###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • Nivel de protecție ks1. Cerințe pentru mijloacele de semnătură electronică și centrul de certificare - Rossiyskaya Gazeta. Capacitățile actuale ale surselor de atac

    17.05.2020 Siguranță

    Instrumentele de protecție a informațiilor criptografice din clasele de securitate KS2 și KS1 în conformitate cu cerințele FSB al Rusiei diferă în ceea ce privește capacitățile reale ale surselor de atac și măsurile luate pentru a contracara atacurile.

    1. Capacitățile curente ale surselor de atac

    Instrumentele de protecție a informațiilor criptografice (CIPF) din clasa KS1 sunt utilizate atunci când sunt prezente capacitățile curente ale surselor de atac, și anume, pentru a crea în mod independent metode de atac, a pregăti și a efectua atacuri numai în afara zonei controlate.

    1. creați în mod independent metode de atac, pregătiți și efectuați atacuri numai în afara zonei controlate;
    2. să creeze în mod independent metode de atac, să pregătească și să efectueze atacuri în zona controlată, dar fără acces fizic la hardware-ul pe care sunt implementate CIPF și mediul lor de operare (SF).

    Astfel, clasa CIPF KS2 ​​se deosebește de KS1 în ceea ce privește neutralizarea surselor de atac, crearea independentă a metodelor de atac, pregătirea și efectuarea atacurilor în zona controlată, dar fără acces fizic la hardware-ul pe care sunt implementate CIPF și IP.

    2. Opțiuni pentru implementarea claselor de protecție CIPF KS3, KS2 și KS1

    Opțiunea 1, acesta este software-ul de bază CIPF care oferă clasa de protecție KS1.

    Opțiunea 2 este o clasă CIPF KS2, constând dintr-o clasă CIPF de bază KS1 împreună cu un modul de încărcare de încredere hardware-software certificat (APMDZ).

    Opțiunea 3 este o clasă CIPF KS3, constând dintr-o clasă CIPF KS2 ​​împreună cu software specializat pentru crearea și controlul unui mediu software închis.

    Astfel, software-ul CIPF clasa KS2 diferă de KS1 doar prin adăugarea unui APMDZ certificat la clasa CIPF KS1. Diferența dintre clasa CIPF KS3 și clasa KS1 este utilizarea clasei CIPF KS1 împreună cu un APMDZ certificat și un software specializat pentru a crea și controla un mediu software închis. Și, de asemenea, diferența dintre clasa CIPF KS3 și clasa KS2 este utilizarea clasei CIPF KS2 ​​împreună cu software specializat pentru a crea și controla un mediu software închis.

    Software-ul ViPNet SysLocker (1.0 din 28 martie 2016) este un software specializat gratuit pentru crearea și controlul unui mediu software închis.

    3. Măsuri de contracarare a atacurilor

    CIPF clasa KS2 nu aplică măsuri de contracarare a atacurilor, care sunt obligatorii atunci când se operează CIPF clasa KS1, și anume:

    1. a fost aprobată o listă a persoanelor îndreptățite să acceseze localul;
    2. a fost aprobată o listă a persoanelor îndreptățite să acceseze incinta în care se află sistemele de protecție a informațiilor criptografice;
    3. au fost aprobate reguli de acces în incinta în care sunt amplasate sistemele de protecție a informațiilor criptografice în timpul orelor de lucru și nelucrătoare, precum și în situații de urgență;
    4. accesul în zona controlată și incinta în care sunt amplasate sistemele informatice cu date cu caracter personal (PDIS) și/sau resursele CIPF este asigurat în conformitate cu regimul de control al accesului;
    5. informatiile despre masurile fizice de protectie a facilitatilor in care sunt amplasate sistemele informatice sunt disponibile unui numar limitat de angajati;
    6. documentația pentru CIPF este stocată de persoana responsabilă pentru CIPF într-un seif metalic (dulap);
    7. localurile în care se află documentația pentru componentele CIPF, CIPF și SF sunt dotate cu uși de intrare cu încuietori, asigurându-se că ușile localului sunt încuiate permanent și deschise numai pentru trecerea autorizată;
    8. reprezentanții serviciilor tehnice, de întreținere și ai altor servicii de asistență atunci când lucrează în incinta (rack-uri) în care se află CIPF, precum și angajații care nu sunt utilizatori ai CIPF, se află în aceste sedii numai în prezența angajaților din exploatare;
    9. angajații care sunt utilizatori ai ISPD, dar nu sunt utilizatori ai CIPF, sunt informați cu privire la regulile de lucru în ISPD și responsabilitatea pentru nerespectarea regulilor de securitate a informațiilor;
    10. Utilizatorii CIPF sunt informați despre regulile de lucru în ISDN, regulile de lucru cu CIPF și responsabilitatea pentru nerespectarea regulilor de securitate a informațiilor;
    11. se realizează înregistrarea și înregistrarea acțiunilor utilizatorului cu date personale;
    12. se monitorizează integritatea mijloacelor de securitate a informaţiei.

