###
  • Programok
  • Biztonság
  • hírek
  • Érdekes
  • Tanácsot
  • hírek
  • Vélemények

    • Védelmi szint ks1. Az elektronikus aláírási eszközökre és a hitelesítési központra vonatkozó követelmények - Rossiyskaya Gazeta. A támadási források jelenlegi képességei

    17.05.2020 Biztonság

    A KS2 és KS1 biztonsági osztályú kriptográfiai információvédelmi eszközök az oroszországi FSB követelményei szerint eltérnek a támadási források tényleges képességeiben és a támadások elleni küzdelemben.

    1. A támadási források jelenlegi képességei

    A KS1 osztályú kriptográfiai információvédelmi eszközöket (CIPF) akkor használják, ha a támadási források aktuális képességei megvannak, nevezetesen önálló támadási módszerek létrehozására, támadások előkészítésére és végrehajtására csak az ellenőrzött területen kívül.

    1. önállóan támadási módszereket készíteni, támadásokat előkészíteni és végrehajtani csak az ellenőrzött területen kívül;
    2. önállóan hozhat létre támadási módszereket, készíthet elő és hajthat végre támadásokat az ellenőrzött területen belül, de anélkül, hogy fizikailag hozzáférne ahhoz a hardverhez, amelyen a CIPF és működési környezetük (SF) megvalósul.

    Így a CIPF KS2 ​​osztály különbözik a KS1-től a támadási források semlegesítésében, önálló támadási módszerek létrehozásában, a támadások előkészítésében és végrehajtásában az ellenőrzött területen belül, de nincs fizikai hozzáférés a hardverhez, amelyen a CIPF és az IP implementálva van.

    2. Lehetőségek a KS3, KS2 és KS1 CIPF védelmi osztályok megvalósítására

    1. lehetőség, ez az alapvető CIPF szoftver, amely KS1 védelmi osztályt biztosít.

    A 2. lehetőség egy CIPF KS2 ​​osztály, amely egy alap CIPF KS1 osztályból és egy tanúsított hardver-szoftver megbízható betöltési modulból (APMDZ) áll.

    A 3. lehetőség egy CIPF KS3 osztály, amely egy KS2 CIPF osztályból és egy zárt szoftverkörnyezet létrehozására és vezérlésére szolgáló speciális szoftverből áll.

    Így a CIPF osztályú KS2 szoftver csak abban különbözik a KS1-től, hogy egy tanúsított APMDZ-t adnak hozzá a CIPF KS1 osztályhoz. A CIPF KS3 osztály és a KS1 osztály közötti különbség a CIPF KS1 osztály használata tanúsított APMDZ-vel és speciális szoftverrel együtt zárt szoftverkörnyezet létrehozására és vezérlésére. A CIPF KS3 osztály és a KS2 osztály közötti különbség az is, hogy a CIPF KS2 ​​osztályt speciális szoftverrel együtt használják a zárt szoftverkörnyezet létrehozására és vezérlésére.

    A ViPNet SysLocker szoftver (1.0, 2016. március 28-án) egy ingyenes speciális szoftver zárt szoftverkörnyezet létrehozására és vezérlésére.

    3. Intézkedések a támadások ellen

    A CIPF KS2 ​​osztály nem alkalmaz olyan intézkedéseket a támadások ellen, amelyek kötelezőek a CIPF KS1 osztály működése során, nevezetesen:

    1. jóváhagyták a helyiségbe belépésre jogosultak névsorát;
    2. jóváhagyták azon személyek listáját, akik beléphetnek azon helyiségekbe, ahol kriptográfiai információvédelmi rendszerek találhatók;
    3. jóváhagyták a kriptográfiai információvédelmi rendszerek elhelyezett helyiségekbe való belépésre vonatkozó szabályokat munka- és munkaidőn kívül, valamint vészhelyzetekben;
    4. Az ellenőrzött területhez és helyiségekhez, ahol a személyes adatok információs rendszerei (PDIS) és/vagy CIPF-források találhatók, a hozzáférés a hozzáférés-ellenőrzési rendszernek megfelelően biztosított;
    5. az információs rendszereket tartalmazó létesítmények védelmét szolgáló fizikai intézkedésekről szóló információ korlátozott számú munkavállaló számára elérhető;
    6. a CIPF dokumentációját a CIPF-ért felelős személy fém széfben (szekrényben) tárolja;
    7. azokat a helyiségeket, amelyekben a CIPF, CIPF és SF alkatrészek dokumentációja található, zárral ellátott bejárati ajtókkal kell felszerelni, amelyek biztosítják, hogy a helyiségek ajtaja tartósan zárva legyen, és csak engedélyezett áthaladás céljából nyíljanak ki;
    8. a műszaki, karbantartási és egyéb támogató szolgáltatások képviselői azokban a helyiségekben (állványokban), ahol a CIPF található, és a CIPF-et nem használó munkavállalók csak az üzemeltetési alkalmazottak jelenlétében tartózkodhatnak ezekben a helyiségekben;
    9. az ISPD-t használó, de nem CIPF-felhasználó munkavállalókat tájékoztatni kell az ISPD-ben végzett munka szabályairól és az információbiztonsági szabályok be nem tartásáért való felelősségről;
    10. A CIPF felhasználók tájékoztatást kapnak az ISDN-ben történő munkavégzés szabályairól, a CIPF-fel való munkavégzés szabályairól és az információbiztonsági szabályok be nem tartása esetén fennálló felelősségről;
    11. a személyes adatokkal végzett felhasználói műveletek regisztrációja és rögzítése történik;
    12. az információbiztonsági eszközök integritását ellenőrzik.

    Az FSB követelményei sok szakértő számára továbbra is rejtélyek maradnak. Miért történik ez?

    • A titkosítás opcionális használata az operátorok által.
    • Nehéz megérteni a szabályozási keretet.
    • A szabályozótól származó dokumentumok magyarázatának hiánya.
    • Az üzemeltetők attól tartanak, hogy a kriptográfia használatakor további vizsgálatot kell végezniük.

    De minden nehézség ellenére lehetetlen kriptográfiai védelem nélkül megtenni a személyes adatok nem biztonságos kommunikációs csatornán történő továbbítása során, ide tartozik pl. távoli munka alkalmazottak ügyféladatbázissal, információcsere a fiókok és a központi iroda között, az alkalmazottak személyes adatainak átadása harmadik félnek. Ilyen vagy olyan formában szinte minden szervezetben jelen vannak ilyen feladatok.

    Vessünk egy általános pillantást az erre vonatkozó szabályozási keretre. Három fő dokumentum található a személyes adatok kriptográfiai védelméről Orosz Föderáció:

    1. Módszertani ajánlások a személyes adatok biztonságának kriptográfiai eszközökkel történő biztosítására a személyes adatok információs rendszerekben történő automatizálási eszközökkel történő feldolgozása során", amelyet az Oroszországi FSZB 8. Központja vezetése hagyott jóvá 2008. február 21-én 149/54-144 sz. -
    2. Az államtitkot nem tartalmazó információkat védeni hivatott titkosítási (kriptográfiai) eszközök megszervezésének és működésének biztosításának szabványos követelményei, amennyiben azok a személyes adatok biztonságának biztosítására használják fel a személyes adatok információs rendszereiben történő feldolgozásuk során.” jóváhagyta a 8. FSB Center Oroszország vezetése 2008.02.21. 149/6/6-622 - A dokumentumot hivatalosan nem tették közzé.
    3. Az FSZB 2014. július 10-i 378. számú végzése „A személyes adatok biztonságát biztosító szervezési és technikai intézkedések összetételének és tartalmának jóváhagyásáról a személyes adatok információs rendszerekben történő feldolgozása során, a meghatározott védelmi követelmények teljesítéséhez szükséges kriptográfiai információvédelmi eszközökkel az Orosz Föderáció kormánya a személyes adatokat minden biztonsági szintre vonatkozóan. 2014. augusztus 18-án bejegyezték az orosz igazságügyi minisztériumban.

    A dokumentumot még a „régi” FSTEC-dokumentumok hatálybalépése idején fogadták el („a Négy könyv”, 58. rendelet, 781. kormányhatározat), és kiegészítették azok tartalmát. Érdemes megjegyezni, hogy a szóban forgó szabályozó dokumentumot nem jegyezték be az Igazságügyi Minisztérium, jelenleg nem tisztázott a státusza. Valószínűleg a 378-as rendelet megjelenése kapcsán a Módszertani ajánlások elvesztették aktualitásukat. Mindazonáltal szeretném röviden tárgyalni a dokumentum tartalmát, hogy világos legyen, hogyan alakultak ki a titkosítási rendszerekre vonatkozó követelmények történelmileg.

    A fenti dokumentum követelményei (valamint a személyes adatok kriptográfiai védelmével kapcsolatos egyéb szabályozások) nem vonatkoznak az alábbi esetekre:

    • Személyes adatok feldolgozása automatizálási eszközök használata nélkül;
    • Államtitkot képező személyes adatokkal való munkavégzés;
    • Az Orosz Föderáción kívül található műszaki berendezések használata.

    A dokumentum kimondja, hogy kriptográfiai védelmi eszközök alkalmazása esetén mind az FSTEC, mind az FSB követelményeinek megfelelő fenyegetési modellt kell kidolgozni (ritka kivételektől eltekintve). Az üzemeltetők maguk hozhatnak létre fenyegetés- és behatoló modelleket, csak szükség esetén, az FSB engedélyesek bevonásával. A dokumentumban szereplő összes fenyegetés támadásokra és olyan fenyegetésekre van felosztva, amelyek nem támadások; példák találhatók a gyakori fenyegetésekre. A Módszertan referenciaként használható új követelmények modelljének írásakor.

    Fenyegetés modell felső szint meghatározza a személyes adatok és egyéb védett objektumok biztonsági jellemzőit. A részletes fenyegetésmodell azonosítja a kriptográfiai védelem szükséges feltételeit.

    A fenyegetettségi modellt különféle tényezők befolyásolják: a személyes adatok létrehozásának és felhasználásának feltételei, a személyes adatok bemutatásának formái, biztonsági jellemzők stb.

    A szokásos jellemzők: integritás, titkosság és elérhetőség, letagadhatatlanság, számvitel, hitelesség és megfelelőség mellett megkülönböztetik még.

    Példa egy felső szintű fenyegetési modellre:

    1. A személyes adatok bizalmas kezelésének veszélye.
    2. A személyes adatok integritásának veszélye.
    3. Személyes adatok elérhetőségének veszélye.

    A dokumentum nemcsak a fenyegetési modell kialakításának kérdéseivel foglalkozik, hanem a behatoló adekvát modelljének elkészítésének jellemzőivel is. A Módszertani Ajánlásokban szereplő valamennyi jogsértés két osztályba sorolható: a személyes adatok biztonságának közvetlen és közvetett megsértése (a közvetlen fenyegetések megjelenésének feltételeit teremtő veszélyek). A szabálysértőknek 6 fő típusa van: H1, H2, H3, H4, H5, H6. Minél nagyobb a szám, annál több lehetőség, minden következő típus megsértője örökli az előző képességeit. Az üzemeltető önállóan határozza meg a szabálysértők képzettségi szintjét, a rendelkezésükre álló eszközöket, és feltételezi az összejátszást. A dokumentum feltünteti az egyes elkövetőtípusok főbb jellemzőit. A kriptográfiai védelem 6 szintje is meghatározásra került: KC1, KC2, KC3, KB1, KB2, KA1 és 6 hasonló nevű kriptovaluta osztály, e tekintetben a mai napig semmi sem változott. Az ISPD-ket is 6 osztályba sorolják, az elkövető legmagasabb kategóriájától függően. AK1 - ha az elkövető legmagasabb kategóriája H1, AK2 - ha H2, AK3 - ha H3, AK4 - ha H4, AK5 - ha H5, AK6 - ha H6. A kriptográfiai védelmi eszközök ennek megfelelően vannak elosztva: AK1 - KS1, AK2 - KS2, AK3 - KS3, AK4 - KB1, AK5 - KB2, AK6 - KA1.

    Tipikus követelmények

    A szabványkövetelmények a Módszertani Ajánlással egyidőben készültek, az Igazságügyi Minisztériumban nem kerültek bejegyzésre, ma állapotuk tisztázatlan. Véleményem szerint a dokumentum a tanuláshoz hasznos információkat tartalmaz. Részletesen ismertetjük a kripto alapok felhasználóinak felelősségét, és felvázoljuk a rájuk vonatkozó alapvető szabályokat:

    • a kulcsfontosságú információk másolásának megakadályozása;
    • ne hozzon nyilvánosságra információkat a kulcsokról;
    • ne írjon kulcsfontosságú médiára idegen információ stb.

    Leírják a kulcs megsemmisítésének folyamatát, a helyiségekre vonatkozó alapvető követelményeket, és bemutatják a naplók szabványos formáit. A dokumentumban található információk alapján hasznos utasításokat készíthet.

    Rendelés 378

    Az egész szakmai közösség várta a 378-as parancs megjelenését, és most végre életbe is lépett. Ma ez a fő dokumentum a személyes adatok kriptográfiai védelme területén, és hatása minden olyan információs rendszerre vonatkozik, amely kriptográfiai információbiztonsági rendszereket használ védelemként. A rendelet nemcsak a kriptográfiai védelemre, hanem a helyiségek biztonsági rendszerére, az adathordozók tárolási eljárására és a rendszer biztonsági szintjétől függő egyéb szervezeti intézkedésekre is követelményeket határoz meg. Külön ki van írva, hogy az üzemeltetőnek olyan információbiztonsági rendszereket kell használnia, amelyek megfeleltek a megfelelőségértékelésen és a biztonsági követelményeknek megfelelően tanúsítottak. A védőintézkedések részletes leírása és a helyiségek felszerelésére vonatkozó követelmények (zárak, tömítőeszközök, ablakrácsok stb.) szerepelnek. A Módszertani Ajánlásokban foglaltakkal ellentétben a 378. számú rendelet határozza meg a CIPF osztályát a biztonsági szint és a fenyegetések aktuális típusa alapján. A támadó képességeit csak a 4. szintű biztonsági CIPF osztály meghatározásakor veszik figyelembe.

