroničkog potpisa, koji blokira rad alata za elektronički potpis u slučaju pokušaja korištenja ključa dulje od navedenog razdoblja, utvrđuje izrađivač alata za elektronički potpis i opravdano od strane organizacije koja provodi istraživanje o alatu za elektronički potpis kako bi ocijenila usklađenost alata za elektronički potpis s ovim Zahtjevima.

    38. Kriptografski protokoli koji omogućuju rad s ključnim informacijama alata za elektronički potpis moraju biti implementirani izravno u alat za elektronički potpis.

    39. Istraživanje elektroničkih sredstava kako bi se procijenila usklađenost elektroničkih sredstava s ovim Zahtjevima treba provesti korištenjem brojčanih vrijednosti parametara i karakteristika zaštitnih mehanizama te hardverskih i softverskih komponenti SF 8 razvijenih u elektroničkom sredstva.

    1 Registrirano od strane Ministarstva pravosuđa Rusije 3. ožujka 2005., registarski broj 6382.

    3 Provodi se, između ostalog, korištenjem hardvera i softvera, uz koji elektronička sredstva normalno funkcioniraju i koja mogu utjecati na ispunjavanje zahtjeva za elektronička sredstva, koja zajedno predstavljaju radno okruženje elektroničkih sredstava (u daljnjem tekstu: SF) .
    4 Potrebnu klasu ES alata koji se razvija (nadograđuje) određuje kupac (razvojnik) ES alata određivanjem sposobnosti za kreiranje metoda napada, pripremu i provođenje napada na temelju stavaka 13. - 18. ovih Zahtjeva i je naznačeno u T3 za razvoj (nadogradnju) ES alata.
    5 Faze životnog ciklusa elektroničkog sredstva obuhvaćaju razvoj (modernizaciju) tih sredstava, njihovu proizvodnju, skladištenje, transport, puštanje u rad (puštanje u rad) i rad.
    6. Granica kontrolirane zone može biti: opseg zaštićenog područja poduzeća (ustanove), ograđujući objekti zaštićene zgrade, zaštićeni dio zgrade, dodijeljene prostorije.
    7 Podtočka 25. članka 9. Pravilnika o Federalnoj sigurnosnoj službi Ruske Federacije, odobrenog Ukazom predsjednika Ruske Federacije od 11. kolovoza 2003. br. 960 (Zbirka zakonodavstva Ruske Federacije, 2003., br. 33 , čl. 3254; 2004, br. 28, čl. 2883; 2005, br. 36, čl. 3665; br. 49, čl. 5200; 2006, br. 25, čl. 2699; br. 31 (I. dio), čl. 3463 ; 2007., br. 1 (I. dio), članak 205.; br. 49, čl. 6133; br. 53, čl. 6554; 2008, br. 36, čl. 4087; br. 43, čl. 4921; br. 47, čl. 5431; 2010, br. 17, čl. 2054; br. 20, čl. 2435; 2011, br. 2, čl. 267; br. 9, čl. 1222) (u daljnjem tekstu Pravilnik o FSB-u od Rusija).
    8 Podtočka 47. točke 9. Pravilnika o FSB-u Rusije.

    Prilog br.2

    Zahtjevi za objekte certifikacijskih centara

    I. Opće odredbe

    1. Ovi Zahtjevi su razvijeni u skladu sa Saveznim zakonom br. 63-FZ od 6. travnja 2011. „O elektroničkim potpisima” (u daljnjem tekstu Savezni zakon).

    2. Ovi Zahtjevi koriste sljedeće osnovne pojmove definirane u članku 2. Federalnog zakona:

    1) elektronički potpis (u daljnjem tekstu – ES) – podatak u elektroničkom obliku koji je pridružen drugom podatku u elektroničkom obliku (potpisani podatak) ili je na drugi način povezan s tim podatkom, a služi za identifikaciju osobe koja potpisuje podatak;

    3) ES alati - enkripcijski (kriptografski) alati koji se koriste za implementaciju najmanje jedne od sljedećih funkcija - stvaranje ES, provjera ES, izrada ES ključa i ES ključa za provjeru;

    4) ES ključ - jedinstveni niz znakova namijenjen kreiranju ES;

    5) ES ključ za provjeru – jedinstveni niz znakova koji je jedinstveno povezan s ES ključem i namijenjen je provjeri autentičnosti ES (u daljnjem tekstu: ES provjera);

    6) Certifikat verifikacijskog ključa ES - elektronički dokument ili dokument u papirnatom obliku koji izdaje CA ili ovlašteni predstavnik CA i potvrđuje da verifikacijski ključ ES pripada vlasniku certifikata verifikacijskog ključa ES;

    7) kvalificirani certifikat ključa za provjeru elektroničkog potpisa (u daljnjem tekstu: kvalificirani certifikat) – certifikat ključa za provjeru elektroničkog potpisa koji izdaje akreditirani CA ili ovlašteni predstavnik akreditiranog CA ili federalno tijelo izvršna vlast ovlaštena u području uporabe digitalnog potpisa (u daljnjem tekstu: ovlašteno savezno tijelo);

    8) vlasnik certifikata ključa provjere ES - osoba kojoj je certifikat ključa provjere ES izdan u skladu s postupkom utvrđenim saveznim zakonom;

    9) akreditacija CA - priznanje od strane ovlaštenog saveznog tijela usklađenosti CA sa zahtjevima saveznog zakona;

    10) CA alati - hardver i (ili) softver koji se koristi za provedbu funkcija CA;

    11) sudionici elektroničke interakcije - državna tijela, tijela lokalne samouprave, organizacije, kao i građani koji razmjenjuju informacije u elektroničkom obliku.

    3. Ovi Zahtjevi utvrđuju strukturu i sadržaj zahtjeva za objekte CA.

    4. Ovi Zahtjevi namijenjeni su kupcima i programerima CA alata koji se razvijaju (nadograđuju) u njihovoj međusobnoj interakciji, s organizacijama koje provode kriptografske, inženjersko-kriptografske i posebne studije CA alata, FSB Rusije, koji potvrđuje usklađenost CA alate s ovim Zahtjevima.

    5. Ovi Zahtjevi se odnose na objekte CA namijenjene za korištenje na teritoriju Ruske Federacije.

    6. CA alati u pogledu razvoja, proizvodnje, implementacije i rada podliježu zahtjevima propisanim Pravilnikom o razvoju, proizvodnji, implementaciji i radu kriptografskih (kriptografskih) sredstava informacijske sigurnosti (Odredba PKZ-2005), odobreno naredbom FSB-a Rusije od 9. veljače 2005. br. 66 1 (kako je izmijenjeno naredbom FSB-a Rusije od 12. travnja 2010. br. 173 2), za enkripcijska (kriptografska) sredstva zaštite informacija (u daljnjem tekstu do kao CIPF) s ograničenim pristupom koji ne sadrži podatke koji predstavljaju državnu tajnu.

    II. Zahtjevi za objekte CA

    7. CA alati moraju izdržati prijetnje koje predstavljaju ciljane radnje korištenjem hardvera i (ili) softvera s ciljem narušavanja inženjerske, tehničke i kriptografske sigurnosti CA alata ili s ciljem stvaranja uvjeta za to (u daljnjem tekstu napad) .

    8. Ovisno o sposobnosti odupiranja napadima, CA alati se dijele na klase 3.

    9. CA alati klase KS1 odolijevaju napadima, pri kreiranju metoda, pripremi i provođenju kojih se koriste sljedeće mogućnosti:

    9.1. Priprema i izvođenje napada izvan prostora unutar kojeg se nadzire boravak i djelovanje osoba i (ili) vozila (u daljnjem tekstu: kontrolirana zona).
    9.2. Priprema i izvođenje napada bez korištenja pristupa funkcionalnost softver i hardver za interakciju s CA.

    9.3. Samostalna provedba kreiranja metoda napada, priprema i izvođenje napada na sljedeće objekte:

    Dokumentacija za sredstva CA;
    - zaštićeni elektronički dokumenti;
    - informacije o ključu, autentifikaciji i lozinci;
    - CA alati, njihove softverske i hardverske komponente;
    - podatke koji se prenose putem komunikacijskih kanala;
    - prostor u kojem se nalazi hardver (u daljnjem tekstu AS) na kojem su implementirani CA alati, kao i drugi zaštićeni resursi informacijskog sustava.