    Cerințele FSB rămân încă un mister pentru mulți experți. De ce se întâmplă asta?

    • Utilizarea opțională a criptării de către operatori.
    • Este dificil de înțeles cadrul de reglementare.
    • Lipsa explicațiilor la documente de la autoritatea de reglementare.
    • Teama operatorilor de a suporta un control suplimentar atunci când folosesc criptografie.

    Dar, în ciuda tuturor dificultăților, este imposibil să faceți fără protecție criptografică atunci când transmiteți date personale printr-un canal de comunicare nesecurizat, aceasta include, de exemplu, munca la distanta angajați cu o bază de date cu clienți, schimb de informații între sucursale și sediul central, transferul informațiilor personale ale angajaților către terți. Într-o formă sau alta, astfel de sarcini sunt prezente în aproape fiecare organizație.

    Să aruncăm o privire generală asupra cadrului de reglementare pe această problemă. Există trei documente principale privind protecția criptografică a datelor cu caracter personal în Federația Rusă:

    1. Recomandări metodologice pentru asigurarea securității datelor cu caracter personal folosind instrumente criptografice la prelucrarea lor în sistemele informatice de date cu caracter personal folosind instrumente de automatizare”, aprobate de conducerea Centrului 8 al FSB al Rusiei la 21 februarie 2008 Nr. 149/54-144 -
    2. Cerințe standard pentru organizarea și asigurarea funcționării mijloacelor de criptare (criptografice) destinate să protejeze informațiile care nu conțin informații care constituie secret de stat, în cazul utilizării acestora pentru asigurarea securității datelor cu caracter personal în timpul prelucrării lor în sistemele informatice de date cu caracter personal.” aprobat de conducerea Centrului 8 FSB Rusia 21.02.2008 Nr. 149/6/6-622 - Documentul nu a fost publicat oficial.
    3. Ordinul FSB nr. 378 din 10 iulie 2014 „Cu privire la aprobarea compoziției și conținutului măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal pe parcursul prelucrării acestora în sistemele informatice de date cu caracter personal folosind instrumente de protecție a informațiilor criptografice necesare îndeplinirii cerințelor de protecție stabilite. date cu caracter personal de către Guvernul Federației Ruse pentru fiecare nivel de securitate.” Înregistrat la Ministerul de Justiție al Rusiei la 18 august 2014.

    Documentul a fost adoptat atunci când documentele „vechile” FSTEC erau în vigoare („Cele Patru Cărți”, Ordinul 58, Hotărârea Guvernului 781) și a completat conținutul acestora. Este de remarcat faptul că documentul de reglementare în cauză nu a fost înregistrat la Ministerul Justiției, în prezent statutul său este neclar. Cel mai probabil, în legătură cu publicarea Ordinului 378, Recomandările metodologice și-au pierdut actualitatea. Cu toate acestea, vreau să discut pe scurt conținutul documentului, astfel încât să fie clar modul în care cerințele pentru sistemele de criptare s-au dezvoltat istoric.

    Cerințele documentului de mai sus (precum și alte reglementări în domeniul protecției criptografice a datelor cu caracter personal) nu se aplică în următoarele cazuri:

    • Prelucrarea datelor cu caracter personal fără utilizarea instrumentelor de automatizare;
    • Lucrul cu date personale care constituie secret de stat;
    • Utilizarea echipamentelor tehnice situate în afara Federației Ruse.

    Documentul spune că, în cazul utilizării mijloacelor de protecție criptografică, este necesar să se elaboreze un model de amenințare în conformitate cu cerințele atât ale FSTEC, cât și ale FSB (cu rare excepții). Operatorii pot crea ei înșiși modele de amenințări și intrus, doar dacă este necesar, implicând licențiații FSB. Toate amenințările din document sunt împărțite în atacuri și amenințări care nu sunt atacuri; sunt date exemple de amenințări comune. Puteți utiliza Metodologia ca referință atunci când scrieți un model pentru cerințe noi.

    Model de amenințare nivel superior determină caracteristicile de securitate ale datelor cu caracter personal și ale altor obiecte protejate. Modelul detaliat de amenințare identifică condițiile necesare pentru protecția criptografică.

    Modelul de amenințare este influențat de diverși factori: condiții de creare și utilizare a datelor cu caracter personal, forme de prezentare a datelor cu caracter personal, caracteristici de securitate etc.