    1. táblázat CIPF osztály

    A biztonsági szinttől és a fenyegetések típusától való függés nyilvánvaló, és mint látjuk, az üzemeltető szinte mindig több lehetőség közül választhat egy CIPF osztályt.

    A dokumentumnak világos bemutatási logikája van - elég, ha ismeri rendszere biztonsági szintjét - az egyes szintek ISPD-re vonatkozó követelményei külön fejezetekben kerülnek bemutatásra. Érdemes megjegyezni, hogy a követelményeket többtől örökölték alacsony szintek magasabbak felé az 1. biztonsági szintű ISPD-nek meg kell felelnie a 2., 3. és 4. szintű ISPD követelményeinek. Véleményem szerint az új Rend követelményeinek megértése még egy kezdő szakember számára sem lesz nehéz.

    Természetesen egyetlen rövid cikkben lehetetlen meghatározni a személyes adatok kriptográfiai védelmének minden árnyalatát, és szükséges-e ezt megtenni? Itt elemeztük a főbb pontokat, megértettük a dokumentumok logikáját, a többi olyan részlet, amelyet önállóan tanulmányozhat. Az ötödik részben pedig nem kevésbé fontos kérdések kerülnek megvitatásra: a személyes adatvédelmi rendszer követelményeinek meghatározása és a védelmi intézkedések megválasztása.

    A 2011. április 6-i N 63-FZ szövetségi törvény 8. cikkének 5. részével összhangban Elektronikus aláírás" 1 rendelek jóváhagy:

    Az elektronikus aláírási eszközökre vonatkozó követelmények (1. sz. melléklet);
    A tanúsító központ eszközeire vonatkozó követelmények (2. sz. melléklet).

    Rendező A. Bortnikov

    1 Az Orosz Föderáció Jogszabálygyűjteménye, 2011, 15. sz., Art. 2036; N 27, art. 3880.

    Az elektronikus aláírási eszközökre vonatkozó követelmények

    ÉN. Általános rendelkezések

    3) ES kulcs – egyedi karaktersorozat, amelynek célja az ES létrehozása;

    4) ES ellenőrző kulcs - az ES kulcshoz egyedileg társított egyedi karaktersorozat, amely az ES hitelességének ellenőrzésére szolgál (a továbbiakban: ES ellenőrzés);

    5) ES eszközök - titkosítási (kriptográfiai) eszközök, amelyek az alábbi funkciók legalább egyikének megvalósítására szolgálnak - ES létrehozása, ES ellenőrzése, ES kulcs és ES ellenőrző kulcs létrehozása;

    6) ES ellenőrző kulcs tanúsítvány - elektronikus dokumentum vagy a CA vagy a CA meghatalmazott képviselője által kiállított papíralapú dokumentum, amely megerősíti, hogy az elektronikus aláírás-ellenőrző kulcs a digitális aláírás-ellenőrző kulcs tanúsítvány tulajdonosának tulajdona.

    3. Jelen Követelmények rögzítik az elektronikus eszközökre vonatkozó követelmények szerkezetét és tartalmát.

    4. Ezek a Követelmények a kifejlesztett (korszerűsített) elektronikus aláírási eszközök vásárlóinak és fejlesztőinek szólnak az egymással való interakcióban, az elektronikus aláírási eszközök kriptográfiai, mérnöki-kriptográfiai és speciális tanulmányait végző szervezetekkel, az oroszországi FSB-vel, amely megerősíti a elektronikus aláírási eszközöket ezekkel a követelményekkel.

    5. Ezek a követelmények az Orosz Föderáció területén, az Orosz Föderáció külföldi intézményeiben és külföldön található külön részlegekben történő használatra szánt digitális elektronikus eszközökre vonatkoznak. jogalanyok, amelyet az Orosz Föderáció jogszabályai szerint alakítottak ki.

    6. Az elektronikus eszközökre fejlesztésük, gyártásuk, értékesítésük és üzemeltetésük tekintetében a titkosítási (kriptográfiai) információbiztonsági eszközök fejlesztéséről, gyártásáról, értékesítéséről és üzemeltetéséről szóló szabályzatban (PKZ-2005. rendelkezés) meghatározott követelmények vonatkoznak. az orosz FSB 2005. február 9-i, 66. sz. rendeletével 1 (az orosz FSB 2010. április 12-i, 173. sz. rendeletével módosított) a titkosítási (kriptográfiai) eszközökre vonatkozóan korlátozott hozzáférésű információk védelmére. nem tartalmaznak államtitkot képező információt.

    7. Az elektronikus aláírások elektronikus aláírási eszközökkel történő létrehozásának (előállításának) és ellenőrzésének technológiáira vonatkozó követelményeket a taktikai feladatmeghatározás vagy az elektronikus eszköz fejlesztésére (korszerűsítésére) vonatkozó fejlesztési munka végzésének műszaki leírása vagy a fejlesztési munka eleme (a továbbiakban: elektronikus eszköz fejlesztésének (korszerűsítésének) műszaki leírása).


    II. Az elektronikus eszközökre vonatkozó követelmények

    8. A digitális aláírás létrehozásakor a digitális aláírási eszközöknek:

    Mutassa meg az elektronikus dokumentumot aláíró személynek az általa aláírt információ tartalmát3;
    - elektronikus aláírást csak az elektronikus dokumentumot aláíró személy megerősítése után készíteni az elektronikus dokumentum létrehozására irányuló műveletről3;
    - egyértelműen mutatják, hogy az elektronikus aláírás létrejött 3.

    9. Az ES ellenőrzése során az ES eszközöknek:

    Mutassa meg az elektronikus aláírással aláírt elektronikus dokumentum tartalmát 3;
    - információ megjelenítése az aláírt elektronikus dokumentum módosításáról 3;
    - megjelölni azt a személyt, akinek digitális aláírási kulcsával az elektronikus dokumentumokat aláírták 3.

    10. A jelen Követelmények 8. és 9. pontjában foglalt követelmények nem vonatkoznak az automatikus létrehozáshoz használt elektronikus aláírási eszközökre és (vagy) automatikus ellenőrzés ES az információs rendszerben.
    11. Az ES eszközöknek meg kell küzdeniük azokkal a fenyegetésekkel, amelyek célzott műveleteket jelentenek hardver és (vagy) szoftver az elektronikus úton védett információ biztonságának megsértése, vagy ennek feltételeinek megteremtése céljából (a továbbiakban: támadás).

    12. A támadásokkal szembeni ellenállástól függően az elektronikus eszközök 4. osztályba sorolhatók.
    13. A KS1 osztályú ES eszközök ellenállnak a támadásoknak, olyan metódusok létrehozása, előkészítése és végrehajtása során, amelyek a következő képességeket használják fel:
    13.1. Támadási módszerek létrehozásának, támadások előkészítésének és végrehajtásának önálló megvalósítása.
    13.2. Műveletek különböző szakaszokban életciklus EP jelentése 5.
    13.3. A támadást csak azon a téren kívülről hajtani végre, amelyen belül személyek és (vagy) járművek tartózkodását és tevékenységét figyelik (a továbbiakban: 6. ellenőrzött zóna).

    13.4. Az alábbi támadások végrehajtása az elektronikai berendezések fejlesztése, gyártása, tárolása, szállítása, valamint az elektronikus berendezések üzembe helyezésének szakaszában (üzembe helyezési munka):

    A digitális aláírási eszköz és (vagy) az SF összetevőinek jogosulatlan módosítása, beleértve a rosszindulatú programok használatát;
    - az SF elektronikus eszközeinek és alkatrészeinek dokumentációjában illetéktelen változtatásokat végezni.

    13.5. Támadások végrehajtása a következő objektumok ellen:

    Az elektronikus eszközök és az SF összetevőinek dokumentációja;

    - az elektronikus aláírási eszköz kulcs-, hitelesítés- és jelszóinformációi;
    - ES eszköz és szoftver- és hardverkomponensei;
    - az SF-ben szereplő hardver, beleértve az ezeket az eszközöket inicializáló, rögzített BIOS-mikrokóddal rendelkező mikroáramköröket (a továbbiakban: az SF hardverkomponensei);
    - SF szoftver komponensek;

    - olyan helyiségek, amelyekben olyan szoftverek és adatfeldolgozó rendszerek műszaki elemei találhatók, amelyek önállóan vagy más rendszerek részeként működhetnek (a továbbiakban: SVT), amelyeken elektronikus és digitális elektromos eszközöket alkalmaznak;
    - egyéb támadási objektumok, amelyek szükség esetén az elektronikus eszközök fejlesztésére (korszerűsítésére) vonatkozó feladatmeghatározásban szerepelnek, figyelembe véve az információs rendszerben használtakat információs technológiák, hardver (a továbbiakban - AS) és szoftver(a továbbiakban: szoftver).

    13.6. A következő információk megszerzése:

    Általános információk az információs rendszerről, amelyben az elektronikus aláírási eszközt használják (cél, összetétel, kezelő, objektumok, amelyekben az információs rendszer erőforrásai találhatók);
    - információ az információs technológiákról, adatbázisokról, AS-ről, az információs rendszerben használt szoftverekről az elektronikus aláírás eszközzel együtt;
    - információ az elektronikus eszközöket tartalmazó tárgyak védelmét szolgáló fizikai intézkedésekről;
    - információ azokról az intézkedésekről, amelyek biztosítják az információs rendszer objektumainak azon ellenőrzött területét, amelyben az elektronikus aláírási eszközt használják;
    - információk azokról az intézkedésekről, amelyek korlátozzák a hozzáférést azon helyiségekhez, ahol a berendezés található, ahol elektronikus és SF eszközöket alkalmaznak;
    - az ES és SF eszközök hardver- és szoftverkomponenseinek szabadon hozzáférhető dokumentációjának tartalma;
    - általános tájékoztatás az elektronikus eszközök működése során használt védett információkról;

    - információ azokról a kommunikációs vonalakról, amelyeken keresztül az elektronikus eszközökkel védett információkat továbbítják;
    - tájékoztatás az ES és SF berendezések működési szabályainak minden olyan megsértéséről, amely olyan kommunikációs csatornákon jelenik meg, amelyek szervezeti és technikai intézkedésekkel nem védettek az információkhoz való jogosulatlan hozzáféréstől;
    - információ az ES és az SF eszközök hardverelemeinek minden meghibásodásáról és meghibásodásáról, amelyek olyan kommunikációs csatornákon jelennek meg, amelyek szervezeti és technikai intézkedésekkel nem védettek az információkhoz való jogosulatlan hozzáféréstől;
    - az ES és az SF hardverkomponenseitől származó jelek elemzése során kapott információ azt jelenti, hogy a behatoló el tudja hárítani.

    13.7. Használat:

    A nyilvános tulajdonban lévő vagy az ellenőrzött területen kívül használt AS és szoftverek, beleértve az ES és SF eszközök hardver- és szoftverkomponenseit;

    13.8. A támadás előkészítése és (vagy) lebonyolítása során végrehajtott támadási műveletek (a továbbiakban: támadási csatorna) alanyról objektumra (tárgyról alanyra) történő átvitelének médiumaként történő felhasználása:

    Az információhoz való jogosulatlan hozzáféréstől szervezeti és technikai intézkedésekkel nem védett kommunikációs csatornák (mind az ellenőrzött területen kívül, mind azon belül), amelyeken keresztül az elektronikus úton védett információk továbbítása történik;
    - az elektronikus eszközök és az SF működését kísérő jelek terjedésének csatornái.

    13.9. Támadás végrehajtása információs és távközlési hálózatokból, amelyekhez való hozzáférés nem korlátozódik egy bizonyos körre.

    13.10. Az elektronikus berendezések működési helyein használt, az ellenőrzött területen kívül elhelyezett információs rendszer eszközeiből AS és szoftverek (továbbiakban standard eszközök) használata.

    14. A KS2 osztályú elektronikus eszközök ellenállnak a támadásoknak, a módszerek létrehozása, előkészítése és végrehajtása során a jelen Követelmények 13.1 - 13.10 alpontjaiban felsorolt ​​képességeket és az alábbi kiegészítő képességeket használják:

    14.1. Támadás végrehajtása az ellenőrzött területen kívül és belül egyaránt.

    14.2. Használat rendszeres alapok, amelyet az elektronikus eszközöket használó információs rendszerben végrehajtott intézkedések korlátoznak, és amelyek célja a jogosulatlan cselekmények megakadályozása és visszaszorítása.

    15. A KS3 osztályú elektronikus eszközök ellenállnak a támadásoknak, olyan módszerek létrehozása, előkészítése és végrehajtása során, amelyek a jelen Követelmények 13.1 - 13.10, 14.1, 14.2 alpontjaiban felsorolt ​​képességeket, valamint az alábbi további képességeket használják fel:

    15.1. Hozzáférés az SVT-hez, amelyen az ES és SF eszközöket implementálják.

    15.2. Az ES-eszköz és az SF-eszköz hardverelemeinek olyan mennyisége, amely az ES-eszközt használó információs rendszerben végrehajtott jogosulatlan tevékenységek megelőzésére és visszaszorítására irányuló intézkedésektől függ.

    16. A KV1 osztályú elektronikus eszközök a jelen Követelmények 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2 alpontjaiban felsorolt ​​képességeket, valamint a következő további képességeket használó módszerek létrehozása, előkészítése és végrehajtása során ellenállnak a támadásoknak:

    16.1. Támadási módszerek kidolgozása, támadások előkészítése és lebonyolítása az elektronikus eszközök fejlesztésében és elemzésében jártas szakemberek bevonásával, beleértve az elektronikus eszközök és az SF működését kísérő jelek elemzésével foglalkozó szakembereket is.

    16.2. Az ellenőrzött területen kívül használt elektronikus aláírási eszközök laboratóriumi vizsgálata az elektronikus aláírási eszközt használó információs rendszerben végrehajtott jogosulatlan cselekmények megelőzésére és visszaszorítására irányuló intézkedésektől függően.