    9.4. Uvod u faze razvoja, proizvodnje, skladištenja, transporta i puštanja u pogon CA objekata:

    Negativna funkcionalnost u CA alatima, uključujući korištenje zlonamjernog softvera;
    - neovlašteno mijenjanje dokumentacije za sredstva CA.

    9.5. Dobivanje sljedećih informacija:

    Opći podaci o informacijskom sustavu u kojem se koriste CA alati (namjena, sastav, objekti u kojima se nalaze resursi informacijskog sustava);
    - podatke o informacijskim tehnologijama, bazama podataka, AS-u, softveru (u daljnjem tekstu: softver) koji se koristi u informacijskom sustavu zajedno s CA alatima;
    - podatke o fizičkim mjerama zaštite objekata u kojima se nalaze objekti CA;
    – podatke o mjerama za osiguranje zaštite nadziranog područja objekata informacijskog sustava u kojima se koriste CA alati;
    – informacije o mjerama ograničenja pristupa prostorima u kojima se nalaze objekti CA;
    - sadržaj slobodno dostupne tehničke dokumentacije za sredstva CA;
    - informacije o zaštićenim informacijama koje se koriste tijekom rada CA objekata (vrste zaštićenih informacija: servisne informacije, informacije o lozinkama i autentifikaciji, informacije o konfiguraciji, informacije o upravljanju, informacije u elektroničkim dnevnicima; opće informacije o sadržaju svake vrste zaštićenog podatka; sigurnosne karakteristike za svaku vrstu zaštićenih podataka);
    - sve moguće podatke prenesene u preglednom obliku putem komunikacijskih kanala koji nisu zaštićeni od neovlaštenog pristupa (u daljnjem tekstu - NSD) informacijama organizacijskim i tehničkim mjerama;
    – podatke o komunikacijskim linijama kojima se prenose informacije zaštićene CA sredstvima;
    - podatke o svim kršenjima pravila rada objekata CA koja se pojavljuju u komunikacijskim kanalima koji organizacijskim i tehničkim mjerama nisu zaštićeni od neovlaštenog pristupa informacijama;
    - podatke o svim kvarovima i kvarovima na objektima CA koji se pojavljuju u komunikacijskim kanalima koji organizacijskim i tehničkim mjerama nisu zaštićeni od neovlaštenog pristupa informacijama;
    - informacije dobivene kao rezultat analize svih signala dostupnih za presretanje iz hardverskih komponenti CA objekata.

    9.6. Upotreba:

    Sustavi i softver koji su u javnoj domeni ili izvan kontroliranog područja, uključujući softverske i hardverske komponente CA alata;
    - posebno razvijeni zvučnici i softver.

    9.7. Korištenje kao kanala napada komunikacijskih kanala koji nisu zaštićeni od neovlaštenog pristupa informacijama organizacijskim i tehničkim mjerama (i izvan kontroliranog područja i unutar njega), kroz koje se prenose informacije obrađene CA sredstvima.

    10. CA alati klase KS2 odolijevaju napadima, pri izradi metoda, pripremi i provođenju za koje se koriste sljedeće mogućnosti:

    10.1. Sposobnosti navedene u podtočkama 9.3 - 9.7 ovih Zahtjeva.

    10.2. Priprema i izvođenje napada iz kontroliranog područja.

    10.3. Priprema i izvođenje napada bez korištenja pristupa sustavima na kojima su implementirani CA alati.

    10.4. Korištenje standardnih alata informacijskog sustava koji koriste CA alate.

    11. CA alati klase KSZ odolijevaju napadima, pri izradi metoda, pripremi i provođenju za koje se koriste sljedeće mogućnosti:

    11.1. Sposobnosti navedene u podtočkama 10.1, 10.4 ovih Zahtjeva.

    11.2. Priprema i provođenje napada izvan kontroliranog područja korištenjem pristupa funkcionalnosti hardvera i softvera za interakciju s CA-om na temelju legalnog posjedovanja autentifikacijskih informacija ili pripremanje i provođenje napada iz kontroliranog područja korištenjem pristupa AS-u na kojem se CA komponente su implementirane, s pravima osobe koja nije član grupe pojedinaca, ovlašten za instaliranje, konfiguraciju i rad s CA alatima, konfiguraciju profila i parametara dnevnika revizije (funkcije administratora sustava), arhiviranje, sigurnosno kopiranje i vraćanje podataka nakon kvarova (funkcije operatera), izradu i opoziv certifikata za ključeve provjere elektroničkog potpisa (funkcije administratora certifikacije ), pregledavanje i održavanje dnevnika revizije (funkcije administratora revizije) (u daljnjem tekstu grupa administratora objekta CA) bilo koje komponente CA.

    11.3. Posjedovanje AS CA u količini ovisno o poduzetim mjerama za sprječavanje i suzbijanje neovlaštenih radnji.

    12. CA alati klase KV1 odolijevaju napadima koji koriste sljedeće mogućnosti pri kreiranju metoda, njihovoj pripremi i provedbi:

    12.1. Sposobnosti navedene u podtočkama 11.1 - 11.3 ovih Zahtjeva.

    12.2. Provedba izrade metoda i priprema napada uz uključivanje stručnjaka s iskustvom u razvoju i analizi CIPF-a CA (uključujući stručnjake u području analize linearnih prijenosnih signala i bočnih signala elektromagnetska radijacija i savjeti CIPF UC).

    12.3. Provođenje laboratorijskih istraživanja CA alata koji se koriste izvan kontroliranog prostora u opsegu ovisno o poduzetim mjerama za sprječavanje i suzbijanje neovlaštenih radnji.

    13. CA alati klase KV2 odolijevaju napadima, pri kreiranju metoda, njihovoj pripremi i provedbi koriste se sljedeće mogućnosti:

    13.1. Sposobnosti navedene u podtočkama 12.1 - 12.3 ovih Zahtjeva.

    13.2. Stvaranje metoda i priprema napada uz uključivanje stručnjaka u području korištenja nedeklariranih mogućnosti aplikacijskog i sistemskog softvera za provedbu napada.

    13.3. Organizacija rada na izradi metoda i sredstava napada u istraživačkim centrima specijaliziranim za razvoj i analizu CA alata.

    13.4. Posjedovanje izvornih kodova aplikativnog softvera koji se koristi u informacijskom sustavu u kojem se koriste CA alati, te slobodno dostupne dokumentacije.

    14. CA alati klase KA1 odolijevaju napadima, pri izradi metoda, pripremi i provođenju kojih se koriste sljedeće mogućnosti:

    14.1. Sposobnosti navedene u podtočkama 13.1 - 13.4 ovih Zahtjeva.

    14.2. Kreiranje metoda i priprema napada uz uključivanje istraživačkih centara specijaliziranih za razvoj i analizu CIPF-a i korištenje nedeklariranih mogućnosti aplikacijskog i sistemskog softvera za provedbu napada.

    14.3. Posjedovanje cjelokupne dokumentacije za hardverske i softverske komponente CA alata.

    14.4. Posjedovanje svih hardverskih komponenti CA.

    15. Objektima CA se mora upravljati u skladu s pogonskom dokumentacijom za objekte CA. Skup organizacijskih i tehničkih mjera za osiguranje sigurnog rada objekata CA mora biti naveden u pogonskoj dokumentaciji za objekte CA.

    16. Klasa alata za digitalni potpis koji se koriste u CA uređajima ne smije biti niža od odgovarajuće klase CA fondova. Klasa elektroničkih sredstava koja se koriste u objektima CA mora biti navedena u pogonskoj dokumentaciji za objekte CA.

    Klasa CIPF-a koja se koristi u CA alatima ne smije biti niža od odgovarajuće klase CA alata. Klasa CIPF-a koja se koristi u objektima CA mora biti navedena u operativnoj dokumentaciji za objekte CA.

    17. Svaki zahtjev nametnut CA objektima bilo koje klase osim KA1 predstavlja se CA objektima sljedeće klase bez promjena (u ovom slučaju nije navedeno na popisu zahtjeva za CA objekte sljedeće klase), ili se pooštrava (u ovom slučaju na popisu zahtjeva za sredstva sljedeće klase CA-ova data je stroža formulacija). Zahtjevi za CA alate sljedeće klase mogu sadržavati dodatne zahtjeve koji nisu uključeni u zahtjeve za CA alate prethodne klase.