    Pe lângă caracteristicile obișnuite: integritatea, confidențialitatea și disponibilitatea, nerepudierea, contabilitatea, autenticitatea și adecvarea se mai disting.

    Exemplu de model de amenințare de nivel superior:

    1. Amenințare la adresa confidențialității datelor cu caracter personal.
    2. Amenințare la adresa integrității datelor cu caracter personal.
    3. Amenințare la adresa disponibilității datelor cu caracter personal.

    Documentul este dedicat nu numai problemelor formării unui model de amenințare, ci și caracteristicilor elaborării unui model adecvat al intrusului. Toate încălcările din Recomandările metodologice sunt împărțite în două clase: încălcări directe și indirecte ale securității datelor cu caracter personal (amenințări care creează condiții pentru apariția amenințărilor directe). Există 6 tipuri principale de încălcări: H1, H2, H3, H4, H5, H6. Cu cât numărul este mai mare, cu atât mai multe oportunități; violatorul fiecărui tip ulterior moștenește capacitățile celui precedent. Operatorul determină în mod independent nivelul de pregătire al contravenienților, instrumentele disponibile pentru aceștia și face o presupunere despre coluziune. Documentul indică principalele caracteristici ale fiecărui tip de infractor. Au fost definite și 6 niveluri de protecție criptografică: KC1, KC2, KC3, KB1, KB2, KA1 și 6 clase de criptomonede cu nume similare; nimic nu s-a schimbat în acest sens până în prezent. ISPD sunt, de asemenea, împărțite în 6 clase, în funcție de categoria cea mai înaltă a infractorului. AK1 - dacă cea mai înaltă categorie a infractorului este H1, AK2 - dacă H2, AK3 - dacă H3, AK4 - dacă H4, AK5 - dacă H5, AK6 - dacă H6. Mijloacele de protecție criptografică sunt distribuite corespunzător: AK1 - KS1, AK2 - KS2, AK3 - KS3, AK4 - KB1, AK5 - KB2, AK6 - KA1.

    Cerințe tipice

    Cerințele standard au fost redactate în aceeași perioadă cu Recomandările metodologice; nu au fost înregistrate la Ministerul Justiției; astăzi statutul lor este neclar. În opinia mea, documentul conține informații utile pentru studiu. Responsabilitățile utilizatorilor de fonduri cripto sunt descrise în detaliu, iar regulile de bază pentru acestea sunt subliniate:

    • prevenirea copierii informațiilor cheie;
    • nu divulgați informații despre chei;
    • nu scrie pe mass-media cheie informații străine etc.

    Sunt descrise procesul de distrugere a unei chei, cerințele de bază pentru spații și sunt prezentate forme standard de jurnal. Pe baza informațiilor conținute în document, puteți construi câteva instrucțiuni utile.

    Ordinul 378

    Întreaga comunitate profesională aștepta lansarea Ordinului 378, iar acum, în sfârșit, a intrat în vigoare. Astăzi, acesta este principalul document în domeniul protecției criptografice a datelor cu caracter personal, iar efectul său se aplică tuturor sistemelor informaționale care folosesc ca protecție sistemele de securitate criptografică a informațiilor. Ordinul definește cerințe nu numai pentru protecția criptografică, ci și pentru regimul de securitate pentru spații, procedura de stocare a mediilor de stocare și alte măsuri organizatorice în funcție de nivelul de securitate al sistemului. Se precizează separat că operatorul ar trebui să utilizeze sisteme de securitate a informațiilor care au trecut evaluarea conformității și sunt certificate conform cerințelor de siguranță. Măsurile de protecție sunt descrise în detaliu și includ cerințe pentru echipamentul localului (încuietori, dispozitive de etanșare, bare la ferestre etc.). Spre deosebire de prevederile Recomandărilor Metodologice, Ordinul 378 stabilește clasa CIPF în raport cu nivelul de securitate și tipul actual de amenințări. Capacitățile atacatorului sunt luate în considerare doar la determinarea clasei CIPF pentru nivelul de securitate 4.

    Tabelul 1. Clasa CIPF

    Dependența de nivelul de securitate și tipul de amenințări este destul de evidentă și, după cum vedem, operatorul poate alege aproape întotdeauna o clasă CIPF din mai multe opțiuni.

    Documentul are o logică clară de prezentare - este suficient să cunoașteți nivelul de securitate al sistemului dvs. - cerințele pentru ISPD pentru fiecare nivel sunt prezentate în secțiuni separate. Este de remarcat faptul că cerințele sunt moștenite de la mai multe niveluri scăzute la cele superioare, ISPD-ul nivelului 1 de securitate trebuie să îndeplinească cerințele pentru ISPD-ul nivelului 2, 3 și 4. În opinia mea, înțelegerea cerințelor noului Ordin nu va fi dificilă nici măcar pentru un specialist începător.