    17. A KV2 osztályú elektronikus eszközök a jelen Követelmények 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2 alpontjaiban felsorolt ​​képességeket használó módszerek létrehozása, előkészítése és végrehajtása során ellenállnak a támadásoknak, valamint a következő további lehetőségek:

    17.1. Támadási módszerek létrehozása, támadások előkészítése és végrehajtása elektronikus eszközök fejlesztésében és elemzésében jártas szakemberek bevonásával, beleértve az alkalmazásszoftver dokumentációjában nem ismertetett alkalmazásszoftver-képességek támadások megvalósítására való felhasználásának szakembereit is.

    17.2. A támadási módszerek és eszközök létrehozásával kapcsolatos munka megszervezése az elektronikus és SF eszközök fejlesztésére és elemzésére szakosodott kutatóközpontokban.

    17.3. Lehetőség, hogy az alkalmazásszoftver forráskódja az SF-ben szerepeljen.

    18. A KA1 osztályú elektronikus eszközök a 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2, 17.1 - 17.3 pontokban felsorolt ​​képességeket használó módszerek létrehozása, előkészítése és végrehajtása során ellenállnak a támadásoknak, valamint a jelen Követelményeknek. további képességek:

    18.1. Támadási módszerek készítése, támadások előkészítése és végrehajtása elektronikus eszközök fejlesztésében és elemzésében jártas szakemberek bevonásával, beleértve a rendszerszoftver dokumentációjában nem ismertetett rendszerszoftver-képességek támadások megvalósítására történő felhasználásának szakembereit is.

    18.2. Az SF hardver- és szoftverkomponenseinek összes dokumentációjának birtoklása.

    18.3. Lehetőség van az ES és SF eszközök összes hardverelemére.

    19. Ha az ES eszköz megvalósítja egy elektronikus dokumentum ES-ének ellenőrzési funkcióját ES-ellenőrző kulcs-tanúsítvány használatával, akkor ennek a megvalósításnak ki kell zárnia annak lehetőségét, hogy egy elektronikus dokumentum ES-jét az ES-ellenőrző kulcs tanúsítványában lévő ES ellenőrzése nélkül, vagy anélkül ellenőrizzék. pozitív ES-ellenőrzési eredmény jelenléte az ES hitelesítési kulcs tanúsítványában.

    20. Az ES eszközök fejlesztése során olyan kriptográfiai algoritmusokat kell használni, amelyeket állami szabványként hagytak jóvá, vagy amelyekre az orosz FSB szakértői kriptográfiai kutatásaik eredményei alapján pozitív következtetést 7 hozott.

    21. Az elektronikus aláírás műszaki kriptográfiai védelmének ki kell zárnia a végrehajtás lehetőségéhez vezető eseményeket sikeres támadások az ES eszköz hardverkomponensének vagy az SVT azon hardverkomponensének esetleges meghibásodása vagy meghibásodása esetén, amelyen az ES szoftvereszközt megvalósították.

    22. Az elektronikus aláírási eszköznek csak az elektronikus aláírási eszköz fejlesztésére (korszerűsítésére) vonatkozó feladatmeghatározásban meghatározott, a digitális aláíró eszköz működéséhez szükséges algoritmusokat kell megvalósítania.

    23. Az elektronikus aláírási eszköz szoftverkomponensének (ha van a digitális aláírási eszközben szoftverkomponens) az alábbi követelményeknek kell megfelelnie:

    Az elektronikus aláírási eszköz szoftverkomponensének objektum (boot) kódjának meg kell egyeznie a forrásszövegével;
    - szoftverkomponensben az elektronikus aláírási eszközöket csak a digitális aláírási eszköz működését szolgáló szoftverkörnyezet dokumentációban leírt funkcióinak megvalósításakor kell alkalmazni;
    - az elektronikus aláíró eszköz szoftverkomponensének forráskódjában nem lehet olyan képesség, amely lehetővé tenné az elektronikus aláíró eszköz működési algoritmusának módosítását vagy torzítását annak használata során, módosíthatja vagy torzíthatja az információ- vagy vezérlési folyamatokat, folyamatokat a digitális aláírási eszköz működését, és lehetővé teszi a szabálysértők számára, hogy hozzáférjenek a benne tárolt adatokhoz nyitott forma az elektronikus aláírás kulcsa, azonosító és (vagy) hitelesítési információi;
    - a bemeneti és belső paraméterek értékei, valamint az elektronikai eszköz szoftverkomponensének beállításainak értékei nem befolyásolhatják negatívan annak működését.

    24. Digitális elektronikai eszközök elhelyezésének tervezése esetén olyan helyiségekben, ahol beszédakusztikai ill. vizuális információ Ellenőrzésnek kell alávetni az államtitkot tartalmazó információkat tartalmazó, külföldön gyártott, államtitkot tartalmazó információkat fogadó, továbbító, feldolgozó, tároló és megjelenítő rendszereket és (vagy) az államtitkot tartalmazó információ fogadására, továbbítására, feldolgozására, tárolására és megjelenítésére szolgáló rendszereket. titkos információszerzésre tervezett eszközök azonosítására.

    Elektronikus eszközök olyan helyiségben történő elhelyezésének tervezése esetén, ahol nincs államtitkot tartalmazó információt tartalmazó beszéd-, akusztikai és vizuális információ, valamint nincsenek hangszórók, állapotképző információt tartalmazó információkat fogadó, továbbító, feldolgozó, tároló és megjelenítő rendszerek. Secret telepítve van:

    A KS1, KS2, KS3, KV1 és KV2 osztályú elektronikus berendezések részét képező, külföldi gyártású AS-ek ellenőrzéséről szóló döntést az ezen elektronikus berendezések működését biztosító szervezet hozza meg;
    - a KA1 osztályú elektronikus berendezések részét képező külföldi gyártású hangsugárzók ellenőrzését hibátlanul elvégezzük.

    25. Az elektronikus aláírási eszköznek hitelesítenie kell az eszközhöz való hozzáférés alanyait (személyeket, folyamatokat), miközben:

    Az elektronikus aláírási eszköz elérésekor a hozzáférés alanya hitelesítését az elektronikus aláírási eszköz első funkcionális moduljának végrehajtása előtt el kell végezni;
    - a hitelesítési mechanizmusoknak meg kell akadályozniuk ezen alanyok hozzáférését az elektronikus aláírási eszköz funkcióihoz, ha a hitelesítés negatív eredménye.

    26. Az elektronikus aláírási eszköznek hitelesítenie kell azokat a személyeket, akik helyi hozzáféréssel rendelkeznek a digitális aláírási eszközhöz.

    27. Az elektronikus aláírási eszközhöz helyi vagy távoli (hálózati) hozzáférést végző folyamatok hitelesítésére szolgáló elektronikus aláírási eszköz szükségességét az elektronikus aláírási eszköz fejlesztésének (korszerűsítésének) a feladatmeghatározása jelzi.

    28. Az elektronikus aláírási eszközben található bármely hitelesítési mechanizmus esetében be kell vezetni egy olyan mechanizmust, amely korlátozza az egymást követő, egy hozzáférési alany hitelesítésére irányuló kísérletek számát, amelyek száma nem haladhatja meg a 10-et. Ha az egymást követő, egymást követő hitelesítési kísérletek száma egy hozzáférési alany túllépi a megállapított határértéket, ezen alany hozzáférése a létesítményhez Az elektronikus aláírást a digitális elektronikus eszköz fejlesztésére (korszerűsítésére) vonatkozó feladatmeghatározásban meghatározott időtartamra le kell tiltani.

    29. Az ES eszköznek be kell vezetnie egy mechanizmust (eljárást) az ES eszköz és a SF integritásának nyomon követésére.

    Az integritás ellenőrzése elvégezhető:

    Az elektronikus eszközökkel való munka kezdetén, az SVT átállása előtt, amelyben az elektronikus eszközöket megvalósítják, a munkafeltétel(például betöltés előtt operációs rendszer SVT);
    - az üzemi területen az elektronikus berendezések rutinellenőrzése során (rutinellenőrzés);
    - automatikus üzemmódban az elektronikus vezérlőberendezés működése közben (dinamikus vezérlés).

    Az integritás ellenőrzését az elektronikus eszközökkel végzett munka elején kell elvégezni.

    A szabályozási integritás-ellenőrzési mechanizmusnak az elektronikus aláírási eszközök részét kell képeznie.

    30. A KS1 és KS2 osztályú ES eszközök esetében a hozzáférés-szabályozásra és a memória törlésére vonatkozó követelmények bemutatásának szükségességét, valamint azok tartalmát az ES eszköz fejlesztésének (korszerűsítésének) a feladatmeghatározása jelzi.

    31. A KS3, KV1, KV2 és KA1 vagy SF osztályú elektromos berendezéseknek olyan alkatrészeket kell tartalmazniuk, amelyek biztosítják:

    Az alanyok hozzáférésének szabályozása az elektronikus aláírási eszköz és az SF különböző összetevőihez és (vagy) célfunkcióihoz az elektronikus aláírási eszköz adminisztrátora vagy gyártója által megadott paraméterek alapján (a megadott komponensre vonatkozó követelményeket a kutatást végző szervezet határozza meg és indokolja a digitális aláírási eszközről annak értékelése érdekében, hogy a digitális aláírási eszköz megfelel-e a jelen Követelményeknek);
    - az üzemi és külső memória, amelyet az elektronikus eszközök védett információk tárolására használnak, amikor a memória felszabadítása (újraelosztása) maszkolási információ (véletlen vagy pszeudo-véletlen karaktersorozat) a memóriába írásával történik.

    32. A KV2 és KA1 vagy SF osztályú elektronikus eszközöknek olyan összetevőket kell tartalmazniuk, amelyek biztosítják a védett információk vészhelyzeti törlését korlátozott hozzáférés. A törlés megvalósítására és megbízhatóságára vonatkozó követelményeket az elektronikus aláírási eszköz fejlesztésének (korszerűsítésének) a feladatmeghatározása tartalmazza.

    33. A KS1 és KS2 osztályú elektronikus eszközök esetében az események rögzítésére és azok tartalmára vonatkozó követelmények bemutatásának szükségességét az elektronikus eszközök fejlesztésére (korszerűsítésére) vonatkozó feladatmeghatározás tartalmazza.

    34. A KSZ, KV1, KV2 és KA1 osztályok elektronikus eszközeinek összetételének tartalmaznia kell egy olyan modult, amely az elektronikus naplóban rögzíti az elektronikus úton és az SF-ben a célfunkcióinak elektronikus úton történő ellátásával kapcsolatos eseményeket.

    A meghatározott modul követelményeit és a rögzített események listáját az elektronikus eszközökkel kapcsolatos kutatást végző szervezet határozza meg és indokolja, hogy értékelje az elektronikus eszközök jelen Követelményeknek való megfelelőségét.

    35. Az eseménynapló csak személyek számára legyen hozzáférhető egy bizonyos operátor által információs rendszer, amelyben az elektronikus aláírási eszközt használják, vagy az általa felhatalmazott személyek. Ebben az esetben az eseménynaplóhoz való hozzáférést csak a rekordok megtekintéséhez és az eseménynapló tartalmának archív adathordozóra való áthelyezéséhez szabad végrehajtani.

    36. Az elektronikus aláírás-ellenőrző kulcs érvényességi ideje legfeljebb 15 évvel haladhatja meg az elektronikus aláírás-ellenőrző kulcs érvényességi idejét.

    37. Az elektronikus aláírási kulcs használatának időtartamát ellenőrző mechanizmusra vonatkozó követelményeket, amelyek blokkolják az elektronikus aláírási eszköz működését abban az esetben, ha a kulcsot a megadott időtartamnál hosszabb ideig próbálják használni, a fejlesztő határozza meg. az elektronikus aláírási eszközt, és az elektronikus aláírási eszközzel kapcsolatos kutatást végző szervezet indokolja az elektronikus aláírási eszköz jelen Követelményeknek való megfelelőségének felmérése érdekében.

    38. Az elektronikus aláírási eszköz kulcsinformációival végzett műveleteket biztosító kriptográfiai protokollokat közvetlenül az elektronikus aláírási eszközben kell megvalósítani.

    39. Az elektronikus eszközök e Követelményeknek való megfelelőségének felmérése érdekében az elektronikus eszközök kutatását az SF 8 védelmi mechanizmusai és hardver- és szoftverelemei paramétereinek és jellemzőinek számértékei felhasználásával kell elvégezni, amelyeket az elektronikában fejlesztettek ki. eszközök.

    1 Az orosz igazságügyi minisztérium által 2005. március 3-án lajstromozott, 6382 lajstromszámú.

    3 Megvalósítása többek között olyan hardver és szoftver felhasználásával történik, amelyekkel együtt az elektronikus eszközök normálisan működnek, és amelyek befolyásolhatják az elektronikus eszközökre vonatkozó követelmények teljesítését, amelyek együttesen jelentik az elektronikus eszközök működési környezetét (a továbbiakban: SF) .
    4 A fejlesztés alatt álló (frissítendő) ES eszköz szükséges osztályát az ES eszköz megrendelője (fejlesztője) határozza meg a támadási módszerek létrehozására, a támadások előkészítésére és végrehajtására vonatkozó képességek meghatározásával a jelen Követelmények 13-18. pontja alapján, és a T3-ban az ES eszköz fejlesztésére (frissítésére) jelöltük.
    5 Az elektronikus eszköz életciklusának szakaszai közé tartozik ezen eszközök fejlesztése (korszerűsítése), gyártása, tárolása, szállítása, üzembe helyezése (üzembe helyezése), üzemeltetése.
    6 Az ellenőrzött övezet határa lehet: a vállalkozás (intézmény) védett területének kerülete, a védett épület határoló szerkezetei, a védett épületrész, a kiosztott helyiségek.
    7 Az Orosz Föderáció Szövetségi Biztonsági Szolgálatáról szóló szabályzat 9. szakaszának 25. alpontja, amelyet az Orosz Föderáció elnökének 2003. augusztus 11-i 960. számú rendelete hagyott jóvá (Az Orosz Föderáció összegyűjtött jogszabályai, 2003, 33. sz. , 3254. cikk, 2004, 28., 2883., 2005., 36., 3665., 49., 5200., 2006., 25., 2699., 31., I. rész, 3463. cikk 2007, 1. szám (I. rész), 205. cikk, 49. szám, 6133. cikk, 53. szám, 6554. cikk, 2008, 36. cikk, 4087. cikk, 43. szám, 4921. cikk, 47. cikk, 5431. cikk; 2010., 17., 2054., 20., 2435., 2011., 2., 267., 9., 1222. cikk) (a továbbiakban: az FSB-ről szóló rendelet Oroszország).
    8 Az oroszországi FSZB-ről szóló szabályzat 9. szakaszának 47. alpontja.