    18. Softverski zahtjevi za CA alate:

    18.1. Zahtjevi za objekte CA klase KS1:

    Softver CA alata ne smije sadržavati alate koji dopuštaju modificiranje ili iskrivljavanje algoritma rada softverskih alata i CA AS.

    18.2. Zahtjevi za objekte CA klase KS2:

    Aplikacijski softver CA i CIPF alati koji se koriste u CA moraju koristiti samo dokumentirane funkcije sistemskog softvera.

    18.3. Zahtjevi za objekte CA klase KS3:

    Sistemski i aplikacijski softver CA alata mora osigurati razgraničenje pristupa za administratora sustava CA alata, certifikacijskog administratora za CA alate i osobe koje Administrator sustava CA objekti s identifikacijskim i autentifikacijskim informacijama i oni koji nisu certifikacijski administratori CA objekata (u daljnjem tekstu korisnici CA objekata), na informacije koje obrađuju CA uređaji, na temelju pravila kontrole pristupa koje je odredio administrator sustava CA objekata;
    - sistemski i aplikacijski softver CA alata mora udovoljavati razini 4 kontrole nepostojanja nedeklariranih mogućnosti;
    - sistemski i aplikacijski softver CA alata ne smije sadržavati poznate ranjivosti objavljene u javno dostupnim izvorima;
    - sustav i (ili) aplikacijski softver CA alata mora sadržavati mehanizam koji osigurava čišćenje RAM-a i vanjske memorije koja se koristi za pohranu informacija s ograničenim pristupom.

    18.4. Zahtjevi za CA objekte klase KV1 podudaraju se sa zahtjevima za CA objekte klase KS3.

    18.5. Zahtjevi za objekte CA klase KV2:

    Izvorni kodovi sustavnog i aplikativnog softvera CA alata moraju biti testirani za implementaciju metoda i metoda za zaštitu informacija koje su otporne na napade, za čiju pripremu i implementaciju se koriste sposobnosti navedene u stavcima 9 - 13 ovih Zahtjeva. ;
    - izvorni tekstovi sustav i aplikacijski softver moraju se testirati na nepostojanje nedeklariranih mogućnosti;
    - sustavni i aplikativni softver mora biti otporan na računalne napade iz vanjskih mreža.

    18.6. Zahtjevi za objekte CA klase KA1:

    Izvorni kodovi sustava i aplikacijskog softvera CA alata moraju proći formalnu provjeru implementacije u njih metoda i tehnika za zaštitu informacija koje su otporne na napade, za čiju pripremu i implementaciju su potrebne sposobnosti navedene u stavcima 9. - 14. ovih Koriste se zahtjevi, kao i odsutnost nedeklariranih mogućnosti u njima.

    19. Zahtjevi za AS CA:

    19.1. U slučaju planiranja postavljanja AS TC u prostore u kojima se nalaze govorne, akustične i vizualne informacije koje sadrže podatke koji predstavljaju državnu tajnu, i (ili) tehnička sredstva i sustavi za primanje, prijenos, obradu, pohranu i prikaz podataka koji sadrže podatke koji predstavljaju državne tajne instalirane su tajno, tehnička oprema strane proizvodnje uključena u objekte CA mora biti podvrgnuta inspekcijama za identifikaciju uređaja namijenjenih tajnom dobivanju informacija, kao i studije za usklađenost sa zahtjevima za zaštitu od curenja informacija kroz kanale kolateralnog elektromagnetskog zračenje i smetnje u skladu s kategorijom dodijeljenih prostora.

    19.2. Zahtjevi za objekte CA klase KS1:

    Sukladnost implementacije ciljnih funkcija CA-a provjerava se na temelju AS CA test sustava.

    19.3. Zahtjevi za CA objekte klase KS2, KS3, KB1, KB2 podudaraju se sa zahtjevima za CA objekte klase KS1.

    19.4. Zahtjevi za objekte CA klase KA1:

    Provođenje posebnog pregleda tehničke opreme strane proizvodnje koja je u sastavu CA AS radi identifikacije uređaja namijenjenih tajnom pribavljanju podataka;
    - provođenje potpune provjere AS-a (zajedno s analizom BIOS programskog koda) na kojem su implementirani CA alati, kako bi se eliminirale negativne funkcionalnosti.

    20. Zahtjevi za diferencijaciju uloga:

    20.1. Kako bi se osigurala izvedba CA funkcija, CA alati moraju podržavati diferencijaciju uloga među članovima grupe administratora CA alata.

    20.2. Zahtjevi za objekte CA klase KS1:

    Mora se definirati popis uloga i raspodjela odgovornosti između uloga;
    - popis uloga i raspodjela odgovornosti između uloga moraju biti navedeni u pogonskoj dokumentaciji za objekte CA.

    20.3. Zahtjevi za CA objekte klase KS2 podudaraju se sa zahtjevima za CA objekte klase KS1.

    20.4. Zahtjevi za objekte CA klase KS3:

    CA alati moraju podržavati sljedeće obvezne uloge:

    1) administrator sustava s glavnim odgovornostima instaliranja, konfiguriranja i podrške radu CA alata, kreiranja i održavanja profila za članove grupe administratora CA alata, konfiguracije profila i parametara dnevnika revizije;

    2) certifikacijski administrator s glavnim zadaćama: izrada i poništenje certifikata ključa za provjeru elektroničkog potpisa;

    CA alati moraju implementirati mehanizam koji isključuje mogućnost ovlaštenja jednog člana administratorske grupe CA alata za obavljanje različitih uloga.

    20.5. Zahtjevi za objekte CA klase KB1:

    Objekti CA trebali bi osigurati obveznu ulogu operatera s primarnim odgovornostima za sigurnosno kopiranje i oporavak.

    20.6. Zahtjevi za CA objekte klase KB2 podudaraju se sa zahtjevima za CA objekte klase KB1.

    20.7. Zahtjevi za objekte CA klase KA1:

    CA alati moraju osigurati obveznu ulogu administratora revizije s glavnim odgovornostima: pregled i održavanje dnevnika revizije;
    - administrator sustava ne bi trebao moći mijenjati dnevnik revizije.

    21. Zahtjevi za integritet sredstava CA:

    21.1. CA alati moraju sadržavati mehanizam za kontrolu neovlaštenog slučajnog i (ili) namjernog iskrivljavanja (promjene, modifikacije) i (ili) uništavanja informacija, softvera i CA AS (u daljnjem tekstu mehanizam kontrole integriteta).

    21.2. Zahtjevi za objekte CA klase KS1:

    Zahtjevi za mehanizam nadzora integriteta moraju biti navedeni u projektnom zadatku za razvoj (modernizaciju) CA alata;
    - razdoblje nadzora integriteta softvera i AS CA mora biti određeno i naznačeno u pogonskoj dokumentaciji za CA objekte;
    - praćenje integriteta softvera i AS-a CA mora se provoditi pri svakom ponovnom pokretanju operativnog sustava (u daljnjem tekstu OS);
    - moraju postojati sredstva za vraćanje integriteta CA fondova.

    21.3. Zahtjevi za CA objekte klase KS2 podudaraju se sa zahtjevima za CA objekte klase KS1.

    21.4. Zahtjevi za objekte CA klase KS3:
    - kontrola integriteta mora se provoditi najmanje jednom dnevno.

    21.5. Zahtjevi za objekte CA klase KB1:
    - kontrola integriteta mora se izvršiti prije učitavanja OS-a CA alata.

    21.6. Zahtjevi za CA objekte klase KB2 podudaraju se sa zahtjevima za CA objekte klase KB1.

    21.7. Zahtjevi za objekte CA klase KA1:
    - kontrola integriteta treba se provoditi dinamički tijekom rada CA objekata.

    22. Zahtjevi za kontrolu pristupa:

    22.1. CA objekti moraju osigurati kontrolu pristupa.

    22.2. Zahtjevi za objekte CA klase KS1:
    - zahtjevi za kontrolu pristupa moraju biti utvrđeni i navedeni u projektnom zadatku za razvoj (modernizaciju) CA alata.