    Desigur, într-un articol scurt este imposibil să determinați toate nuanțele protecției criptografice a datelor cu caracter personal și este necesar să faceți acest lucru? Aici am analizat principalele puncte, am înțeles logica documentelor, restul sunt detalii pe care le poți studia singur. Și în partea a cincea, vor fi luate în considerare aspecte nu mai puțin importante: determinarea cerințelor pentru sistemul de protecție a datelor cu caracter personal și alegerea măsurilor de protecție.

    În conformitate cu partea 5 a articolului 8 din Legea federală din 6 aprilie 2011 N 63-FZ „Cu privire la semnatura electronica" 1 eu comand aproba:

    Cerințe pentru mijloacele de semnătură electronică (Anexa nr. 1);
    Cerințe pentru mijloacele centrului de certificare (Anexa nr. 2).

    Director A. Bortnikov

    1 Colecția de legislație a Federației Ruse, 2011, nr. 15, art. 2036; N 27, art. 3880.

    Cerințe pentru instrumentele de semnătură electronică

    eu. Dispoziții generale

    3) Tasta ES - o secvență unică de caractere menită să creeze un ES;

    4) Cheie de verificare ES - o secvență unică de caractere asociată în mod unic cu cheia ES și destinată să verifice autenticitatea ES (denumită în continuare verificare ES);

    5) Instrumente ES - instrumente de criptare (criptografice) utilizate pentru implementarea a cel puțin una dintre următoarele funcții - crearea ES, verificarea ES, crearea unei chei ES și a unei chei de verificare ES;

    6) Certificatul cheii de verificare ES - document electronic sau un document pe hârtie emis de CA sau de un reprezentant autorizat al CA și care confirmă că cheia de verificare a semnăturii electronice aparține proprietarului certificatului cheii de verificare a semnăturii digitale.

    3. Aceste Cerințe stabilesc structura și conținutul cerințelor pentru mijloacele electronice.

    4. Aceste Cerințe sunt destinate clienților și dezvoltatorilor de instrumente de semnătură electronică dezvoltate (actualizate) în interacțiunea lor între ele, cu organizații care efectuează studii criptografice, de inginerie-criptografie și studii speciale ale instrumentelor de semnătură electronică, FSB al Rusiei, care confirmă conformitatea cu instrumente de semnătură electronică cu aceste cerințe.

    5. Aceste cerințe se aplică dispozitivelor electronice digitale destinate utilizării pe teritoriul Federației Ruse, în instituțiile Federației Ruse din străinătate și în divizii separate situate în străinătate entitati legale, format în conformitate cu legislația Federației Ruse.

    6. Mijloacele electronice în ceea ce privește dezvoltarea, producerea, vânzarea și exploatarea lor sunt supuse cerințelor prevăzute în Regulamentul privind dezvoltarea, producerea, vânzarea și exploatarea mijloacelor de securitate a informațiilor de criptare (criptografie) (Dispoziție PKZ-2005), aprobat prin ordinul FSB al Rusiei din 9 februarie 2005 nr. 66 1 (modificat prin ordinul FSB al Rusiei din 12 aprilie 2010 nr. 173 2) pentru mijloace de criptare (criptografice) de protecție a informațiilor cu acces limitat care nu nu contine informatii care constituie secret de stat.

    7. Cerințele pentru tehnologiile de creare (generare) și verificare a semnăturilor electronice cu ajutorul instrumentelor de semnătură electronică sunt specificate în tactica termeni de referinta sau o specificație tehnică pentru realizarea lucrărilor de dezvoltare sau o componentă a lucrării de dezvoltare pentru dezvoltarea (modernizarea) unui mijloc electronic (denumite în continuare specificațiile tehnice pentru dezvoltarea (modernizarea) unui mijloc electronic).


    II. Cerințe pentru mijloace electronice

    8. La crearea unei semnături digitale, instrumentele de semnătură digitală trebuie:

    Arată persoanei care semnează documentul electronic conținutul informațiilor pe care o semnează3;
    - crearea unei semnături electronice numai după confirmarea de către persoana care semnează documentul electronic a operațiunii de creare a unui document electronic3;
    - să arate clar că semnătura electronică a fost creată 3.

    9. La verificarea unei semnături electronice, mijloacele electronice trebuie:

    Afișează conținutul unui document electronic semnat prin semnătură electronică 3;
    - afișarea informațiilor despre efectuarea modificărilor documentului electronic semnat 3;
    - indicați persoana care utilizează a cărei cheie de semnătură digitală au fost semnate documentele electronice 3.