    2. számú melléklet

    A tanúsító központ létesítményeivel szemben támasztott követelmények

    I. Általános rendelkezések

    1. Ezeket a követelményeket az elektronikus aláírásokról szóló, 2011. április 6-i 63-FZ szövetségi törvénnyel (a továbbiakban: szövetségi törvény) összhangban dolgozták ki.

    2. Ezek a követelmények a következő, a szövetségi törvény 2. cikkében meghatározott alapfogalmakat használják:

    1) elektronikus aláírás (a továbbiakban - ES) - olyan elektronikus formátumú információ, amely más elektronikus formátumú információhoz (aláírt információ) kapcsolódik, vagy azokhoz más módon kapcsolódik, és amely az adatot aláíró személy azonosítására szolgál;

    3) ES eszközök - titkosítási (kriptográfiai) eszközök, amelyek az alábbi funkciók legalább egyikének megvalósítására szolgálnak - ES létrehozása, ES ellenőrzése, ES kulcs és ES ellenőrző kulcs létrehozása;

    4) ES kulcs – egyedi karaktersorozat, amelynek célja az ES létrehozása;

    5) ES ellenőrző kulcs - az ES kulcshoz egyedileg társított egyedi karaktersorozat, amely az ES hitelességének ellenőrzésére szolgál (a továbbiakban: ES ellenőrzés);

    6) ES ellenőrző kulcs tanúsítvány - a CA vagy a CA meghatalmazott képviselője által kiállított elektronikus vagy papíralapú dokumentum, amely megerősíti, hogy az ES ellenőrző kulcs az ES hitelesítő kulcs tanúsítvány tulajdonosának tulajdona;

    7) elektronikus aláírás-ellenőrző kulcs minősített tanúsítványa (a továbbiakban: minősített tanúsítvány) - az elektronikus aláírás-ellenőrző kulcs tanúsítványa, amelyet akkreditált CA vagy akkreditált hitelesítésszolgáltató meghatalmazott képviselője, ill. szövetségi szerv a digitális aláírás használatának területén felhatalmazott végrehajtó hatalom (a továbbiakban: felhatalmazott szövetségi szerv);

    8) az ES ellenőrző kulcs tanúsítványának tulajdonosa - az a személy, akinek a szövetségi törvényben meghatározott eljárásnak megfelelően kiállították az ES hitelesítő kulcs tanúsítványát;

    9) a CA akkreditációja - egy felhatalmazott szövetségi szerv általi elismerése annak, hogy a CA megfelel a szövetségi törvény követelményeinek;

    10) CA-eszközök - a CA funkcióinak megvalósításához használt hardver és (vagy) szoftver;

    11) az elektronikus interakció résztvevői - állami szervek, önkormányzati szervek, szervezetek, valamint az elektronikus formában információt cserélő állampolgárok.

    3. Jelen Követelmények meghatározzák a CA létesítményekre vonatkozó követelmények szerkezetét és tartalmát.

    4. Jelen Követelmények a CA-eszközök fejlesztés alatt álló (frissített) ügyfelei és fejlesztői számára készültek az egymással való interakcióban, a CA-eszközök kriptográfiai, mérnöki-kriptográfiai és speciális vizsgálatait végző szervezetekkel, az oroszországi FSB-vel, amely megerősíti CA-eszközök ezekkel a követelményekkel.

    5. Ezek a követelmények az Orosz Föderáció területén történő használatra szánt CA-létesítményekre vonatkoznak.

    6. A CA-eszközökre fejlesztésük, gyártásuk, megvalósításuk és üzemeltetésük tekintetében a titkosítási (kriptográfiai) információbiztonsági eszközök fejlesztéséről, előállításáról, megvalósításáról és üzemeltetéséről szóló szabályzatban (PKZ-2005. rendelkezés) meghatározott követelmények vonatkoznak. jóváhagyta az orosz FSB 2005. február 9-i, 66 1. számú (az orosz FSB 2010. április 12-i, 173. számú rendeletével módosított rendelettel 2) az információvédelem titkosítási (kriptográfiai) eszközeire vonatkozóan (a továbbiakban: CIPF-nek) korlátozott hozzáféréssel, amely nem tartalmaz államtitkot képező információt.

    II. A CA létesítményekre vonatkozó követelmények

    7. A CA-eszközöknek ellen kell állniuk olyan fenyegetéseknek, amelyek hardverrel és (vagy) szoftverrel célzott műveleteket jelentenek, amelyek célja a CA-eszközök mérnöki, műszaki és kriptográfiai biztonságának megsértése, vagy ennek feltételeinek megteremtése (a továbbiakban: támadás) .

    8. A támadásokkal szembeni ellenállástól függően a CA-eszközök 3. osztályba sorolhatók.

    9. A KS1 osztályú CA eszközök ellenállnak a támadásoknak, olyan metódusok létrehozása, előkészítése és végrehajtása során, amelyek a következő képességeket használják fel:

    9.1. Támadások előkészítése és lebonyolítása azon a területen kívülről, amelyen belül személyek és (vagy) járművek tartózkodását és tevékenységét figyelik (a továbbiakban: ellenőrzött zóna).
    9.2. Támadások előkészítése és végrehajtása hozzáférés nélkül funkcionalitás szoftver és hardver a CA-val való együttműködéshez.

    9.3. Támadási módszerek létrehozásának, támadások előkészítésének és végrehajtásának független megvalósítása a következő objektumok ellen:

    A CA-alapok dokumentációja;
    - védett elektronikus dokumentumok;
    - kulcs, hitelesítés és jelszó információk;
    - CA eszközök, azok szoftver- és hardverelemei;
    - kommunikációs csatornákon továbbított adatok;
    - helyiségek, ahol a hardver (a továbbiakban: AS) található, ahol a CA eszközöket implementálják, valamint az információs rendszer egyéb védett erőforrásai.

    9.4. Bevezetés a CA létesítmények fejlesztésének, gyártásának, tárolásának, szállításának és üzembe helyezésének szakaszában:

    A CA-eszközök negatív funkciói, beleértve a rosszindulatú programok használatát;
    - a CA alapok dokumentációjának jogosulatlan módosítása.

    9.5. A következő információk megszerzése:

    Általános információk az információs rendszerről, amelyben a CA-eszközöket használják (cél, összetétel, objektumok, amelyekben az információs rendszer erőforrásai találhatók);
    - információ az információs rendszerben használt információs technológiákról, adatbázisokról, AS-ről, szoftverről (a továbbiakban: szoftver) a CA eszközökkel együtt;
    - információ az olyan objektumok védelmét szolgáló fizikai intézkedésekről, amelyekben a CA létesítmények találhatók;
    - információk az információs rendszer objektumai ellenőrzött területének védelmét biztosító intézkedésekről, amelyekben a CA-eszközöket használják;
    - információk azokról az intézkedésekről, amelyek korlátozzák a hozzáférést azon helyiségekhez, ahol a CA létesítmények találhatók;
    - szabadon hozzáférhető műszaki dokumentáció tartalma CA-alapokhoz;
    - információk a CA létesítmények működése során használt védett információkról (védett információk típusai: szolgáltatási információk, jelszó- és hitelesítési információk, konfigurációs információk, kezelési információk, elektronikus naplókban lévő információk); Általános információ az egyes védett információtípusok tartalmáról; biztonsági jellemzők minden egyes védett információtípushoz);
    - az információkhoz szervezési és technikai intézkedésekkel a jogosulatlan hozzáféréstől (a továbbiakban: NSD) nem védett kommunikációs csatornákon keresztül egyértelmű formában továbbított minden lehetséges adat;
    - információ azokról a kommunikációs vonalakról, amelyeken keresztül a CA eszközökkel védett információ továbbításra kerül;
    - tájékoztatás a CA létesítmények üzemeltetésére vonatkozó szabályok minden olyan megsértéséről, amely olyan kommunikációs csatornákon jelenik meg, amelyek szervezeti és technikai intézkedésekkel nem védettek az információkhoz való jogosulatlan hozzáféréstől;
    - információ a CA létesítményeinek minden olyan meghibásodásáról és meghibásodásáról, amely olyan kommunikációs csatornákon jelenik meg, amelyek szervezeti és technikai intézkedésekkel nem védettek az információkhoz való jogosulatlan hozzáféréstől;
    - a CA létesítményeinek hardverkomponenseitől származó, lehallgatásra rendelkezésre álló jelek elemzése eredményeként kapott információ.

    9.6. Használat:

    Nyilvános vagy az ellenőrzött területen kívüli rendszerek és szoftverek, beleértve a CA-eszközök szoftver- és hardverkomponenseit;
    - speciálisan kifejlesztett hangszórók és szoftverek.

    9.7. Olyan kommunikációs csatornák támadási csatornaként történő használata, amelyek nem védettek az információkhoz való jogosulatlan hozzáféréstől szervezeti és technikai intézkedésekkel (mind az ellenőrzött területen kívül, mind azon belül), amelyen keresztül a CA eszközökkel feldolgozott információk továbbításra kerülnek.

    10. A KS2 osztályú CA eszközök ellenállnak a támadásoknak, olyan metódusok létrehozásakor, előkészítésekor és végrehajtásakor, amelyek a következő képességeket használják fel:

    10.1. A jelen Követelmények 9.3 - 9.7 alpontjaiban felsorolt ​​képességek.

    10.2. Támadások előkészítése és végrehajtása ellenőrzött területről.

    10.3. Támadások előkészítése és végrehajtása azokhoz a rendszerekhez való hozzáférés nélkül, amelyeken a CA-eszközöket implementálták.

    10.4. Szabványos információs rendszer-eszközök használata, amelyek CA-eszközöket használnak.

    11. A KSZ osztályú CA eszközök ellenállnak a támadásoknak, olyan metódusok létrehozása, előkészítése és végrehajtása során, amelyek a következő képességeket használják fel:

    11.1. A jelen Követelmények 10.1., 10.4. alpontjaiban felsorolt ​​képességek.

    11.2. Támadások előkészítése és végrehajtása az ellenőrzött területen kívülről, a hitelesítési információk jogszerű birtoklásán alapuló hardver és szoftver funkcióihoz való hozzáférés használatával a CA-val való interakcióhoz, vagy támadások előkészítése és végrehajtása az ellenőrzött zónából az AS-hez való hozzáférés használatával, amelyen a CA komponensek olyan személy jogaival valósulnak meg, aki nem tagja a csoportnak magánszemélyek jogosult a CA eszközök telepítésére, konfigurálására és üzemeltetésére, a profil- és auditnapló-paraméterek konfigurálására (rendszeradminisztrátori funkciók), információk archiválására, biztonsági mentésére és visszaállítására hibák után (operátori funkciók), tanúsítványok létrehozására és visszavonására elektronikus aláírás-ellenőrző kulcsokhoz (tanúsítvány-adminisztrátori funkciók) ), bármely CA-komponens auditnaplójának (audit adminisztrátori funkciók) (a továbbiakban: CA létesítményadminisztrátorok csoportja) megtekintése és karbantartása.

    11.3. AS CA birtoklása a jogosulatlan cselekmények megelőzésére és visszaszorítására irányuló végrehajtott intézkedésektől függő összegben.

    12. A KV1 osztályú CA-eszközök ellenállnak az olyan támadásoknak, amelyek a következő képességeket használják metódusok létrehozása, előkészítése és végrehajtása során:

    12.1. A jelen Követelmények 11.1 - 11.3 alpontjaiban felsorolt ​​képességek.

    12.2. Módszerek kidolgozásának és támadások előkészítésének megvalósítása a CA CIPF fejlesztésében és elemzésében tapasztalattal rendelkező szakemberek bevonásával (beleértve a lineáris átviteli jelek és oldaljelek elemzésével foglalkozó szakembereket is) elektromágneses sugárzásés a CIPF UC tippjei).

    12.3. Az ellenőrzött területen kívül használt CA-eszközök laboratóriumi vizsgálata a jogosulatlan cselekmények megelőzésére és visszaszorítására irányuló intézkedésektől függően.

    13. A KV2 osztályú CA eszközök ellenállnak a támadásoknak, metódusok létrehozása, előkészítése és végrehajtása során a következő képességeket használják:

    13.1. A jelen Követelmények 12.1 - 12.3 alpontjaiban felsorolt ​​képességek.

    13.2. Módszerek létrehozása és támadások előkészítése az alkalmazás- és rendszerszoftverek be nem jelentett képességeinek támadások végrehajtására való felhasználásával foglalkozó szakemberek bevonásával.

    13.3. A támadási módszerek és eszközök létrehozásával kapcsolatos munka megszervezése a CA-eszközök fejlesztésére és elemzésére szakosodott kutatóközpontokban.

    13.4. Az információs rendszerben használt alkalmazási szoftverek forráskódjainak birtoklása, amelyekben a CA eszközöket használják, és szabadon hozzáférhető dokumentáció.

    14. A KA1 osztályú CA eszközök ellenállnak a támadásoknak, olyan metódusok létrehozása, előkészítése és végrehajtása során, amelyek a következő képességeket használják fel:

    14.1. A jelen Követelmények 13.1 - 13.4 alpontjaiban felsorolt ​​képességek.

    14.2. Módszerek létrehozása és támadások előkészítése a CIPF fejlesztésére és elemzésére, valamint az alkalmazás- és rendszerszoftverek be nem jelentett képességeinek támadások végrehajtására való felhasználására szakosodott kutatóközpontok bevonásával.

    14.3. A CA-eszközök hardver- és szoftverkomponenseinek összes dokumentációjának birtoklása.

    14.4. A CA összes hardverkomponensének birtoklása.

    15. A CA létesítményeket a CA létesítményekre vonatkozó üzemeltetési dokumentációval összhangban kell üzemeltetni. A CA létesítmények működési dokumentációjában meg kell határozni a CA létesítmények biztonságos működését biztosító szervezési és műszaki intézkedések összességét.