    22.3. Zahtjevi za CA objekte klase KS2 podudaraju se sa zahtjevima za CA objekte klase KS1.

    22.4. Zahtjevi za objekte CA klase KS3:
    - CA mora osigurati diskrecijsko načelo kontrole pristupa.

    22.5. Zahtjevi za CA objekte klase KV1 podudaraju se sa zahtjevima za CA objekte klase KS3.

    22.6. Zahtjevi za objekte CA klase KV2:
    - mora se osigurati stvaranje zatvorenog radnog okruženja 4 objekta CA.

    22.7. Zahtjevi za objekte CA klase KA1:
    - CA mora osigurati obvezno načelo kontrole pristupa; Za unos ES ključa certifikacijskog administratora potrebne su najmanje dvije ovlaštene osobe 5.

    23. Zahtjevi za identifikaciju i autentifikaciju:

    23.1. Identifikacija i autentifikacija uključuju prepoznavanje korisnika CA postrojenja, člana administratorske grupe CA postrojenja ili procesa i provjeru njihove autentičnosti. Mehanizam provjere autentičnosti mora blokirati pristup ovih subjekata funkcijama CA ako je rezultat provjere autentičnosti negativan.

    23.2. U CA alatima, za svaku implementiranu proceduru provjere autentičnosti, mora se primijeniti mehanizam za ograničavanje broja uzastopnih pokušaja provjere autentičnosti jednog subjekta pristupa, čiji broj ne smije biti veći od tri. Ako broj uzastopnih pokušaja autentifikacije jednog subjekta pristupa premašuje utvrđenu graničnu vrijednost, tom subjektu pristupa mora biti blokiran pristup CA sadržajima na vremensko razdoblje navedeno u projektnom zadatku za razvoj (modernizaciju) CA sadržaja.

    23.3. Zahtjevi za objekte CA klase KS1:

    Opis postupka evidentiranja korisnika KU objekata (upis podataka u registar korisnika KU objekata) mora biti sadržan u pogonskoj dokumentaciji KU objekata;
    - autentifikacija mora biti provedena za sve osobe koje pristupaju objektima CA. U tom slučaju dopušteno je ograničiti se na korištenje samo simbolične povremeno promjenjive lozinke za autentifikaciju od najmanje 8 znakova s ​​abecednim kapacitetom od najmanje 36 znakova. Razdoblje promjene lozinke ne smije biti duže od 6 mjeseci.

    23.4. Zahtjevi za objekte CA klase KS2:

    Potreba da korisnik predoči sredstva CA pri registraciji identifikacijskih dokumenata mora se odraziti u operativnoj dokumentaciji za sredstva CA;
    - svim korisnicima CA objekata dopušteno je korištenje mehanizama daljinske autentifikacije. Posebne značajke mehanizmi daljinske autentifikacije moraju biti potvrđeni kao dio provjere usklađenosti CA alata i informacijskih objekata koji koriste te alate s ovim Zahtjevima;
    - prilikom provedbe lokalni pristup za CA alate, provjera autentičnosti članova grupe administratora CA alata mora se izvršiti prije nego što ti CA alati uđu u operativno stanje (na primjer, prije učitavanja osnovnog OS-a).

    23.5. Zahtjevi za objekte CA klase KS3:

    CA alati moraju implementirati mehanizam provjere autentičnosti za lokalne korisnike koji imaju pristup CA alatima, ali nisu članovi grupe administratora CA alata.

    23.6. Zahtjevi za objekte CA klase KB1:

    Prilikom provedbe daljinski pristup Korištenje samo simbolične lozinke za CA objekte nije dopušteno; moraju se koristiti mehanizmi provjere autentičnosti temeljeni na kriptografskim protokolima.

    23.7. Zahtjevi za CA objekte klase KB2 podudaraju se sa zahtjevima za CA objekte klase KB1.

    23.8. Zahtjevi za objekte CA klase KA1:

    U CA alatima, za bilo koji implementirani autentifikacijski mehanizam, mora postojati mogućnost postavljanja najvećeg dopuštenog broja uzastopnih pokušaja autentifikacije jednog subjekta pristupa te postavljanje vremena blokiranja pristupa CA alatima na mjestima njihova djelovanja.

    24. Zahtjevi za zaštitu podataka koji se unose (izvoze) u (iz) CA:

    24.1. CA alati moraju osigurati pouzdan unos samopotpisanog ključa za provjeru elektroničkog potpisa.

    24.2. Zahtjevi za objekte CA klase KS1:

    Objekti CA moraju osigurati prijenos podataka koji sadrže informacije s ograničenim pristupom koji ulaze u CA i izvoze se iz CA na način zaštićen od neovlaštenog pristupa;
    - CA alati moraju implementirati proceduru zaštite od nametanja lažnih poruka 6;
    - zahtjevi za postupak zaštite od nametanja lažnih poruka navedeni su u projektnom zadatku za razvoj (modernizaciju) CA alata.

    24.3. Zahtjevi za objekte CA klase KS2:

    CA alati moraju osigurati zaštitu inicijalnog zahtjeva za certifikat ES verifikacijskog ključa;
    - CA alati moraju prihvatiti informacije ključne za funkcioniranje CA samo ako su potpisane elektroničkim potpisom.

    24.4. Zahtjevi za objekte CA klase KS3:

    CA alati moraju implementirati mehanizam za zaštitu od nametanja lažnih poruka na temelju korištenja elektroničkih sredstava koja su dobila potvrdu o usklađenosti sa zahtjevima za elektronička sredstva.

    24.5. Zahtjevi za objekte CA klase KB1:

    CA alati moraju implementirati mehanizam za zaštitu podataka prilikom prijenosa između fizički odvojenih komponenti na temelju korištenja CIPF-a.

    24.6. Zahtjevi za CA objekte klase KB2 i KA1 podudaraju se sa zahtjevima za CA objekte klase KB1.

    25. Uvjeti za registraciju događaja:

    25.1. Osnovni OS CA alata mora podržavati održavanje revizijskog dnevnika sistemskih događaja.

    25.2. Zahtjevi za objekte CA klase KS1:

    CA alati moraju implementirati mehanizam koji selektivno bilježi događaje u dnevniku revizije koji se odnose na CA koji obavlja svoje funkcije;
    - popis evidentiranih događaja mora biti sadržan u pogonskoj dokumentaciji za objekte CA.

    25.3. Zahtjevi za CA objekte klase KS2 podudaraju se sa zahtjevima za CA objekte klase KS1.

    25.4. Zahtjevi za objekte CA klase KS3:

    Moraju se poduzeti mjere za otkrivanje neovlaštenih promjena u revizijskom dnevniku od strane korisnika CA alata koji nisu članovi grupe administratora CA alata.

    25.5. Zahtjevi za CA objekte klase KV1 podudaraju se sa zahtjevima za CA objekte klase KS3.

    25.6. Zahtjevi za objekte CA klase KV2:

    Moraju postojati mjere za otkrivanje neovlaštenih promjena u svakom unosu revizijskog dnevnika.

    25.7. Zahtjevi za objekte CA klase KA1:

    Dnevnik revizije trebao bi biti dostupan samo administratoru revizije, koji može samo pregledavati, kopirati i potpuno čišćenje. Nakon čišćenja, prvi unos u dnevnik revizije trebao bi automatski zabilježiti činjenicu čišćenja, navodeći datum, vrijeme i podatke o osobi koja je izvršila operaciju.

    26. Zahtjevi za pouzdanost i stabilnost rada CA objekata:

    26.1. Zahtjevi za pouzdanost i stabilnost rada CA alata moraju biti utvrđeni i navedeni u projektnom zadatku za razvoj (modernizaciju) CA alata.

    26.2. Zahtjevi za objekte CA klase KS1:

    Izračunava se vjerojatnost kvarova i kvarova CA AS koji dovode do neuspjeha CA da obavlja svoje funkcije.

    26.3. Zahtjevi za objekte CA klase KS2:

    Potrebno je provesti testiranje stabilnosti rada CA alata.

    26.4. Zahtjevi za objekte CA klase KS3:

    Zahtjevi za vrijeme oporavka objekata CA nakon kvara moraju biti utvrđeni i navedeni u projektnom zadatku za razvoj (modernizaciju) objekata CA;

    Mjere i sredstva za povećanje pouzdanosti i održivosti funkcioniranja sredstava CA moraju sadržavati mehanizme kvotiranja sredstava sredstava CA.