    10. Cerințele paragrafelor 8 și 9 din prezentele cerințe nu se aplică instrumentelor de semnătură electronică utilizate pentru crearea automată și (sau) verificare automată ES în sistemul informaţional.
    11. Instrumentele ES trebuie să contracareze amenințările care reprezintă acțiuni vizate folosind hardware și (sau) softwareîn scopul încălcării securității informațiilor protejate printr-un mijloc electronic sau în scopul creării de condiții în acest sens (denumit în continuare atac).

    12. În funcție de capacitatea de a rezista la atacuri, mijloacele electronice se împart în clasele 4.
    13. Instrumentele ES din clasa KS1 rezistă atacurilor, la crearea metodelor, pregătirea și efectuarea cărora sunt utilizate următoarele capacități:
    13.1. Implementarea independentă a creării metodelor de atac, pregătirea și efectuarea atacurilor.
    13.2. Acțiuni în diferite etape ciclu de viață EP înseamnă 5.
    13.3. Efectuarea unui atac numai din afara spațiului în care sunt monitorizate șederea și acțiunile persoanelor și (sau) vehiculelor (denumită în continuare zona controlată 6).

    13.4. Efectuarea următoarelor atacuri în etapele de dezvoltare, producție, depozitare, transport de echipamente electronice și etapa de punere în funcțiune a echipamentelor electronice (lucrare de punere în funcțiune):

    Efectuarea de modificări neautorizate la instrumentul de semnătură digitală și (sau) la componentele SF, inclusiv utilizarea de programe rău intenționate;
    - efectuarea de modificări neautorizate în documentația pentru mijloacele electronice și componentele SF.

    13.5. Efectuarea de atacuri asupra următoarelor obiecte:

    Documentatia pentru mijloacele electronice si pentru componentele SF;

    - informații despre cheie, autentificare și parolă ale instrumentului de semnătură electronică;
    - Instrumentul ES și componentele sale software și hardware;
    - hardware inclus în SF, inclusiv microcircuite cu un microcod BIOS înregistrat care inițializează aceste mijloace (denumite în continuare componentele hardware ale SF);
    - componente software SF;

    - incinte în care există un set de software și elemente tehnice ale sistemelor de prelucrare a datelor care pot funcționa independent sau ca parte a altor sisteme (denumite în continuare SVT), pe care sunt implementate unelte electrice electronice și digitale;
    - alte obiecte de atac, care, dacă este cazul, sunt indicate în caietul de sarcini pentru dezvoltarea (modernizarea) mijloacelor electronice, ținând cont de cele utilizate în sistemul informațional; tehnologia Informatiei, hardware (în continuare - AS) și software(denumit în continuare software).

    13.6. Obținerea următoarelor informații:

    Informații generale despre sistemul informațional în care este utilizat instrumentul de semnătură electronică (scop, compoziție, operator, obiecte în care se află resursele sistemului informațional);
    - informatii despre tehnologiile informatice, baze de date, AS, software-ul utilizat in sistemul informatic impreuna cu instrumentul de semnatura electronica;
    - informatii despre masurile fizice de protectie a obiectelor in care se afla dispozitivele electronice;
    - informatii privind masurile de asigurare a zonei controlate a obiectelor sistemului informatic in care este utilizat instrumentul de semnatura electronica;
    - informare privind măsurile de limitare a accesului în incinta în care se află echipamentul, unde sunt implementate mijloace electronice și SF;
    - conținutul documentației disponibile gratuit pentru componentele hardware și software ale instrumentului ES și SF;
    - informatii generale despre informatiile protejate utilizate in timpul functionarii mijloacelor electronice;

    - informatii despre liniile de comunicatie prin care se transmit informatii protejate prin mijloace electronice;
    - informații despre toate încălcările regulilor de funcționare ale echipamentelor ES și SF care apar pe canalele de comunicare care nu sunt protejate de accesul neautorizat la informații prin măsuri organizatorice și tehnice;
    - informații despre toate defecțiunile și defecțiunile componentelor hardware ale mijloacelor ES și SF care apar pe canalele de comunicare care nu sunt protejate de accesul neautorizat la informații prin măsuri organizatorice și tehnice;
    - informațiile obținute în urma analizării oricăror semnale de la componentele hardware ale ES și SF înseamnă că un intrus poate intercepta.