    16. A CA létesítményekben használt digitális aláírási eszközök osztálya nem lehet alacsonyabb, mint a megfelelő CA-alaposztály. A CA létesítményekben használt elektronikus eszközök osztályát fel kell tüntetni a CA létesítmények üzemeltetési dokumentációjában.

    A CA-eszközökben használt CIPF-osztály nem lehet alacsonyabb, mint a CA-eszközök megfelelő osztálya. A CA létesítményekben használt CIPF osztályát fel kell tüntetni a CA létesítmények üzemeltetési dokumentációjában.

    17. A KA1 kivételével bármely osztályú CA-létesítményekkel szemben támasztott minden követelmény vagy változtatás nélkül megjelenik a következő osztály CA-létesítményei számára (ebben az esetben nincs feltüntetve a következő osztályba tartozó CA-létesítmények követelménylistájában), vagy szigorítják. (ebben az esetben a következő osztályú CA-k eszközeire vonatkozó követelmények listája szigorúbb megfogalmazást tartalmaz). A következő osztály CA-eszközeire vonatkozó követelmények további követelményeket tartalmazhatnak, amelyek nem szerepelnek az előző osztály CA-eszközeire vonatkozó követelményekben.

    18. A CA-eszközök szoftverkövetelményei:

    18.1. A CA osztályú KS1 létesítményekre vonatkozó követelmények:

    A CA eszközök szoftvere nem tartalmazhat olyan eszközöket, amelyek lehetővé teszik a szoftvereszközök és a CA AS működési algoritmusának módosítását vagy torzítását.

    18.2. A CA osztályú KS2 létesítményekre vonatkozó követelmények:

    A CA alkalmazásszoftvere és a CA-ban használt CIPF eszközök csak a rendszerszoftver dokumentált funkcióit használhatják.

    18.3. A CA osztályú KS3 létesítmények követelményei:

    A CA-eszközök rendszer- és alkalmazásszoftverének biztosítania kell a hozzáférés elhatárolását a CA-eszközök rendszergazdája, a CA-eszközök hitelesítés-adminisztrátora és a biztosított személyek számára. rendszergazda azonosító és hitelesítő információkat tartalmazó CA-létesítmények, valamint azok, akik nem hitelesítés-adminisztrátorai a CA-létesítményeknek (a továbbiakban: CA-létesítmények felhasználói), a CA-létesítmények által feldolgozott információkhoz, a CA-létesítmények rendszergazdája által meghatározott hozzáférés-szabályozási szabályok alapján;
    - a CA eszközök rendszer- és alkalmazásszoftvereinek meg kell felelniük a nem bejelentett képességek hiányának 4. szintű ellenőrzésének;
    - a CA eszközök rendszer- és alkalmazásszoftverei nem tartalmazhatnak nyilvánosan elérhető forrásokban közzétett ismert sebezhetőségeket;
    - a CA eszközök rendszerének és (vagy) alkalmazási szoftverének tartalmaznia kell egy olyan mechanizmust, amely biztosítja a korlátozott hozzáférésű információk tárolására használt RAM és külső memória tisztítását.

    18.4. A KV1 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KS3 osztályú CA létesítményekre vonatkozó követelményekkel.

    18.5. A CA osztályú KV2 létesítményekre vonatkozó követelmények:

    A CA eszközök rendszer- és alkalmazásszoftvereinek forráskódjait tesztelni kell a támadásoknak ellenálló információk védelmére szolgáló módszerek és módszerek megvalósítására, amelyek előkészítéséhez és megvalósításához a jelen Követelmények 9-13. pontjában felsorolt ​​képességeket használják fel. ;
    - forrásszövegek a rendszert és az alkalmazásszoftvert tesztelni kell a nem bejelentett képességek hiánya szempontjából;
    - a rendszer- és alkalmazásszoftvereknek ellenállónak kell lenniük a külső hálózatok számítógépes támadásaival szemben.

    18.6. A CA1 osztályú létesítményekre vonatkozó követelmények:

    A CA eszközök rendszer- és alkalmazásszoftvereinek forráskódjait formálisan ellenőrizni kell a támadásoknak ellenálló információk védelmére szolgáló módszerek és technikák bennük való megvalósításának formális ellenőrzésén, amelyek előkészítéséhez és megvalósításához a jelen szabályzat 9-14. A követelményeket használják, valamint a nem bejelentett képességek hiányát.

    19. Az AS CA követelményei:

    19.1. Az AS TC olyan helyiségekben történő elhelyezésének tervezése esetén, ahol államtitkot tartalmazó információkat tartalmazó beszéd-, akusztikus és vizuális információ, és (vagy) műszaki eszközök és rendszerek találhatók az információt alkotó információkat tartalmazó információk fogadására, továbbítására, feldolgozására, tárolására és megjelenítésére. az államtitkot titkosan telepítik, a CA létesítményeiben található külföldi gyártású műszaki berendezéseket ellenőrzésnek kell alávetni a titkos információszerzésre szolgáló eszközök azonosítása érdekében, valamint vizsgálatokat kell végezni a biztosítéki elektromágneses csatornákon keresztül történő információszivárgás elleni védelem követelményeinek betartására. sugárzás és interferencia a kiosztott helyiségek kategóriájának megfelelően.

    19.2. A CA osztályú KS1 létesítményekre vonatkozó követelmények:

    A CA célfunkciói megvalósításának megfelelőségének ellenőrzése az AS CA tesztrendszer alapján történik.

    19.3. A KS2, KS3, KB1, KB2 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KS1 osztályú CA létesítményekre vonatkozó követelményekkel.

    19.4. A CA1 osztályú létesítményekre vonatkozó követelmények:

    A CA AS részét képező, külföldi gyártású műszaki berendezések speciális ellenőrzésének lefolytatása a titkos információszerzésre szolgáló eszközök azonosítása céljából;
    - az AS teljes körű ellenőrzése (a BIOS programkód elemzésével együtt), amelyen a CA eszközöket implementálták, a negatív funkcionalitás kiküszöbölése érdekében.

    20. A szerepek megkülönböztetésének követelményei:

    20.1. A CA-funkciók teljesítményének biztosítása érdekében a CA-eszközöknek támogatniuk kell a szerepkörök megkülönböztetését a CA-eszközök rendszergazdái csoport tagjai között.

    20.2. A CA osztályú KS1 létesítményekre vonatkozó követelmények:

    Meg kell határozni a szerepek listáját és a felelősségi körök szerepek közötti megoszlását;
    - a szerepkörök listáját és a felelősségek szerepek közötti megoszlását fel kell tüntetni a CA létesítmények működési dokumentációjában.

    20.3. A KS2 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KS1 osztályú CA létesítményekre vonatkozó követelményekkel.

    20.4. A CA osztályú KS3 létesítmények követelményei:

    A CA-eszközöknek támogatniuk kell a következő kötelező szerepköröket:

    1) egy rendszeradminisztrátor, akinek fő feladata a CA-eszközök telepítése, konfigurálása és működésének támogatása, profilok létrehozása és karbantartása a CA-eszközök rendszergazdái csoport tagjai számára, profilkonfiguráció és auditnapló-paraméterek;

    2) hitelesítés-adminisztrátor fő feladatokkal: elektronikus aláírás-ellenőrző kulcs tanúsítványok létrehozása és törlése;

    A CA-eszközöknek olyan mechanizmust kell megvalósítaniuk, amely kizárja annak lehetőségét, hogy a CA-eszközök rendszergazdái csoport egy tagját különböző szerepkörök betöltésére engedélyezzék.

    20.5. A KB1 osztályú CA létesítményekre vonatkozó követelmények:

    A CA-létesítményeknek kötelező üzemeltetői szerepet kell biztosítaniuk a biztonsági mentéssel és helyreállítással kapcsolatos elsődleges felelősséggel.

    20.6. A KB2 osztályú CA-létesítményekre vonatkozó követelmények egybeesnek a KB1 osztályú CA-létesítmények követelményeivel.

    20.7. A CA1 osztályú létesítményekre vonatkozó követelmények:

    A CA-eszközöknek kötelező ellenőrzési adminisztrátori szerepet kell biztosítaniuk, amelynek fő feladatai: az ellenőrzési napló megtekintése és karbantartása;
    - a rendszergazdának nem szabad módosítania az ellenőrzési naplót.

    21. A CA-alapok integritására vonatkozó követelmények:

    21.1. A CA-eszközöknek tartalmazniuk kell egy mechanizmust az információk, szoftverek és CA AS jogosulatlan véletlen és (vagy) szándékos torzításának (módosításának, módosításának) és (vagy) megsemmisítésének ellenőrzésére (a továbbiakban: integritás-ellenőrzési mechanizmus).

    21.2. A CA osztályú KS1 létesítményekre vonatkozó követelmények:

    A CA-eszközök fejlesztésének (korszerűsítésének) feladatmeghatározásában meg kell határozni az integritásfigyelő mechanizmusra vonatkozó követelményeket;
    - meg kell határozni és fel kell tüntetni a CA szoftverének és AS-jének integritásának felügyeletének időtartamát a CA létesítményekre vonatkozó üzemeltetési dokumentációban;
    - a CA szoftverének és AS-jének integritásának ellenőrzését minden alkalommal el kell végezni, amikor az operációs rendszert (a továbbiakban: operációs rendszer) újraindítják;
    - eszközöknek kell lenniük a CA-alapok integritásának helyreállítására.

    21.3. A KS2 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KS1 osztályú CA létesítményekre vonatkozó követelményekkel.

    21.4. A CA osztályú KS3 létesítmények követelményei:
    - az integritás ellenőrzését naponta legalább egyszer el kell végezni.

    21.5. A KB1 osztályú CA létesítményekre vonatkozó követelmények:
    - integritás ellenőrzést kell végrehajtani a CA eszközök operációs rendszerének betöltése előtt.

    21.6. A KB2 osztályú CA-létesítményekre vonatkozó követelmények egybeesnek a KB1 osztályú CA-létesítmények követelményeivel.

    21.7. A CA1 osztályú létesítményekre vonatkozó követelmények:
    - az integritás ellenőrzést dinamikusan kell végrehajtani a CA létesítmények működése során.

    22. Beléptetési követelmények:

    22.1. A CA létesítményeinek hozzáférés-szabályozást kell biztosítaniuk.

    22.2. A CA osztályú KS1 létesítményekre vonatkozó követelmények:
    - a CA eszközök fejlesztésére (korszerűsítésére) vonatkozó feladatmeghatározásban meg kell határozni és meg kell határozni a hozzáférés-szabályozás követelményeit.

    22.3. A KS2 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KS1 osztályú CA létesítményekre vonatkozó követelményekkel.

    22.4. A CA osztályú KS3 létesítmények követelményei:
    - a CA-nak biztosítania kell a hozzáférés-szabályozás diszkrecionális elvét.

    22.5. A KV1 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KS3 osztályú CA létesítményekre vonatkozó követelményekkel.

    22.6. A CA osztályú KV2 létesítményekre vonatkozó követelmények:
    - 4 db CA létesítmény zárt munkakörnyezetének kialakítását kell biztosítani.

    22.7. A CA1 osztályú létesítményekre vonatkozó követelmények:
    - a CA-nak biztosítania kell a hozzáférés-szabályozás kötelező elvét; A hitelesítés-adminisztrátor ES-kulcsának megadásához legalább két felhatalmazott személy szükséges 5.

    23. Az azonosításra és hitelesítésre vonatkozó követelmények:

    23.1. Az azonosítás és hitelesítés magában foglalja egy CA-felhasználó, egy CA-létesítmény-adminisztrátori csoport tagjának vagy egy folyamat felismerését és hitelességük ellenőrzését. A hitelesítési mechanizmusnak blokkolnia kell ezen alanyok hozzáférését a CA funkcióihoz, ha a hitelesítési eredmény negatív.

    23.2. A CA-eszközökben minden megvalósított hitelesítési eljáráshoz olyan mechanizmust kell alkalmazni, amely korlátozza az egymást követő, egy hozzáférési alany hitelesítésére irányuló kísérletek számát, amelyek száma nem lehet több háromnál. Ha egy hozzáférési alany hitelesítésére tett egymást követő kísérletek száma meghaladja a megállapított határértéket, akkor ennek a hozzáférési alanynak a CA létesítményeihez való hozzáférését a CA létesítmények fejlesztésére (korszerűsítésére) vonatkozó feladatmeghatározásban meghatározott időtartamra le kell tiltani.

    23.3. A CA osztályú KS1 létesítményekre vonatkozó követelmények:

    A CA-létesítmények felhasználóinak nyilvántartásba vétele (adatbevitel a CA-létesítmények használóinak nyilvántartásába) eljárásának leírását a CA-létesítményekre vonatkozó üzemeltetési dokumentációnak tartalmaznia kell;
    - hitelesítést kell végezni minden olyan személy számára, aki hozzáfér a CA létesítményekhez. Ebben az esetben megengedhető, hogy csak szimbolikusan időszakosan változó jelszót használjunk a legalább 8 karakterből álló hitelesítéshez, legalább 36 karakteres ábécé kapacitással. A jelszóváltás időtartama nem haladhatja meg a 6 hónapot.

    23.4. A CA osztályú KS2 létesítményekre vonatkozó követelmények:

    A CA-alapok működési dokumentációjában tükröződnie kell, hogy a felhasználónak be kell mutatnia a CA-pénzeket az azonosító okmányok regisztrálásakor;
    - a CA létesítmények minden felhasználója használhat távoli hitelesítési mechanizmusokat. Különleges képességek a távoli hitelesítési mechanizmusokat meg kell erősíteni annak ellenőrzése során, hogy az ezeket az eszközöket használó CA-eszközök és információs objektumok megfelelnek-e ezen Követelményeknek;
    - a megvalósítás során helyi hozzáférés A CA-eszközökhöz a CA-eszközök rendszergazdái csoport tagjainak hitelesítését el kell végezni, mielőtt ezek a CA-eszközök működési állapotba lépnének (például az alap operációs rendszer betöltése előtt).