    26.5. Zahtjevi za objekte CA klase KB1:

    Vjerojatnost kvarova i kvarova CA AS-a, koji dovode do neuspjeha CA-a da obavlja svoje funkcije, tijekom dana ne bi trebala premašiti sličnu vjerojatnost za korišteni CIPF.

    26.6. Zahtjevi za CA objekte klase KB2 i KA1 podudaraju se sa zahtjevima za CA objekte klase KB1.

    27. Zahtjevi za ključne informacije:

    27.1. Postupak izrade, korištenja, pohranjivanja i uništavanja ključnih informacija određen je sukladno zahtjevima operativne dokumentacije za alate za digitalni potpis i druge CIPF-ove koje koriste CA alati.

    27.2. Razdoblje valjanosti ES ključa ES alata koji koriste CA alati mora biti u skladu sa zahtjevima utvrđenim za ES alate.

    27.3. Zahtjevi za objekte CA klase KS1:

    Nije dopušteno kopirati informacije iz ključnih dokumenata ( kriptografski ključevi, uključujući ključeve digitalnog potpisa) na medije (na primjer, HDD), koji nisu ključni mediji, bez njegove prethodne enkripcije (koju mora izvršiti ugrađena funkcija korištenog CIPF-a). Kopiranje ključnih dokumenata treba provoditi samo u skladu s operativnom dokumentacijom za korišteni CIPF;

    ES ključevi koji se koriste za potpisivanje certifikata i popisa ES verifikacijskih ključeva jedinstveni brojevi certifikate ključeva provjere elektroničkog potpisa čija je valjanost određeni trenutak CA raskinut prije njihovog isteka (u daljnjem tekstu popis poništenih certifikata), ne smiju se koristiti u druge svrhe;

    Rok valjanosti svih ključeva mora biti naveden u pogonskoj dokumentaciji za CA objekte.

    27.4. Zahtjevi za CA objekte klase KS2 i KS3 podudaraju se sa zahtjevima za CA objekte klase KS1.

    27.5. Zahtjevi za objekte CA klase KB1:

    Potrebno je poduzeti organizacijske i tehničke mjere kojima se isključuje mogućnost ugrožavanja ključa elektroničkog potpisa kojim se potpisuju certifikati ključeva provjere digitalnog potpisa i liste opozvanih certifikata kada su ugroženi ključni podaci dostupni jednoj osobi.

    27.6. Zahtjevi za objekte CA klase KV2:

    ES ključ koji se koristi za potpisivanje certifikata ES verifikacijskog ključa i popisa opozvanih certifikata mora se generirati, pohraniti, koristiti i uništiti u ES alatu. Dopušteno je koristiti samo elektronička sredstva koja su dobila potvrdu o ispunjavanju zahtjeva za elektronička sredstva u skladu sa Saveznim zakonom;
    - potrebno je poduzeti organizacijske i tehničke mjere kojima se isključuje mogućnost ugrožavanja ključa elektroničkog potpisa kojim se potpisuju certifikati ključeva provjere digitalnog potpisa i popisi opozvanih certifikata kada su ključni podaci dostupni dvjema osobama ugroženi.

    27.7. Zahtjevi za objekte CA klase KA1:

    Potrebno je poduzeti organizacijske i tehničke mjere kojima se isključuje mogućnost ugrožavanja ključa elektroničkog potpisa kojim se potpisuju certifikati ključeva provjere digitalnog potpisa i popisi opozvanih certifikata kada su ugroženi ključni podaci dostupni trima osobama.

    28. Zahtjevi za backup i vraćanje funkcionalnosti CA objekata:

    28.1. CA alati moraju implementirati sigurnosne kopije i funkcije oporavka u slučaju oštećenja AS-a i (ili) informacija koje obrađuju CA alati. Tijekom sigurnosnog kopiranja treba isključiti mogućnost kopiranja kriptografskih ključeva.

    28.2. Zahtjevi za objekte CA klase KS1:

    Podaci spremljeni kada sigurnosna kopija, mora biti dostatan za vraćanje rada CA objekata u stanje zabilježeno u vrijeme kopiranja.

    28.3. Zahtjevi za CA objekte klase KS2 i KS3 podudaraju se sa zahtjevima za CA objekte klase KS1.

    28.4. Zahtjevi za objekte CA klase KB1:

    Moraju se poduzeti mjere za otkrivanje neovlaštenih promjena pohranjenih podataka;
    - zahtjevi za vrijeme oporavka moraju biti utvrđeni i specificirani u projektnom zadatku za razvoj (modernizaciju) objekata CA i pogonskoj dokumentaciji za objekte CA.

    28.5. Zahtjevi za objekte CA klase KV2:

    Zaštićene informacije pohranjene tijekom sigurnosnog kopiranja moraju biti pohranjene samo u šifriranom obliku.

    28.6. Zahtjevi za objekte klase CA KA1 podudaraju se sa zahtjevima za objekte klase KB2 CA.

    29. Zahtjevi za izradu i poništenje certifikata ključa provjere elektroničkog potpisa:

    29.1. Protokoli za izradu i opoziv certifikata ključa provjere elektroničkog potpisa moraju biti opisani u operativnoj dokumentaciji za CA uređaje.

    29.2. Certifikati ključeva za provjeru elektroničkog potpisa i popisi opozvanih certifikata izrađeni od strane CA moraju biti u skladu s međunarodnim preporukama ITU-T X.509 7 (u daljnjem tekstu preporuke X.509). Sva polja i dodaci uključeni u certifikat ključa provjere elektroničkog potpisa i popis opozvanih certifikata moraju biti popunjeni u skladu s preporukama X.509. Kod korištenja alternativnih formata za ES certifikate verifikacijskih ključeva, zahtjevi za protokole za kreiranje i opoziv ES verifikacijskih certifikata ključeva moraju biti utvrđeni i specificirani u projektnom zadatku za razvoj (modernizaciju) CA alata.

    29.3. CA alati moraju implementirati protokol za opoziv certifikata ključa za provjeru elektroničkog potpisa pomoću popisa opozvanih certifikata.

    29.4. Dopušteno je implementirati protokole opoziva bez korištenja lista opozvanih certifikata, čiji zahtjevi moraju biti navedeni u projektnom zadatku za razvoj (modernizaciju) CA alata.

    29.5. Zahtjevi za objekte CA klase KS1:

    CA alati moraju implementirati funkciju izrade certifikata ključa za provjeru digitalnog potpisa na papiru. Postupak izdavanja certifikata ključa za provjeru digitalnog potpisa na papiru, kao i postupak nadzora sukladnosti certifikata ključa za provjeru digitalnog potpisa u u elektroničkom obliku i na papiru moraju biti navedeni u pogonskoj dokumentaciji za objekte CA;

    U CA objektima, u odnosu na vlasnika certifikata ES verifikacijskog ključa, moraju biti implementirani mehanizmi za provjeru jedinstvenosti ES verifikacijskog ključa i posjedovanja pripadajućeg ES ključa.

    29.6. Zahtjevi za CA objekte klase KS2 podudaraju se sa zahtjevima za CA objekte klase KS1.

    29.7. Zahtjevi za objekte CA klase KS3:

    Pogreška u vremenskim vrijednostima u certifikatima ključeva provjere elektroničkog potpisa i listama opozvanih certifikata ne bi smjela prelaziti 10 minuta.

    29.8. Zahtjevi za objekte CA klase KB1:

    Pogreška u vremenskim vrijednostima u certifikatima ključeva za provjeru elektroničkog potpisa i listama opozvanih certifikata ne bi smjela prelaziti 5 minuta.

    29.9. Zahtjevi za CA objekte klase KB2 i KA1 podudaraju se sa zahtjevima za CA objekte klase KB 1.

    30. Zahtjevi za strukturu certifikata ključa provjere elektroničkog potpisa i popisa opozvanih certifikata:

    30.1. Zahtjevi za objekte CA klase KS1:

    Prihvatljive strukture certifikata ključa provjere elektroničkog potpisa i popis opozvanih certifikata moraju biti navedeni u operativnoj dokumentaciji za CA objekte;
    - CA alati moraju implementirati mehanizam praćenja usklađenosti kreiranih certifikata ključeva provjere elektroničkog potpisa i popisa opozvanih certifikata sa zadanom strukturom;
    - u strukturi certifikata ES verifikacijskog ključa mora postojati polje koje sadrži podatke o klasi CA alata s kojima je kreiran postojeći ES verifikacijski certifikat ključa te polje koje sadrži podatke o klasi ES sredstava vlasnika Certifikat ES verifikacijskog ključa.