    13.7. Utilizare:

    AS și software care se află în domeniul public sau sunt utilizate în afara zonei controlate, inclusiv componente hardware și software ale instrumentelor ES și SF;

    13.8. Utilizarea ca mediu de transfer de la subiect la obiect (de la obiect la subiect) a acțiunilor de atac efectuate în timpul pregătirii și (sau) conducerii unui atac (denumit în continuare canal de atac):

    Canale de comunicare neprotejate împotriva accesului neautorizat la informații prin măsuri organizatorice și tehnice (atât în ​​afara zonei controlate, cât și în interiorul acesteia), prin care se transmit informații protejate prin mijloace electronice;
    - canale de propagare a semnalelor care însoțesc funcționarea mijloacelor electronice și SF.

    13.9. Efectuarea unui atac din rețelele de informații și telecomunicații, accesul la care nu se limitează la un anumit cerc de persoane.

    13.10. Utilizarea AS și a software-ului din instrumentele sistemului informatic utilizate la locurile operaționale ale echipamentelor electronice (denumite în continuare instrumente standard) și situate în afara zonei controlate.

    14. Mijloacele electronice din clasa KS2 rezistă atacurilor, la crearea metodelor, pregătirea și desfășurarea acestora, se utilizează capabilitățile enumerate în subclauzele 13.1 - 13.10 din prezentele cerințe și următoarele capacități suplimentare:

    14.1. Efectuarea unui atac în timp ce vă aflați atât în ​​afara, cât și în interiorul zonei controlate.

    14.2. Utilizare fonduri regulate, limitată de măsurile implementate în sistemul informațional în care sunt utilizate mijloacele electronice, și care vizează prevenirea și suprimarea acțiunilor neautorizate.

    15. Mijloacele electronice din clasa KS3 rezistă atacurilor, atunci când se creează metode, se pregătesc și se realizează, capabilitățile enumerate în subclauzele 13.1 - 13.10, 14.1, 14.2 din prezentele cerințe și următoarele capacități suplimentare sunt utilizate:

    15.1. Acces la SVT, pe care sunt implementate instrumentele ES și SF.

    15.2. Capacitatea de a avea componente hardware ale unui instrument ES și SF într-o cantitate dependentă de măsurile care vizează prevenirea și suprimarea acțiunilor neautorizate implementate în sistemul informațional în care este utilizat instrumentul ES.

    16. Mijloacele electronice din clasa KV1 rezistă la atacuri, la crearea de metode, pregătirea și efectuarea care utilizează capabilitățile enumerate în subclauzele 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2 din aceste cerințe și următoarele capacități suplimentare:

    16.1. Crearea metodelor de atac, pregătirea și desfășurarea atacurilor cu implicarea specialiștilor cu experiență în dezvoltarea și analiza mijloacelor electronice, inclusiv specialiști în domeniul analizei semnalelor care însoțesc funcționarea mijloacelor electronice și SF.

    16.2. Efectuarea de studii de laborator a mijloacelor de semnătură electronică utilizate în afara zonei controlate, în măsura în care sunt în funcție de măsurile care vizează prevenirea și suprimarea acțiunilor neautorizate implementate în sistemul informațional în care este utilizat mijlocul de semnătură electronică.

    17. Mijloacele electronice din clasa KV2 rezistă la atacuri, la crearea de metode, pregătirea și efectuarea care utilizează capacitățile enumerate în subclauzele 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2 din aceste cerințe și următoarele capacități suplimentare:

    17.1. Crearea metodelor de atac, pregătirea și desfășurarea atacurilor cu implicarea specialiștilor cu experiență în dezvoltarea și analiza mijloacelor electronice, inclusiv specialiști în domeniul utilizării capabilităților aplicației software care nu sunt descrise în documentația software aplicației pentru implementarea atacurilor.

    17.2. Organizarea lucrărilor de creare a metodelor și mijloacelor de atac în centre de cercetare specializate în dezvoltarea și analiza mijloacelor electronice și SF.

    17.3. Posibilitatea de a avea codurile sursă ale aplicației software incluse în SF.

    18. Mijloacele electronice din clasa KA1 rezistă la atacuri, la crearea metodelor, pregătirea și desfășurarea care utilizează capabilitățile enumerate la subclauzele 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2, 17.1 - 17.1 și următoarele cerințe3. capacitati suplimentare:

    18.1. Crearea metodelor de atac, pregătirea și efectuarea atacurilor cu implicarea specialiștilor cu experiență în dezvoltarea și analiza mijloacelor electronice, inclusiv specialiști în domeniul utilizării capabilităților software de sistem care nu sunt descrise în documentația software de sistem pentru implementarea atacurilor.