    23.5. A CA osztályú KS3 létesítmények követelményei:

    A CA-eszközöknek hitelesítési mechanizmust kell megvalósítaniuk azon helyi felhasználók számára, akik hozzáférnek a CA-eszközökhöz, de nem tagjai a CA-eszközök rendszergazdái csoportnak.

    23.6. A KB1 osztályú CA létesítményekre vonatkozó követelmények:

    A megvalósítás során távoli hozzáférés Csak szimbolikus jelszó használata a CA létesítményeknél nem megengedett, kriptográfiai protokollokon alapuló hitelesítési mechanizmusokat kell használni.

    23.7. A KB2 osztályú CA-létesítményekre vonatkozó követelmények egybeesnek a KB1 osztályú CA-létesítmények követelményeivel.

    23.8. A CA1 osztályú létesítményekre vonatkozó követelmények:

    A CA-eszközökben minden megvalósított hitelesítési mechanizmusnál be kell tudni állítani az egymást követő kísérletek maximális számát egy hozzáférési alany hitelesítésére, és be kell állítani a CA-eszközökhöz való hozzáférés blokkolásának idejét azok működési helyein.

    24. A CA-ba bevitt (exportált) adatok védelmére vonatkozó követelmények:

    24.1. A CA-eszközöknek biztosítaniuk kell az önaláírt elektronikus aláírás-ellenőrző kulcs tanúsítványának megbízható bevitelét.

    24.2. A CA osztályú KS1 létesítményekre vonatkozó követelmények:

    A CA létesítményeinek biztosítaniuk kell a korlátozott hozzáférésű információkat tartalmazó, a CA-ba belépő és a CA-ból exportált adatok továbbítását az illetéktelen hozzáféréstől védett módon;
    - A CA eszközöknek be kell vezetniük egy eljárást a hamis üzenetek előírása elleni védelemre 6;
    - a téves üzenetek kiszabása elleni védekezési eljárás követelményeit a CA-eszközök fejlesztésének (korszerűsítésének) a feladatmeghatározása tartalmazza.

    24.3. A CA osztályú KS2 létesítményekre vonatkozó követelmények:

    A CA-eszközöknek biztosítaniuk kell az ES-ellenőrző kulcs tanúsítványára vonatkozó kezdeti kérés védelmét;
    - A CA-eszközöknek csak akkor kell elfogadniuk a CA működése szempontjából kritikus információkat, ha azokat elektronikus aláírással aláírták.

    24.4. A CA osztályú KS3 létesítmények követelményei:

    A CA-eszközöknek be kell vezetniük egy olyan mechanizmust, amely megvédi a hamis üzenetek előírását az elektronikus eszközök használatán alapuló, az elektronikus eszközökre vonatkozó követelményeknek való megfelelésről szóló megerősítést kapott.

    24.5. A KB1 osztályú CA létesítményekre vonatkozó követelmények:

    A CA-eszközöknek olyan mechanizmust kell megvalósítaniuk, amely védi az adatokat, amikor azokat fizikailag elválasztott összetevők között a CIPF használata alapján továbbítják.

    24.6. A KB2 és KA1 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KB1 osztályú CA létesítményekre vonatkozó követelményekkel.

    25. Rendezvény regisztráció feltételei:

    25.1. A CA-eszközök alap operációs rendszerének támogatnia kell a rendszeresemények megfigyelési naplójának vezetését.

    25.2. A CA osztályú KS1 létesítményekre vonatkozó követelmények:

    A CA eszközöknek olyan mechanizmust kell megvalósítaniuk, amely szelektíven rögzíti a feladatait ellátó CA-val kapcsolatos eseményeket az auditnaplóban;
    - a rögzített események listáját a CA létesítmények üzemeltetési dokumentációjában kell tartalmazni.

    25.3. A KS2 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KS1 osztályú CA létesítményekre vonatkozó követelményekkel.

    25.4. A CA osztályú KS3 létesítmények követelményei:

    Intézkedéseket kell tenni annak észlelésére, hogy a hitelesítési naplóban végrehajtott jogosulatlan módosításokat olyan CA-eszközök felhasználói végezzék, akik nem tagjai a CA Tools Adminisztrátorok csoportnak.

    25.5. A KV1 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KS3 osztályú CA létesítményekre vonatkozó követelményekkel.

    25.6. A CA osztályú KV2 létesítményekre vonatkozó követelmények:

    Intézkedéseket kell bevezetni az egyes auditnapló-bejegyzések jogosulatlan módosításainak észlelésére.

    25.7. A CA1 osztályú létesítményekre vonatkozó követelmények:

    Az auditnaplóhoz csak az audit rendszergazda férhet hozzá, aki csak megtekintheti, másolhatja és teljes tisztítás. A tisztítás után az ellenőrzési napló első bejegyzésében automatikusan rögzíteni kell a tisztítás tényét, feltüntetve a dátumot, időpontot és a műveletet végző személy adatait.

    26. A CA létesítmények működésének megbízhatóságára és stabilitására vonatkozó követelmények:

    26.1. A CA-eszközök fejlesztésének (korszerűsítésének) feladatmeghatározásában meg kell határozni és meg kell határozni a CA-eszközök megbízhatóságára és működésének stabilitására vonatkozó követelményeket.

    26.2. A CA osztályú KS1 létesítményekre vonatkozó követelmények:

    Kiszámítják a CA AS meghibásodásának és hibás működésének valószínűségét, ami ahhoz vezet, hogy a CA nem tudja ellátni funkcióit.

    26.3. A CA osztályú KS2 létesítményekre vonatkozó követelmények:

    El kell végezni a CA eszközök működésének stabilitásának tesztelését.

    26.4. A CA osztályú KS3 létesítmények követelményei:

    A CA létesítmények meghibásodás utáni helyreállítási idejére vonatkozó követelményeket a CA létesítmények fejlesztésére (korszerűsítésére) vonatkozó feladatmeghatározásban kell meghatározni és rögzíteni;

    A CA-alapok működésének megbízhatóságát és fenntarthatóságát növelő intézkedéseknek és eszközöknek tartalmazniuk kell a CA-alapok forrásainak kvótáira vonatkozó mechanizmusokat.

    26.5. A KB1 osztályú CA létesítményekre vonatkozó követelmények:

    A CA AS meghibásodásának és hibás működésének valószínűsége a nap folyamán nem haladhatja meg a használt CIPF hasonló valószínűségét.

    26.6. A KB2 és KA1 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KB1 osztályú CA létesítményekre vonatkozó követelményekkel.

    27. Főbb információs követelmények:

    27.1. A kulcsfontosságú információk létrehozásának, felhasználásának, tárolásának és megsemmisítésének eljárását a digitális aláírási eszközök és a CA-eszközök által használt egyéb CIPF működési dokumentációjának követelményei szerint határozzák meg.

    27.2. A CA eszközök által használt ES eszköz ES kulcsának érvényességi időtartamának meg kell felelnie az ES eszközökre megállapított követelményeknek.

    27.3. A CA osztályú KS1 létesítményekre vonatkozó követelmények:

    Nem megengedett információk másolása kulcsfontosságú dokumentumokból ( kriptográfiai kulcsok, beleértve a digitális aláírási kulcsokat is) médiára (például HDD), amelyek nem kulcsfontosságú média, előzetes titkosítása nélkül (amit a használt CIPF beépített funkciójának kell végrehajtania). A kulcsfontosságú dokumentumok másolása csak a használt CIPF működési dokumentációjával összhangban történhet;

    ES-kulcsok, amelyeket ES-ellenőrző kulcs tanúsítványok és listák aláírására használnak egyedi számok elektronikus aláírás-ellenőrző kulcsok tanúsítványai, amelyek érvényessége a bizonyos pillanatban a CA a lejáratuk előtt megszűnt (a továbbiakban: a törölt tanúsítványok listája), más célra nem használható fel;

    Az összes kulcs érvényességi idejét fel kell tüntetni a CA létesítmények üzemeltetési dokumentációjában.

    27.4. A KS2 és KS3 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KS1 osztályú CA létesítményekre vonatkozó követelményekkel.

    27.5. A KB1 osztályú CA létesítményekre vonatkozó követelmények:

    Szervezeti és technikai intézkedéseket kell hozni annak érdekében, hogy kizárják a digitális aláírás-ellenőrző kulcs tanúsítványainak és a visszavont tanúsítványok listájának aláírására használt elektronikus aláírási kulcs veszélyeztetésének lehetőségét, ha egy személy számára elérhető kulcsfontosságú információk sérülnek.

    27.6. A CA osztályú KV2 létesítményekre vonatkozó követelmények:

    Az ES ellenőrző kulcs tanúsítványainak aláírásához használt ES kulcsot és a visszavont tanúsítványok listáit egy ES eszközben kell előállítani, tárolni, használni és megsemmisíteni. Csak olyan elektronikus eszközök használhatók, amelyek a szövetségi törvénynek megfelelően visszaigazolták az elektronikus eszközökre vonatkozó követelményeknek való megfelelést;
    - szervezési és technikai intézkedéseket kell hozni a digitális aláírás-ellenőrző kulcs tanúsítványainak és a visszavont tanúsítványok listájának aláírására használt elektronikus aláírási kulcs kompromittálásának kizárására, ha két személy számára elérhető kulcsfontosságú információk sérülnek.

    27.7. A CA1 osztályú létesítményekre vonatkozó követelmények:

    Szervezeti és technikai intézkedéseket kell hozni annak érdekében, hogy kizárják a digitális aláírás-ellenőrző kulcs tanúsítványainak és a visszavont tanúsítványok listájának aláírására használt elektronikus aláírási kulcs veszélyeztetésének lehetőségét, ha három személy számára hozzáférhető kulcsfontosságú információk sérülnek.

    28. A CA-létesítmények biztonsági mentésének és működőképességének visszaállításának követelményei:

    28.1. A CA-eszközöknek biztonsági mentési és helyreállítási funkciókat kell megvalósítaniuk az AS-ben és (vagy) a CA-eszközök által feldolgozott információkban bekövetkezett sérülés esetén. A biztonsági mentés során a kriptográfiai kulcsok másolásának lehetőségét ki kell zárni.

    28.2. A CA osztályú KS1 létesítményekre vonatkozó követelmények:

    Az adatok mentése mikor biztonsági mentés, elegendőnek kell lennie ahhoz, hogy visszaállítsa a hitelesítésszolgáltatói eszközök működését a másoláskor rögzített állapotra.

    28.3. A KS2 és KS3 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KS1 osztályú CA létesítményekre vonatkozó követelményekkel.

    28.4. A KB1 osztályú CA létesítményekre vonatkozó követelmények:

    Intézkedéseket kell tenni a tárolt adatok jogosulatlan módosításainak észlelésére;
    - a helyreállítási időre vonatkozó követelményeket meg kell határozni és meg kell határozni a CA létesítmények fejlesztésének (korszerűsítésének) feladatmeghatározásában és a CA létesítményekre vonatkozó üzemeltetési dokumentációban.

    28.5. A CA osztályú KV2 létesítményekre vonatkozó követelmények:

    A biztonsági mentés során tárolt védett információkat csak titkosított formában szabad tárolni.

    28.6. A KA1 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KB2 osztályú CA létesítményekre vonatkozó követelményekkel.

    29. Az elektronikus aláírás-ellenőrző kulcs tanúsítványok létrehozásának és törlésének követelményei:

    29.1. Az elektronikus aláírás-ellenőrző kulcs-tanúsítványok létrehozására és visszavonására szolgáló protokollokat le kell írni a CA létesítmények működési dokumentációjában.

    29.2. Az elektronikus aláírás-ellenőrző kulcs tanúsítványainak és a visszavont tanúsítványok CA által készített listáinak meg kell felelniük az ITU-T X.509 7 nemzetközi ajánlásoknak (a továbbiakban: X.509 ajánlások). Az elektronikus aláírás-ellenőrző kulcs tanúsítványában és a visszavont tanúsítványok listájában szereplő összes mezőt és kiegészítést az X.509 ajánlásoknak megfelelően ki kell tölteni. Az ES ellenőrző kulcs tanúsítványok alternatív formátumainak alkalmazásakor az ES ellenőrző kulcs tanúsítványok létrehozásának és visszavonásának protokolljaira vonatkozó követelményeket a CA-eszközök fejlesztésére (korszerűsítésére) vonatkozó feladatmeghatározásban kell meghatározni és meghatározni.

    29.3. A hitelesítésszolgáltató eszközöknek protokollt kell megvalósítaniuk az elektronikus aláírás-ellenőrző kulcs tanúsítványának visszavonására a visszavont tanúsítványok listái segítségével.

    29.4. Megengedett a visszavonási protokollok megvalósítása a visszavont tanúsítványok listáinak használata nélkül, amelyek követelményeit a CA-eszközök fejlesztésére (korszerűsítésére) vonatkozó feladatmeghatározásban kell meghatározni.

    29.5. A CA osztályú KS1 létesítményekre vonatkozó követelmények:

    A CA-eszközöknek megvalósítaniuk kell a digitális aláírás-ellenőrző kulcs tanúsítványának papíron történő előállítását. A digitális aláírás-ellenőrző kulcs tanúsítvány papír alapon történő kiállításának rendje, valamint a digitális aláírás-ellenőrző kulcs tanúsítvány megfelelőségének ellenőrzési eljárása a évi elektronikus formábanés papíron fel kell tüntetni a CA létesítmények üzemeltetési dokumentációjában;

    A CA létesítményekben az ES ellenőrző kulcs tanúsítvány tulajdonosával kapcsolatban olyan mechanizmusokat kell megvalósítani, amelyek ellenőrzik az ES ellenőrző kulcs egyediségét és a megfelelő ES kulcs birtoklását.

    29.6. A KS2 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KS1 osztályú CA létesítményekre vonatkozó követelményekkel.

    29.7. A CA osztályú KS3 létesítmények követelményei:

    Az elektronikus aláírás-ellenőrző kulcs tanúsítványaiban és a visszavont tanúsítványok listáiban az időértékek hibája nem haladhatja meg a 10 percet.