    30.2. Zahtjevi za CA objekte klase KS2 i KS3 podudaraju se sa zahtjevima za CA objekte klase KS1.

    30.3. Zahtjevi za objekte CA klase KV1:

    CA alati moraju implementirati mehanizam za administratora sustava da odredi skup prihvatljivih dodataka certifikatu ključa za provjeru elektroničkog potpisa i popis opozvanih certifikata.

    30.4. Zahtjevi za CA objekte klase KB2 i KA1 podudaraju se sa zahtjevima za CA objekte klase KB1.

    31. Zahtjevi za registar certifikata ključeva provjere elektroničkog potpisa i omogućavanje pristupa istom:

    31.1. Zahtjevi za objekte CA klase KS1:

    CA alati moraju implementirati mehanizme za pohranu i pretragu svih kreiranih certifikata ključeva provjere elektroničkog potpisa i popisa opozvanih certifikata u registru, kao i pristup mreži u registar.

    31.2. Zahtjevi za CA objekte klase KS2 podudaraju se sa zahtjevima za CA objekte klase KS1.

    31.3. Zahtjevi za objekte CA klase KS3:

    CA alati moraju implementirati mehanizam za pretraživanje certifikata ključeva provjere elektroničkog potpisa i popisa opozvanih certifikata u registru certifikata ključeva provjere digitalnog potpisa po njihovim različitim atributima;
    - sve promjene u registru certifikata ključeva provjere elektroničkog potpisa moraju se evidentirati u dnevniku revizije.

    31.4. Zahtjevi za CA objekte klase KB1, KB2 i KA1 podudaraju se sa zahtjevima za CA objekte klase KS3.
    32. Zahtjevi za provjeru elektroničkog potpisa u certifikatu ključa provjere elektroničkog potpisa:

    32.1. Mehanizam provjere potpisa u certifikatu ključa provjere elektroničkog potpisa na zahtjev sudionika elektroničke interakcije mora biti definiran i naveden u operativnoj dokumentaciji za sredstva CA.

    32.2. Alati CA moraju implementirati mehanizam za provjeru autentičnosti elektroničkog potpisa CA u certifikatima ključeva za provjeru digitalnog potpisa koje izdaje.

    32.3. Elektronički potpis u certifikatu ključa za provjeru digitalnog potpisa provjerava se u skladu s preporukama X.509, uključujući obveznu provjeru svih kritičnih dodataka.

    32.4. Ukoliko je temeljem specifičnosti rada CA alata dopuštena uporaba alternativnih formata za certifikat ključa za provjeru digitalnog potpisa, mehanizam provjere potpisa u certifikatu ključa za provjeru digitalnog potpisa mora biti definiran i naveden u uvjetima referenca za razvoj (modernizaciju) CA alata.

    33. Kako bi se ograničila mogućnost izgradnje kanala napada na CA objekte korištenjem komunikacijskih kanala, moraju se koristiti alati vatrozida.

    34. Zahtjevi za zaštitu sredstava CA od računalni virusi I računalni napadi a navedeni su u projektnom zadatku za razvoj (modernizaciju) CA alata.

    35. Pri povezivanju CA objekata na informacijsko-telekomunikacijsku mrežu, čiji pristup nije ograničen na određeni krug osoba, ti objekti moraju ispunjavati uvjete za CA objekte klase KB2 ili KA1.

    36. Istraživanje sredstava CA kako bi se potvrdila usklađenost sredstava CA s ovim Zahtjevima treba provesti korištenjem numeričkih vrijednosti parametara i karakteristika zaštitnih mehanizama implementiranih u sredstvima CA koje je razvio FSB Rusije 8 .

    1 Registrirano od strane Ministarstva pravosuđa Rusije 3. ožujka 2005., registarski broj 6382.
    2 Registrirano od strane Ministarstva pravosuđa Rusije 25. svibnja 2010., registarski broj 17350.
    3 Potrebnu klasu CA alata koji se razvijaju (nadograđuju) određuje kupac (razvojnik) CA alata određivanjem sposobnosti za kreiranje metoda napada, pripremu i provođenje napada na temelju stavaka 9 - 14 ovih Zahtjeva i naznačeno je u taktičko-tehničke specifikacije ili tehničke specifikacije za izvođenje pokusnog projektiranja ili sastavnog dijela pokusnog projektiranja za razvoj (modernizaciju) CA alata (u daljnjem tekstu T3 za razvoj (modernizaciju) CA alata).
    4 Softversko okruženje, što dopušta postojanje u njemu samo fiksnog skupa subjekata (programa, procesa).
    5 Osobe koje su članovi skupine upravitelja CA fondova za koje nije poznato da su prekršitelji.
    6 Nametanje lažne poruke je radnja koju sudionici elektroničke interakcije ili CA sredstva percipiraju kao prijenos istinite poruke na način zaštićen od neovlaštenog pristupa.
    7 ITU-T preporuka X.509. Informacijska tehnologija - Međusobno povezivanje otvorenih sustava - Direktorij: okviri javnih ključeva i certifikata atributa. 2008. http://www.itu.int/rec/T-REC-X.509-200811-i.
    8 Podtočka 47. članka 9. Pravilnika o Federalnoj sigurnosnoj službi Ruske Federacije, odobrenog Ukazom predsjednika Ruske Federacije od 11. kolovoza 2003. br. 960 (Zbirka zakonodavstva Ruske Federacije, 2003., br. 33 , čl. 3254; 2004, br. 28, čl. 2883; 2005, br. 36, čl. 3665; br. 49, čl. 5200; 2006, br. 25, čl. 2699; br. 31 (I. dio), čl. 3463 ; 2007., br. 1 (I. dio), članak 205.; br. 49, čl. 6133; br. 53, čl. 6554; 2008, br. 36, čl. 4087; br. 43, čl. 4921; br. 47, čl. 5431; 2010, br. 17, čl. 2054; br. 20, čl. 2435; 2011, br. 2, čl. 267; br. 9, čl. 1222).

    Alati za kriptografsku zaštitu informacija ili skraćeno CIPF koriste se kako bi se osigurala sveobuhvatna zaštita podataka koji se prenose komunikacijskim linijama. Za to je potrebno osigurati autorizaciju i zaštitu elektroničkog potpisa, autentifikaciju sugovornika korištenjem TLS i IPSec protokola, kao i zaštitu samog komunikacijskog kanala, ako je potrebno.

    U Rusiji je korištenje kriptografskih sredstava informacijske sigurnosti uglavnom tajno, stoga javno dostupnih informacija malo je o ovoj temi.

    Metode koje se koriste u CIPF-u

    • Autorizacija podataka i osiguranje sigurnosti njihove pravne važnosti tijekom prijenosa ili pohrane. Za to koriste algoritme za izradu elektroničkog potpisa i njegovu provjeru u skladu s utvrđenom regulativom RFC 4357 te koriste certifikate prema standardu X.509.
    • Zaštita povjerljivosti podataka i nadzor njihovog integriteta. Koriste se asimetrična enkripcija i zaštita od imitacije, odnosno sprječavanje zamjene podataka. U skladu s GOST R 34.12-2015.
    • Zaštita sistemskog i aplikativnog softvera. Pratite neovlaštene promjene ili neispravan rad.
    • Upravljanje najvažnijim elementima sustava u strogom skladu s donesenim propisima.
    • Autentifikacija strana koje razmjenjuju podatke.
    • Osiguravanje veze pomoću TLS protokol.
    • Zaštita IP veza pomoću IKE, ESP, AH protokola.

    Metode su detaljno opisane u sljedećim dokumentima: RFC 4357, RFC 4490, RFC 4491.