    18.2. Abilitatea de a avea toată documentația pentru componentele hardware și software ale SF.

    18.3. Posibilitatea de a avea toate componentele hardware ale instrumentelor ES și SF.

    19. Dacă instrumentul ES implementează funcția de verificare a ES al unui document electronic utilizând un certificat de cheie de verificare ES, această implementare ar trebui să excludă posibilitatea verificării ES al unui document electronic fără a verifica ES în certificatul cheii de verificare ES sau fără prezența unui rezultat pozitiv al verificării ES în certificatul cheii de verificare ES.

    20. Atunci când se dezvoltă instrumente ES, trebuie utilizați algoritmi criptografici aprobați ca standarde de stat sau care au o concluzie pozitivă din partea FSB al Rusiei pe baza rezultatelor cercetării lor criptografice experte 7 .

    21. Protecția criptografică prin inginerie a unei semnături electronice trebuie să excludă evenimentele care conduc la posibilitatea efectuării atacuri de succesîn condiții de posibile defecțiuni sau defecțiuni ale componentei hardware a instrumentului ES sau componentei hardware a SVT pe care este implementat instrumentul software ES.

    22. Instrumentul de semnătură electronică trebuie să implementeze doar algoritmii de funcționare a instrumentului de semnătură digitală specificați în caietul de sarcini pentru dezvoltarea (modernizarea) instrumentului de semnătură electronică.

    23. Componenta software a instrumentului de semnătură electronică (dacă există o componentă software a instrumentului de semnătură digitală) trebuie să îndeplinească următoarele cerințe:

    Codul obiect (boot) al componentei software a instrumentului de semnătură electronică trebuie să corespundă textului sursă al acestuia;
    - într-o componentă software, instrumentele de semnătură electronică ar trebui utilizate atunci când se implementează doar funcțiile mediului software în care funcționează instrumentul de semnătură digitală descrise în documentație;
    - în codul sursă al componentei software a instrumentului de semnătură electronică nu trebuie să existe capacități care să permită modificarea sau denaturarea algoritmului de funcționare a instrumentului de semnătură electronică în timpul utilizării acestuia, modificarea sau denaturarea informațiilor sau a fluxurilor și proceselor asociate cu funcționarea instrumentului de semnătură digitală și permițând infractorilor să obțină acces la datele stocate în formă deschisă cheie, informații de identificare și (sau) de autentificare ale semnăturii electronice;
    - valorile parametrilor de intrare și interni, precum și valorile setărilor componentei software a instrumentului electronic nu ar trebui să afecteze negativ funcționarea acestuia.

    24. În cazul planificării amplasării dispozitivelor electronice digitale în încăperi în care există acustică de vorbire și informatii vizuale, care conțin informații care constituie secret de stat și (sau) AS instalate și sistemele de primire, transmitere, prelucrare, stocare și afișare a informațiilor care conțin informații care constituie secret de stat, AS fabricate în străinătate, incluse în mijloacele de semnătură electronică, trebuie să facă obiectul inspecțiilor. pentru a identifica dispozitivele concepute pentru a obține în secret informații.

    În cazul planificării amplasării dispozitivelor electronice în spații în care nu există informații vocale, acustice și vizuale care conțin informații care constituie secret de stat și nu există difuzoare și sisteme de recepție, transmitere, procesare, stocare și afișare a informațiilor care conțin informații constitutive de stat. secret sunt instalate:

    Decizia de a efectua inspecții ale AS de fabricație străină, care fac parte din echipamentele electronice din clasele KS1, KS2, KS3, KV1 și KV2, este luată de organizația care asigură funcționarea acestor echipamente electronice;
    - inspecțiile difuzoarelor de fabricație străină care fac parte din echipamentele electronice din clasa KA1 sunt efectuate fără greșeală.

    25. Instrumentul de semnătură electronică trebuie să autentifice subiecții de acces (persoane, procese) la acest instrument, în timp ce:

    La accesarea unui instrument de semnătură electronică, autentificarea subiectului de acces trebuie efectuată înainte de începerea execuției primului modul funcțional al instrumentului de semnătură electronică;
    - mecanismele de autentificare ar trebui să blocheze accesul acestor subiecți la funcțiile instrumentului de semnătură electronică dacă rezultatul autentificării este negativ.

    26. Instrumentul de semnătură electronică trebuie să autentifice persoanele care au acces local la instrumentul de semnătură digitală.

    27. Necesitatea unui instrument de semnătură electronică pentru autentificarea proceselor care realizează acces local sau de la distanță (de rețea) la un instrument de semnătură electronică este indicată în termenii de referință pentru dezvoltarea (modernizarea) unui instrument de semnătură electronică.