    29.8. A KB1 osztályú CA létesítményekre vonatkozó követelmények:

    Az elektronikus aláírás-ellenőrző kulcs tanúsítványaiban és a visszavont tanúsítványok listáiban az időértékek hibája nem haladhatja meg az 5 percet.

    29.9. A KB2 és KA1 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KB 1 osztályú CA létesítményekre vonatkozó követelményekkel.

    30. Az elektronikus aláírás-ellenőrző kulcs tanúsítvány szerkezetére és a visszavont tanúsítványok listájára vonatkozó követelmények:

    30.1. A CA osztályú KS1 létesítményekre vonatkozó követelmények:

    Az elektronikus aláírás-ellenőrző kulcs tanúsítványának elfogadható struktúráit és a visszavont tanúsítványok listáját fel kell sorolni a CA létesítmények működési dokumentációjában;
    - A CA eszközöknek be kell vezetniük egy olyan mechanizmust, amely ellenőrzi, hogy az elektronikus aláírás-ellenőrző kulcsok létrehozott tanúsítványai és a visszavont tanúsítványok listái megfelelnek-e az adott struktúrának;
    - az ES ellenőrző kulcs tanúsítvány felépítésében szerepelnie kell egy mezőnek, amely információkat tartalmaz arról a CA eszközök osztályáról, amelyekkel a jelen ES ellenőrző kulcs tanúsítványt létrehozták, valamint egy mezőt, amely a tulajdonos ES eszközeinek osztályát tartalmazza. ES ellenőrző kulcs tanúsítvány.

    30.2. A KS2 és KS3 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KS1 osztályú CA létesítményekre vonatkozó követelményekkel.

    30.3. A CA osztályú KV1 létesítményekre vonatkozó követelmények:

    A hitelesítésszolgáltató eszközöknek olyan mechanizmust kell megvalósítaniuk, amely lehetővé teszi a rendszergazdának, hogy meghatározza az elektronikus aláírás-ellenőrző kulcs tanúsítványának elfogadható kiegészítéseit és a visszavont tanúsítványok listáját.

    30.4. A KB2 és KA1 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KB1 osztályú CA létesítményekre vonatkozó követelményekkel.

    31. Az elektronikus aláírás-ellenőrző kulcstanúsítványok nyilvántartására és az ahhoz való hozzáférés biztosítására vonatkozó követelmények:

    31.1. A CA osztályú KS1 létesítményekre vonatkozó követelmények:

    A hitelesítésszolgáltató eszközöknek olyan mechanizmusokat kell megvalósítaniuk, amelyek az összes létrehozott elektronikus aláírás-ellenőrző kulcs tanúsítványát és a visszavont tanúsítványok listáját tárolják és keresik a nyilvántartásban, valamint hálózati hozzáférés a nyilvántartásba.

    31.2. A KS2 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KS1 osztályú CA létesítményekre vonatkozó követelményekkel.

    31.3. A CA osztályú KS3 létesítmények követelményei:

    A hitelesítésszolgáltató eszközöknek olyan mechanizmust kell megvalósítaniuk, amely az elektronikus aláírás-ellenőrző kulcs tanúsítványait és a visszavont tanúsítványok listáit keresi a digitális aláírás-ellenőrző kulcs tanúsítványainak nyilvántartásában azok különböző attribútumai alapján;
    - az elektronikus aláírás-ellenőrző kulcs tanúsítványok nyilvántartásában bekövetkezett minden változást rögzíteni kell az auditnaplóban.

    31.4. A KB1, KB2 és KA1 osztályú CA létesítményekre vonatkozó követelmények egybeesnek a KS3 osztályú CA létesítményekre vonatkozó követelményekkel.
    32. Az elektronikus aláírás ellenőrzésére vonatkozó követelmények az elektronikus aláírás-ellenőrző kulcs tanúsítványában:

    32.1. Meg kell határozni és jelezni kell az elektronikus aláírás-ellenőrző kulcs tanúsítványában lévő aláírás ellenőrzésére szolgáló mechanizmust az elektronikus interakció résztvevőjének kérésére a CA-alapok működési dokumentációjában.

    32.2. A hitelesítésszolgáltató eszközeinek olyan mechanizmust kell megvalósítaniuk, amely ellenőrzi a hitelesítésszolgáltató elektronikus aláírásának hitelességét az általa kiadott digitális aláírás-ellenőrző kulcs tanúsítványaiban.

    32.3. A digitális aláírás-ellenőrző kulcs tanúsítványában lévő elektronikus aláírás ellenőrzése az X.509 ajánlásoknak megfelelően történik, beleértve az összes kritikus kiegészítés kötelező ellenőrzését.

    32.4. Ha a CA-eszközök működésének sajátosságai alapján a digitális aláírás-ellenőrző kulcs tanúsítványának alternatív formátumok használata megengedett, akkor a digitális aláírás-ellenőrző kulcs tanúsítványában lévő aláírás ellenőrzésére szolgáló mechanizmust meg kell határozni és meg kell határozni a szerződés feltételeiben. referencia CA-eszközök fejlesztésére (korszerűsítésére).

    33. A kommunikációs csatornákat használó CA-létesítmények elleni támadási csatornák kiépítésének lehetőségének korlátozása érdekében tűzfaleszközöket kell használni.

    34. A CA-alapok védelmére vonatkozó követelmények számítógépes vírusokÉs számítógépes támadásokés a CA-eszközök fejlesztésére (korszerűsítésére) vonatkozó feladatmeghatározásban szerepelnek.

    35. A CA-létesítményeknek olyan információs és távközlési hálózathoz való csatlakoztatásakor, amelynek hozzáférése nem korlátozódik egy bizonyos körre, ezeknek a létesítményeknek meg kell felelniük a KB2 vagy KA1 osztályú CA-létesítmények követelményeinek.

    36. A CA-eszközök kutatását annak igazolására, hogy a CA-eszközök megfelelnek ezeknek a követelményeknek, a paraméterek és az oroszországi FSB által kifejlesztett CA-eszközökben megvalósított védelmi mechanizmusok jellemzőinek számértékei alapján kell elvégezni.

    1 Az oroszországi igazságügyi minisztérium által 2005. március 3-án lajstromozott, lajstromozási szám: 6382.
    2 Az orosz igazságügyi minisztérium által 2010. május 25-én bejegyzett, 17350 lajstromszámú.
    3 A fejlesztés alatt álló (frissítendő) CA-eszközök szükséges osztályát a CA-eszközök megrendelője (fejlesztője) határozza meg a támadási módszerek létrehozására, a támadások előkészítésére és lebonyolítására vonatkozó képességek meghatározásával a jelen Követelmények 9-14. pontja alapján, és azt a taktikai és műszaki előírás vagy műszaki előírás a kísérleti tervezési munkák végzéséhez vagy a kísérleti tervezési munka szerves részét képező CA-eszközök fejlesztésére (korszerűsítésére) (a továbbiakban: CA-eszközök fejlesztése (korszerűsítése) T3).
    4 Szoftverkörnyezet, amely csak egy rögzített alanyhalmazt (programokat, folyamatokat) enged meg benne.
    5 Olyan személyek, akik a CA-alapkezelők csoportjának tagjai, és nem ismertek szabálysértőként.
    6 A hamis üzenet kikényszerítése olyan tevékenység, amelyet az elektronikus interakcióban vagy a CA-ban résztvevők valódi üzenet illetéktelen hozzáféréstől védett módon történő továbbításaként érzékelnek.
    7 ITU-T X.509. ajánlás. Információtechnológia - Nyílt rendszerek összekapcsolása - A címtár: Nyilvános kulcsú és attribútum tanúsítvány-keretrendszerek. 2008. http://www.itu.int/rec/T-REC-X.509-200811-i.
    8 Az Orosz Föderáció Szövetségi Biztonsági Szolgálatáról szóló szabályzat 9. szakaszának 47. alpontja, amelyet az Orosz Föderáció elnökének 2003. augusztus 11-i 960. számú rendelete hagyott jóvá (Az Orosz Föderáció jogszabályainak gyűjteménye, 2003, 33. sz. , 3254. cikk, 2004, 28., 2883., 2005., 36., 3665., 49., 5200., 2006., 25., 2699., 31., I. rész, 3463. cikk 2007, 1. szám (I. rész), 205. cikk, 49. szám, 6133. cikk, 53. szám, 6554. cikk, 2008, 36. cikk, 4087. cikk, 43. szám, 4921. cikk, 47. cikk, 5431. cikk; 2010, 17., 2054. cikk; 20., 2435. cikk; 2011, 2. cikk, 267. cikk; 9. cikk, 1222. cikk).

    A kriptográfiai információvédelmi eszközöket vagy röviden CIPF-et használnak a kommunikációs vonalakon továbbított adatok átfogó védelmének biztosítására. Ehhez biztosítani kell az elektronikus aláírás engedélyezését és védelmét, a TLS és IPSec protokollt használó kommunikáló felek hitelesítését, valamint szükség esetén magának a kommunikációs csatornának a védelmét.

    Oroszországban az információbiztonság kriptográfiai eszközeinek használata többnyire titkosított, ezért nyilvánosan elérhető információk kevés szó esik erről a témáról.

    A CIPF-ben használt módszerek

    • Az adatok engedélyezése és jogi jelentőségük biztonságának biztosítása továbbítás vagy tárolás során. Ehhez algoritmusokat használnak az elektronikus aláírás létrehozására és az RFC 4357 szabvány szerinti ellenőrzésére, valamint az X.509 szabvány szerinti tanúsítványokat.
    • Az adatok titkosságának védelme és integritásának ellenőrzése. Aszimmetrikus titkosítást és utánzásvédelmet alkalmaznak, vagyis az adatcsere ellensúlyozását. Megfelel a GOST R 34.12-2015.
    • Rendszer- és alkalmazásszoftverek védelme. Figyelje a jogosulatlan változtatásokat vagy a nem megfelelő működést.
    • A rendszer legfontosabb elemeinek kezelése szigorúan az elfogadott előírásoknak megfelelően.
    • Adatcserét végző felek hitelesítése.
    • A kapcsolat biztosítása a segítségével TLS protokoll.
    • IP-kapcsolatok védelme IKE, ESP, AH protokollok használatával.

    A módszereket a következő dokumentumok ismertetik részletesen: RFC 4357, RFC 4490, RFC 4491.

    CIPF információvédelmi mechanizmusok

    1. A tárolt vagy továbbított információk titkosságát titkosítási algoritmusok védik.
    2. A kapcsolat létesítésekor az azonosítás elektronikus aláírással történik a hitelesítés során (az X.509 ajánlása szerint).
    3. A digitális dokumentumok áramlását elektronikus aláírással, valamint kikényszerítés vagy ismétlés elleni védelemmel is védik, miközben az elektronikus aláírások ellenőrzésére használt kulcsok hitelességét ellenőrzik.
    4. Az információ sértetlenségét digitális aláírás biztosítja.
    5. Az aszimmetrikus titkosítási funkciók használata segít megvédeni adatait. Ezenkívül hash-függvények vagy megszemélyesítési algoritmusok is használhatók az adatok integritásának ellenőrzésére. Ezek a módszerek azonban nem támogatják a dokumentum szerzőjének meghatározását.
    6. Az ismétlődés elleni védelem az elektronikus aláírás kriptográfiai funkcióival valósul meg titkosítás vagy utánzatvédelem céljából. Ebben az esetben minden hálózati munkamenethez hozzáadódik egyedi azonosító elég hosszú ahhoz, hogy ez ne legyen véletlen, és a fogadó fél ellenőrzése megtörténik.
    7. A kényszerítés elleni védelmet, vagyis a kommunikációba kívülről történő behatolást az elektronikus aláírás biztosítja.
    8. Az egyéb védelem - könyvjelzők, vírusok, operációs rendszer módosítások stb. ellen - különféle kriptográfiai eszközök, biztonsági protokollok, vírusirtó szoftverek és szervezeti intézkedések segítségével történik.

    Amint láthatja, az elektronikus aláírási algoritmusok a kriptográfiai információk védelmének alapvető részét képezik. Az alábbiakban lesz szó róluk.

    A CIPF használatának követelményei

    A CIPF célja, hogy megvédje (elektronikus aláírás ellenőrzésével) a nyílt adatokat különféle általánosan használt információs rendszerekben, és biztosítsa azok titkosságát (elektronikus aláírás ellenőrzésével, védelem imitálásával, titkosítással, hash ellenőrzéssel) a vállalati hálózatokban.

    Személyes kriptográfiai információvédelmi eszközt használnak a felhasználó személyes adatainak védelmére. Különös hangsúlyt kell fektetni azonban az államtitokkal kapcsolatos információkra. A törvény szerint a CIPF-et nem lehet vele dolgozni.

    Fontos: a CIPF telepítése előtt először ellenőriznie kell magát a CIPF szoftvercsomagot. Ez az első lépés. A telepítőcsomag sértetlenségét általában összehasonlítással ellenőrzik ellenőrző összegeket kapott a gyártótól.

    Telepítés után meg kell határozni a fenyegetettség szintjét, amely alapján meg lehet határozni a használathoz szükséges CIPF típusokat: szoftver, hardver és hardver-szoftver. Figyelembe kell venni azt is, hogy egyes CIPF megszervezésénél figyelembe kell venni a rendszer elhelyezését.

    Védelmi osztályok

    Az oroszországi FSB 2014. július 10-i, 378. számú, az információk és a személyes adatok védelmére szolgáló kriptográfiai eszközök használatát szabályozó rendelete szerint hat osztályt határoztak meg: KS1, KS2, KS3, KB1, KB2, KA1. Egy adott rendszer védelmi osztályát a behatoló modelljére vonatkozó adatok elemzéséből, azaz értékelésből határozzák meg. lehetséges módjai feltörni a rendszert. A védelem ebben az esetben szoftveres és hardveres kriptográfiai információvédelemből épül fel.

    Az AC (aktuális fenyegetések), amint az a táblázatból is látható, 3 típusú:

    1. Az első típusú fenyegetések az információs rendszerben használt rendszerszoftver dokumentálatlan képességeihez kapcsolódnak.
    2. A második típusú fenyegetések az információs rendszerben használt alkalmazási szoftverek dokumentálatlan képességeihez kapcsolódnak.
    3. A fenyegetés harmadik típusa az összes többire vonatkozik.