    CIPF mehanizmi za zaštitu informacija

    1. Povjerljivost pohranjenih ili prenesenih informacija zaštićena je upotrebom algoritama za šifriranje.
    2. Prilikom uspostavljanja veze, identifikacija se osigurava pomoću elektroničkog potpisa kada se koristi tijekom autentifikacije (kao što preporučuje X.509).
    3. Digitalni dokumentotok također je zaštićen elektroničkim potpisom uz zaštitu od nametanja ili ponavljanja, a nadzire se i autentičnost ključeva koji se koriste za provjeru elektroničkog potpisa.
    4. Cjelovitost podataka osigurava se digitalnim potpisom.
    5. Korištenje funkcija asimetrične enkripcije pomaže u zaštiti vaših podataka. Osim toga, funkcije raspršivanja ili algoritmi oponašanja mogu se koristiti za provjeru integriteta podataka. Međutim, te metode ne podržavaju određivanje autorstva dokumenta.
    6. Zaštita od ponavljanja događa se korištenjem kriptografskih funkcija elektroničkog potpisa za šifriranje ili zaštitu od imitacije. U ovom slučaju, dodaje se svakoj mrežnoj sesiji jedinstveni identifikator, dovoljno dugo da se spriječi slučajnost, a provodi se provjera od strane primatelja.
    7. Zaštita od nametanja, odnosno od prodora u komunikaciju izvana, ostvaruje se elektroničkim potpisom.
    8. Ostala zaštita - od bookmarka, virusa, izmjena operativnog sustava i sl. - osigurava se različitim kriptografskim sredstvima, sigurnosnim protokolima, antivirusnim softverom i organizacijskim mjerama.

    Kao što vidite, algoritmi elektroničkog potpisa temeljni su dio sredstava za kriptografsku zaštitu informacija. O njima će biti riječi u nastavku.

    Zahtjevi za korištenje CIPF-a

    CIPF je usmjeren na zaštitu (provjerom elektroničkog potpisa) otvorenih podataka u različitim informacijskim sustavima opće uporabe i osiguravanje njihove povjerljivosti (provjerom elektroničkog potpisa, imitiranjem zaštite, enkripcijom, hash verifikacijom) u korporativnim mrežama.

    Za zaštitu osobnih podataka korisnika koristi se alat za zaštitu osobnih kriptografskih informacija. No, posebno treba istaknuti podatke koji se odnose na državnu tajnu. Prema zakonu, CIPF se ne može koristiti za rad s njim.

    Važno: prije instalacije CIPF-a, prvo što trebate provjeriti je sam CIPF programski paket. Ovo je prvi korak. Obično se integritet instalacijskog paketa provjerava usporedbom kontrolni zbrojevi dobio od proizvođača.

    Nakon instalacije trebate odrediti razinu prijetnje na temelju koje možete odrediti vrste CIPF-a potrebne za korištenje: softverski, hardverski i hardversko-softverski. Također treba uzeti u obzir da je prilikom organiziranja nekog CIPF-a potrebno voditi računa o postavljanju sustava.

    Klase zaštite

    Prema nalogu FSB-a Rusije od 10. srpnja 2014., broj 378, kojim se regulira korištenje kriptografskih sredstava za zaštitu informacija i osobnih podataka, definirano je šest klasa: KS1, KS2, KS3, KB1, KB2, KA1. Klasa zaštite za pojedini sustav utvrđuje se analizom podataka o modelu uljeza, odnosno procjenom moguće načine hakiranje sustava. Zaštita se u ovom slučaju sastoji od softverske i hardverske kriptografske zaštite informacija.

    AC (trenutne prijetnje), kao što se može vidjeti iz tablice, postoje 3 vrste:

    1. Prijetnje prve vrste povezane su s nedokumentiranim mogućnostima u softveru sustava koji se koristi u informacijskom sustavu.
    2. Prijetnje druge vrste povezane su s nedokumentiranim mogućnostima u aplikacijskom softveru koji se koristi u informacijskom sustavu.
    3. Treća vrsta prijetnje odnosi se na sve ostale.

    Nedokumentirane značajke su funkcije i značajke softvera koje nisu opisane u službenoj dokumentaciji ili joj ne odgovaraju. Odnosno, njihova uporaba može povećati rizik od povrede povjerljivosti ili cjelovitosti informacija.

    Radi jasnoće, pogledajmo modele uljeza čije presretanje zahtijeva jednu ili drugu klasu sredstava za kriptografsku informacijsku sigurnost:

    • KS1 - uljez djeluje izvana, bez pomoćnika unutar sustava.
    • KS2 je interni uljez, ali nema pristup CIPF-u.
    • KS3 je interni uljez koji je korisnik CIPF-a.
    • KV1 je uljez koji privlači resurse trećih strana, na primjer, stručnjake CIPF-a.
    • KV2 je uljez iza čijeg djelovanja stoji institut ili laboratorij koji radi na proučavanju i razvoju CIPF-a.
    • KA1 - posebne službe država.

    Dakle, KS1 se može nazvati osnovnom zaštitnom klasom. Prema tome, što je klasa zaštite viša, to je manje stručnjaka koji su je sposobni pružiti. Na primjer, u Rusiji je prema podacima za 2013. bilo samo 6 organizacija koje su imale certifikat FSB-a i bile su sposobne pružiti zaštitu klase KA1.

    Korišteni algoritmi

    Razmotrimo glavne algoritme koji se koriste u alatima za kriptografsku zaštitu informacija:

    • GOST R 34.10-2001 i ažurirani GOST R 34.10-2012 - algoritmi za stvaranje i provjeru elektroničkog potpisa.
    • GOST R 34.11-94 i najnoviji GOST R 34.11-2012 - algoritmi za stvaranje hash funkcija.
    • GOST 28147-89 i više novi GOST R 34.12-2015 - implementacija algoritama za šifriranje i zaštitu podataka.
    • Dodatni kriptografski algoritmi nalaze se u RFC 4357.

    Elektronički potpis

    Korištenje kriptografskih alata za informacijsku sigurnost ne može se zamisliti bez korištenja algoritama elektroničkog potpisa koji stječu sve veću popularnost.

    Elektronički potpis je poseban dio dokumenta nastao kriptografskim transformacijama. Njegova glavna zadaća je identificirati neovlaštene izmjene i utvrditi autorstvo.

    Certifikat elektroničkog potpisa je zaseban dokument kojim se javnim ključem dokazuje vjerodostojnost i vlasništvo elektroničkog potpisa njegovom vlasniku. Certifikate izdaju certifikacijska tijela.

    Vlasnik certifikata za elektronički potpis je osoba na čije ime je certifikat registriran. Povezan je s dva ključa: javnim i privatnim. Privatni ključ omogućuje izradu elektroničkog potpisa. Svrha javnog ključa je provjeriti autentičnost potpisa putem kriptografske veze s privatnim ključem.

    Vrste elektroničkog potpisa

    Prema Saveznom zakonu br. 63, elektronički potpisi podijeljeni su u 3 vrste:

    • obični elektronički potpis;
    • nekvalificirani elektronički potpis;
    • kvalificirani elektronički potpis.

    Jednostavan elektronički potpis stvara se pomoću lozinki nametnutih prilikom otvaranja i pregledavanja podataka ili sličnih sredstava kojima se neizravno potvrđuje vlasnik.

    Nekvalificirani elektronički potpis stvara se korištenjem kriptografskih transformacija podataka privatni ključ. Zahvaljujući tome možete potvrditi osobu koja je potpisala dokument i utvrditi jesu li učinjene neovlaštene izmjene podataka.

    Kvalificirani i nekvalificirani potpisi razlikuju se samo po tome što u prvom slučaju certifikat za elektronički potpis mora izdati certifikacijski centar certificiran od strane FSB-a.

    Opseg uporabe elektroničkog potpisa

    Tablica u nastavku govori o opsegu primjene elektroničkog potpisa.

    Tehnologije elektroničkog potpisa najaktivnije se koriste u razmjeni dokumenata. U internom tijeku dokumenata ES djeluje kao odobrenje dokumenata, odnosno kao osobni potpis ili ispisati. U slučaju vanjskog protoka dokumenata, prisutnost elektroničkog potpisa je kritična, jer je to pravna potvrda. Također je vrijedno napomenuti da se dokumenti potpisani elektroničkim potpisom mogu čuvati neograničeno vrijeme i ne gube svoju pravnu važnost zbog čimbenika kao što su izbrisani potpisi, oštećeni papir itd.

    Izvješćivanje regulatornim tijelima još je jedno područje u kojem se elektronički protok dokumenata povećava. Mnoge tvrtke i organizacije već su cijenile pogodnost rada u ovom formatu.

    Prema zakonu Ruske Federacije, svaki građanin ima pravo koristiti elektronički potpis kada koristi državne usluge (na primjer, potpisivanje elektronička prijava za vlasti).

    Online trgovanje još je jedno zanimljivo područje u kojem se aktivno koriste elektronički potpisi. Potvrđuje činjenicu da u dražbi sudjeluje stvarna osoba i da se njezine ponude mogu smatrati pouzdanima. Također je važno da svaki ugovor sklopljen uz pomoć elektroničkog potpisa dobije pravnu snagu.

    Algoritmi elektroničkog potpisa

    • Hash pune domene (FDH) i Standardi kriptografije javnog ključa (PKCS). Potonji predstavlja čitavu skupinu standardnih algoritama za različite situacije.
    • DSA i ECDSA su standardi za izradu elektroničkih potpisa u SAD-u.
    • GOST R 34.10-2012 - standard za izradu elektroničkih potpisa u Ruskoj Federaciji. Ovaj standard zamijenio je GOST R 34.10-2001, koji je službeno istekao nakon 31. prosinca 2017.
    • Euroazijska unija koristi standarde potpuno slične ruskim.
    • STB 34.101.45-2013 - Bjeloruski standard za digitalni elektronički potpis.
    • DSTU 4145-2002 - standard za izradu elektroničkog potpisa u Ukrajini i mnogi drugi.

    Također je vrijedno napomenuti da algoritmi za izradu elektroničkih potpisa imaju različite svrhe i ciljeve:

    • Grupni elektronički potpis.
    • Za jednokratnu upotrebu digitalni potpis.
    • Pouzdani elektronički potpis.
    • Kvalificirani i nekvalificirani potpis itd.

    Zahtjevi za informacijsku sigurnost pri projektiranju informacijskih sustava ukazuju na karakteristike koje karakteriziraju sredstva informacijske sigurnosti koja se koriste. Definirani su različitim aktima regulatora u području sigurnosti sigurnost informacija, posebno - FSTEC i FSB Rusije. Koje sigurnosne klase postoje, vrste i vrste zaštitne opreme, kao i gdje možete saznati više o tome, prikazani su u članku.

    Uvod

    Danas su pitanja osiguranja informacijske sigurnosti predmet velike pozornosti, jer tehnologije koje se svugdje implementiraju bez osiguravanja informacijske sigurnosti postaju izvor novih ozbiljnih problema.

    Ruski FSB izvještava o ozbiljnosti situacije: iznos štete koju su tijekom nekoliko godina prouzročili napadači diljem svijeta kretao se od 300 milijardi do 1 trilijun dolara. Prema podacima glavnog tužitelja Ruske Federacije, samo u prvoj polovici 2017. u Rusiji se povećao broj kaznenih djela u području visoka tehnologija ušesterostručio, ukupna šteta premašila je 18 milijuna dolara Porast ciljanih napada u industrijskom sektoru u 2017. zabilježen je u cijelom svijetu. Konkretno, u Rusiji je povećanje broja napada u usporedbi s 2016. bilo 22%.

    Informacijske tehnologije počele su se koristiti kao oružje u vojno-političke, terorističke svrhe, za uplitanje u unutarnje stvari suverenih država, kao i za činjenje drugih kaznenih djela. Ruska Federacija zalaže se za stvaranje međunarodnog sustava informacijske sigurnosti.

    Na području Ruske Federacije nositelji informacija i operateri informacijskih sustava dužni su blokirati pokušaje neovlaštenog pristupa informacijama, kao i kontinuirano pratiti stanje sigurnosti IT infrastrukture. Istodobno, zaštita informacija osigurava se poduzimanjem raznih mjera, uključujući i tehničke.

    Alati informacijske sigurnosti, odnosno sustavi zaštite informacija, osiguravaju zaštitu informacija u informacijskim sustavima, koji su u biti skup informacija pohranjenih u bazama podataka, informacijske tehnologije koje osiguravaju njihovu obradu i tehnička sredstva.

    Suvremene informacijske sustave karakterizira korištenje različitih hardverskih i softverskih platformi, teritorijalna distribucija komponenti, kao i interakcija s otvorene mreže prijenos podataka.

    Kako zaštititi podatke u takvim uvjetima? Odgovarajuće zahtjeve predstavljaju ovlaštena tijela, posebno FSTEC i FSB Rusije. U okviru članka pokušat ćemo prikazati glavne pristupe klasifikaciji sustava informacijske sigurnosti, uzimajući u obzir zahtjeve ovih regulatora. Ostali načini opisivanja klasifikacije informacijske sigurnosti, koji se odražavaju u regulatornim dokumentima ruskih odjela, kao i stranih organizacija i agencija, izvan su opsega ovog članka i dalje se ne razmatraju.

    Članak može biti koristan stručnjacima početnicima u području informacijske sigurnosti kao izvor strukturiranih informacija o metodama klasifikacije informacijske sigurnosti na temelju zahtjeva FSTEC-a Rusije (u većoj mjeri) i, ukratko, FSB-a Rusije.

    Struktura koja utvrđuje postupak i koordinira pružanje informacijske sigurnosti korištenjem nekriptografskih metoda je FSTEC Rusije (ranije Državna tehnička komisija pri predsjedniku Ruske Federacije, Državna tehnička komisija).

    Ako je čitatelj ikada vidio Državni registar certificiranih alata za informacijsku sigurnost, koji je formirao FSTEC Rusije, onda je svakako obratio pozornost na prisutnost u opisnom dijelu svrhe sustava zaštite informacija kao što je "RD SVT razreda”, “razina nepostojanja nesukladnosti s podacima o nesukladnosti” itd. (Slika 1) .

    Slika 1. Isječak registra certificiranih uređaja za zaštitu informacija

    Klasifikacija alata za kriptografsku zaštitu informacija

    FSB Rusije definirao je klase sustava kriptografske zaštite informacija: KS1, KS2, KS3, KV i KA.

    Glavne značajke IPS-a klase KS1 uključuju njihovu sposobnost da izdrže napade koji se izvode izvan kontroliranog područja. To podrazumijeva da se stvaranje metoda napada, njihova priprema i implementacija provodi bez sudjelovanja stručnjaka u području razvoja i analize kriptografske informacijske sigurnosti. Pretpostavlja se da se informacije o sustavu u kojem se koriste navedeni sustavi informacijske sigurnosti mogu dobiti iz otvorenih izvora.

    Ako kriptografski informacijski sigurnosni sustav može izdržati napade blokirane pomoću klase KS1, kao i one koji se izvode unutar kontroliranog područja, tada takva informacijska sigurnost odgovara klasi KS2. Pretpostavlja se, primjerice, da bi tijekom pripreme napada mogle postati dostupne informacije o fizičkim mjerama zaštite informacijskih sustava, osiguravanju kontroliranog prostora i sl.

    Ako je moguće oduprijeti se napadima ako postoji fizički pristup računalnoj opremi s instaliranim kriptografskim sigurnosnim informacijama, kaže se da je takva oprema u skladu s klasom KS3.

    Ako se kriptografska informacijska sigurnost odupire napadima, u čije su stvaranje uključeni stručnjaci u području razvoja i analize ovih alata, uključujući istraživačke centre, te je bilo moguće provesti laboratorijske studije sigurnosnih sredstava, tada govorimo o usklađenosti s HF klasom .

    Ako su stručnjaci u području korištenja softvera NDV sustava bili uključeni u razvoj metoda napada, bila je dostupna odgovarajuća projektna dokumentacija i postojao pristup bilo kojoj hardverskoj komponenti kriptografskih informacijskih sigurnosnih sustava, tada se zaštita od takvih napada može osigurati pomoću KA klasa.

    Klasifikacija sredstava zaštite elektroničkog potpisa

    Alati za elektronički potpis, ovisno o sposobnosti podnošenja napada, obično se uspoređuju sa sljedećim klasama: KS1, KS2, KS3, KB1, KB2 i KA1. Ova je klasifikacija slična onoj o kojoj se raspravljalo u odnosu na sigurnost kriptografskih informacija.

    zaključke

    U članku su ispitane neke metode klasifikacije informacijske sigurnosti u Rusiji, čija je osnova regulatorni okvir regulatora u području zaštite informacija. Razmotrene opcije klasifikacije nisu iscrpne. Ipak, nadamo se da će predstavljeni sažetak informacija omogućiti početniku stručnjaku u području informacijske sigurnosti da se brzo snađe.