    A nem dokumentált funkciók a szoftver azon funkciói és jellemzői, amelyek nem szerepelnek a hivatalos dokumentációban, vagy nem felelnek meg annak. Vagyis használatuk növelheti az információk titkosságának vagy integritásának megsértésének kockázatát.

    Az érthetőség kedvéért nézzük meg a behatolók modelljeit, akiknek elfogása a kriptográfiai információbiztonság egyik vagy másik osztályát igényli:

    • KS1 - a behatoló kívülről cselekszik, a rendszeren belüli asszisztensek nélkül.
    • A KS2 egy belső behatoló, de nem fér hozzá a CIPF-hez.
    • A KS3 egy belső behatoló, aki a CIPF felhasználója.
    • A KV1 egy behatoló, aki külső forrásokat vonz, például CIPF-szakembereket.
    • A KV2 egy behatoló, akinek tettei mögött a CIPF tanulmányozásával és fejlesztésével foglalkozó intézet vagy laboratórium áll.
    • KA1 - államok speciális szolgáltatásai.

    Így a KS1 alapvédelmi osztálynak nevezhető. Ennek megfelelően minél magasabb a védelmi osztály, annál kevesebb szakember képes azt biztosítani. Például Oroszországban a 2013-as adatok szerint csak 6 olyan szervezet volt, amely rendelkezett az FSB tanúsítvánnyal, és képes volt KA1 osztályú védelmet nyújtani.

    Alkalmazott algoritmusok

    Tekintsük a kriptográfiai információvédelmi eszközökben használt fő algoritmusokat:

    • GOST R 34.10-2001 és frissített GOST R 34.10-2012 - algoritmusok az elektronikus aláírás létrehozására és ellenőrzésére.
    • GOST R 34.11-94 és a legújabb GOST R 34.11-2012 - algoritmusok hash függvények létrehozásához.
    • GOST 28147-89 és így tovább új GOST R 34.12-2015 - titkosítási és adatvédelmi algoritmusok megvalósítása.
    • További kriptográfiai algoritmusok találhatók az RFC 4357-ben.

    Elektronikus aláírás

    A kriptográfiai információbiztonsági eszközök alkalmazása nem képzelhető el az egyre népszerűbb elektronikus aláírási algoritmusok alkalmazása nélkül.

    Az elektronikus aláírás a titkosítási átalakításokkal létrehozott dokumentum speciális része. Fő feladata a jogosulatlan változtatások azonosítása és a szerzőség meghatározása.

    Az elektronikus aláírás tanúsítványa egy különálló dokumentum, amely nyilvános kulccsal igazolja az elektronikus aláírás valódiságát és tulajdonjogát. A tanúsítványokat a tanúsító hatóságok állítják ki.

    Az elektronikus aláírási tanúsítvány tulajdonosa az a személy, akinek a nevére a tanúsítványt bejegyezték. Két kulccsal van társítva: nyilvános és privát. A privát kulcs lehetővé teszi elektronikus aláírás létrehozását. A nyilvános kulcs célja az aláírás hitelességének ellenőrzése a titkos kulcsra mutató kriptográfiai hivatkozáson keresztül.

    Az elektronikus aláírás típusai

    A 63. számú szövetségi törvény szerint az elektronikus aláírásokat 3 típusra osztják:

    • rendszeres elektronikus aláírás;
    • minősítetlen elektronikus aláírás;
    • minősített elektronikus aláírás.

    Egyszerű elektronikus aláírás jön létre az adatok megnyitásához és megtekintéséhez rendelt jelszavakkal, vagy hasonló eszközökkel, amelyek közvetett módon megerősítik a tulajdonost.

    A minősítés nélküli elektronikus aláírás kriptográfiai adatátalakítások segítségével jön létre privát kulcs. Ennek köszönhetően megerősítheti a dokumentumot aláíró személyt, és megállapíthatja, hogy történt-e jogosulatlan módosítás az adatokon.

    A minősített és a minősítés nélküli aláírások csak annyiban különböznek egymástól, hogy az első esetben az elektronikus aláírás tanúsítványát az FSB által hitelesített hitelesítő központnak kell kiállítania.

    Az elektronikus aláírás felhasználási köre

    Az alábbi táblázat az elektronikus aláírások alkalmazási körét tárgyalja.

    Az elektronikus aláírási technológiákat a legaktívabban a dokumentumcserében használják. A belső dokumentumáramlásban az ES a dokumentumok jóváhagyásaként, azaz asként működik személyes aláírás vagy nyomtatni. Külső dokumentumáramlás esetén kritikus az elektronikus aláírás megléte, hiszen ez jogi megerősítés. Érdemes megjegyezni azt is, hogy az elektronikus aláírással aláírt dokumentumok korlátlan ideig tárolhatók, és nem veszítenek jogi jelentőségükből olyan tényezők miatt, mint a törölt aláírások, sérült papír stb.

    A szabályozó hatóságok felé történő jelentéstétel egy másik olyan terület, ahol az elektronikus dokumentumáramlás növekszik. Sok vállalat és szervezet már értékelte az ebben a formátumban való munkavégzés kényelmét.

    Az Orosz Föderáció törvényei szerint minden állampolgárnak joga van elektronikus aláírást használni kormányzati szolgáltatások igénybevételekor (például aláírás elektronikus jelentkezés hatóságok számára).

    Az online kereskedelem egy másik érdekes terület, ahol az elektronikus aláírásokat aktívan használják. Megerősíti azt a tényt, hogy valódi személy vesz részt az aukción, és ajánlatai megbízhatónak tekinthetők. Fontos továbbá, hogy minden elektronikus aláírással kötött szerződés jogerőt nyerjen.

    Elektronikus aláírási algoritmusok

    • Full Domain Hash (FDH) és nyilvános kulcsú titkosítási szabványok (PKCS). Ez utóbbi szabványos algoritmusok egész csoportját képviseli különféle helyzetekre.
    • A DSA és az ECDSA az elektronikus aláírások létrehozásának szabványai az Egyesült Államokban.
    • GOST R 34.10-2012 - szabvány az elektronikus aláírások létrehozására az Orosz Föderációban. Ez a szabvány felváltotta a GOST R 34.10-2001-et, amely hivatalosan 2017. december 31. után járt le.
    • Az Eurázsiai Unió az oroszokhoz teljesen hasonló szabványokat alkalmaz.
    • STB 34.101.45-2013 - Fehérorosz szabvány a digitális elektronikus aláíráshoz.
    • DSTU 4145-2002 - szabvány elektronikus aláírás létrehozására Ukrajnában és sok másban.

    Azt is érdemes megjegyezni, hogy az elektronikus aláírás létrehozására szolgáló algoritmusoknak különböző céljai és céljai vannak:

    • Csoportos elektronikus aláírás.
    • Egyszer használatos digitális aláírás.
    • Megbízható elektronikus aláírás.
    • Minősített és minősíthetetlen aláírás stb.

    Az információbiztonságra vonatkozó követelmények az információs rendszerek tervezésekor jelzik azokat a jellemzőket, amelyek az alkalmazott információbiztonsági eszközöket jellemzik. Ezeket a biztonság területén a szabályozók különféle jogi aktusai határozzák meg információ biztonság, különösen - az FSTEC és az orosz FSB. A cikk tükrözi, hogy milyen biztonsági osztályok vannak, a védőfelszerelések típusai és típusai, valamint hogy hol lehet többet megtudni erről.

    Bevezetés

    Napjainkban az információbiztonság biztosításának kérdései fokozott figyelem tárgyát képezik, hiszen az információbiztonság biztosítása nélkül mindenhol megvalósuló technológiák új, komoly problémák forrásává válnak.

    Az orosz FSZB a helyzet súlyosságáról számol be: a támadók által több év alatt okozott károk összege világszerte 300 milliárd dollártól ezermilliárd dollárig terjedt. Az Orosz Föderáció legfőbb ügyésze által közölt információk szerint csak 2017 első felében Oroszországban a bűncselekmények száma magas technológia hatszorosára nőtt, a károk teljes összege meghaladta a 18 millió dollárt.2017-ben az ipari szektorban a célzott támadások számának növekedését figyelték meg világszerte. Különösen Oroszországban 22%-kal nőtt a támadások száma 2016-hoz képest.

    Az információs technológiákat fegyverként kezdték használni katonai-politikai, terrorista célokra, szuverén államok belügyeibe való beavatkozásra, valamint egyéb bűncselekmények elkövetésére. Az Orosz Föderáció egy nemzetközi információbiztonsági rendszer létrehozása mellett áll.

    Az Orosz Föderáció területén az információ birtokosai és az információs rendszer üzemeltetői kötelesek blokkolni az információkhoz való jogosulatlan hozzáférési kísérleteket, valamint folyamatosan figyelni az IT infrastruktúra biztonsági állapotát. Ugyanakkor az információvédelmet különféle intézkedésekkel, beleértve a technikaiakat is, biztosítják.

    Az információbiztonsági eszközök, vagy információvédelmi rendszerek biztosítják az információvédelmet az információs rendszerekben, amelyek lényegében adatbázisokban tárolt információk, azok feldolgozását biztosító információs technológiák és technikai eszközök gyűjteményei.

    A modern információs rendszereket a különféle hardver- és szoftverplatformok használata, a komponensek területi megoszlása, valamint a nyílt hálózatok adatátvitel.

    Hogyan lehet megvédeni az információkat ilyen körülmények között? A megfelelő követelményeket felhatalmazott szervek, különösen az FSTEC és az orosz FSB terjesztik elő. A cikk keretein belül megpróbáljuk tükrözni az információbiztonsági rendszerek osztályozásának főbb megközelítéseit, figyelembe véve ezen szabályozók követelményeit. Az információbiztonság osztályozásának leírásának egyéb módjai, amelyek az orosz minisztériumok, valamint a külföldi szervezetek és ügynökségek szabályozási dokumentumaiban tükröződnek, túlmutatnak e cikk hatályán, és nem foglalkoznak tovább.

    A cikk hasznos lehet az információbiztonság területén dolgozó kezdő szakemberek számára, mint strukturált információk forrása az információbiztonság osztályozási módszereiről az orosz FSTEC (nagyobb mértékben) és röviden az orosz FSB követelményei alapján.

    Az eljárást meghatározó és az információbiztonság nem kriptográfiai módszerekkel történő biztosítását koordináló struktúra az oroszországi FSTEC (korábban az Orosz Föderáció elnöke alatt működő Állami Műszaki Bizottság, Állami Műszaki Bizottság).

    Ha az olvasó valaha is látta a Tanúsított Információbiztonsági Eszközök Állami Nyilvántartását, amelyet az orosz FSTEC hoz létre, akkor minden bizonnyal figyelt arra, hogy az információvédelmi rendszer céljának leíró részében olyan kifejezések jelenjenek meg, mint az „RD SVT osztály”, „nem megfelelőségi adatok hiányának mértéke” stb. (1. ábra) .

    1. ábra Hitelesített információvédelmi eszközök nyilvántartásának töredéke

    A kriptográfiai információbiztonsági eszközök osztályozása

    Az oroszországi FSB meghatározta a kriptográfiai információvédelmi rendszerek osztályait: KS1, KS2, KS3, KV és KA.

    A KS1 osztályú IPS fő ​​jellemzői közé tartozik, hogy képesek ellenállni az ellenőrzött területen kívülről érkező támadásoknak. Ez azt jelenti, hogy a támadási módszerek létrehozása, előkészítése és végrehajtása a kriptográfiai információbiztonság fejlesztésével és elemzésével foglalkozó szakemberek részvétele nélkül történik. Feltételezhető, hogy a megadott információbiztonsági rendszereket használó rendszerrel kapcsolatos információk nyílt forrásokból szerezhetők be.

    Ha egy kriptográfiai információbiztonsági rendszer képes ellenállni a KS1 osztályú blokkolt támadásoknak, valamint az ellenőrzött területen belül végrehajtott támadásoknak, akkor az ilyen információbiztonság a KS2 osztálynak felel meg. Feltételezhető például, hogy a támadás előkészítése során az információs rendszerek védelmét szolgáló fizikai intézkedésekről, az ellenőrzött terület biztosításáról stb.

    Ha lehetséges ellenállni a támadásoknak, ha fizikailag hozzá lehet férni a telepített kriptográfiai biztonsági információkkal rendelkező számítógépes berendezésekhez, az ilyen berendezések állítólag megfelelnek a KS3 osztálynak.

    Ha a kriptográfiai információbiztonság ellenáll a támadásoknak, amelyek létrehozása során ezen eszközök fejlesztésének és elemzésének szakértői vettek részt, beleértve a kutatóközpontokat, és lehetőség nyílt a biztonsági eszközök laboratóriumi vizsgálatára, akkor a HF osztálynak való megfelelésről beszélünk. .

    Ha a támadási módszerek kidolgozásába az NDV rendszerszoftverek használatának szakértőit ​​vonták be, a megfelelő tervdokumentáció rendelkezésre állt, és a kriptográfiai információbiztonsági rendszerek bármely hardvereleméhez hozzá lehetett férni, akkor az ilyen támadások elleni védelem biztosítható a KA osztály.

    Az elektronikus aláírás-védelmi eszközök osztályozása

    Az elektronikus aláírási eszközöket, attól függően, hogy ellenállnak-e a támadásoknak, általában a következő osztályokkal hasonlítják össze: KS1, KS2, KS3, KB1, KB2 és KA1. Ez a besorolás hasonló a fentebb a kriptográfiai információbiztonsággal kapcsolatban tárgyalthoz.

    következtetéseket

    A cikk megvizsgálta az oroszországi információbiztonság osztályozásának néhány módszerét, amelyek alapját az információvédelem területén működő szabályozó hatóságok szabályozási keretei képezik. A figyelembe vett osztályozási lehetőségek nem teljesek. Mindazonáltal reméljük, hogy a bemutatott összefoglaló információk lehetővé teszik az információbiztonság területén kezdő szakember számára a gyors navigációt.