    28. Pentru orice mecanism de autentificare inclus în instrumentul de semnătură electronică, trebuie implementat un mecanism care să limiteze numărul de încercări consecutive ulterioare de autentificare a unui subiect de acces, al căror număr nu trebuie să depășească 10. Dacă numărul de încercări consecutive ulterioare de autentificare un subiect de acces depășește valoarea limită stabilită, accesul acestui subiect la facilitate Semnătura electronică trebuie blocată pentru perioada de timp specificată în caietul de sarcini pentru dezvoltarea (modernizarea) dispozitivului electronic digital.

    29. Instrumentul ES trebuie să implementeze un mecanism (procedură) pentru monitorizarea integrității instrumentului ES și SF.

    Controlul integrității poate fi efectuat:

    La începutul lucrului cu mijloacele electronice, înainte de trecerea SVT, în care este implementat mijloacele electronice, să conditii de lucru(de exemplu, înainte de încărcare sistem de operare SVT);
    - în timpul controalelor de rutină ale echipamentelor electronice din câmpul de operare (control de rutină);
    - în regim automat în timpul funcționării dispozitivului electronic de control (control dinamic).

    Controlul integrității ar trebui efectuat la începutul lucrului cu mijloace electronice.

    Mecanismul de control al integrității reglementărilor ar trebui să facă parte din instrumentele de semnătură electronică.

    30. Pentru instrumentele ES din clasele KS1 și KS2, necesitatea prezentării cerințelor pentru controlul accesului și ștergerea memoriei, precum și conținutul acestora, sunt indicate în termenii de referință pentru dezvoltarea (modernizarea) unui instrument ES.

    31. Echipamentele electrice din clasele KS3, KV1, KV2 și KA1 sau SF trebuie să includă componente care asigură:

    Controlul accesului subiecților la diferite componente și (sau) funcții țintă ale instrumentului de semnătură electronică și SF pe baza parametrilor specificați de administratorul sau producătorul instrumentului de semnătură electronică (cerințele pentru componenta specificată sunt determinate și justificate de organizația care efectuează cercetările) privind instrumentul de semnătură digitală pentru a evalua conformitatea instrumentului de semnătură digitală cu aceste Cerințe);
    - curățarea operațională și memorie externa, folosit de mijloacele electronice pentru a stoca informații protejate, la eliberarea (redistribuirea) memoriei prin scrierea informațiilor de mascare (secvență aleatorie sau pseudo-aleatorie de caractere) în memorie.

    32. Mijloacele electronice din clasele KV2 și KA1 sau SF trebuie să includă componente care să asigure ștergerea de urgență a informațiilor protejate acces limitat. Cerințele pentru implementarea și fiabilitatea ștergerii sunt specificate în termenii de referință pentru dezvoltarea (modernizarea) unui instrument de semnătură electronică.

    33. Pentru mijloacele electronice din clasele KS1 și KS2, necesitatea prezentării cerințelor pentru înregistrarea evenimentelor și conținutul acestora sunt indicate în caietul de sarcini pentru dezvoltarea (modernizarea) mijloacelor electronice.

    34. Componența mijloacelor electronice din clasele KSZ, KV1, KV2 și KA1 trebuie să includă un modul care să înregistreze în jurnalul electronic evenimentele în mijloacele electronice și SF legate de îndeplinirea funcțiilor sale țintă prin mijloacele electronice.

    Cerințele pentru modulul specificat și lista evenimentelor înregistrate sunt determinate și justificate de către organizația care efectuează cercetări asupra mijloacelor electronice pentru a evalua conformitatea mijloacelor electronice cu aceste Cerințe.

    35. Jurnalul de evenimente ar trebui să fie accesibil numai persoanelor de un anumit operator sistemul informatic în care este utilizat instrumentul de semnătură electronică sau persoanele autorizate de acesta. În acest caz, accesul la jurnalul de evenimente ar trebui să fie efectuat numai pentru a vizualiza înregistrările și pentru a muta conținutul jurnalului de evenimente pe medii de arhivă.

    36. Perioada de valabilitate a cheii de verificare a semnăturii electronice nu trebuie să depășească perioada de valabilitate a cheii de semnătură electronică cu mai mult de 15 ani.

    37. Cerințele pentru mecanismul de monitorizare a perioadei de utilizare a cheii de semnătură electronică, care blochează funcționarea instrumentului de semnătură electronică în cazul încercării de a utiliza cheia mai mult decât perioada specificată, sunt determinate de dezvoltatorul de instrumentul de semnătură electronică și justificat de organizația care efectuează cercetări asupra instrumentului de semnătură electronică pentru a evalua conformitatea instrumentului de semnătură electronică cu aceste Cerințe.

    38. Protocoalele criptografice care furnizează operațiunilor cu informații cheie ale instrumentului de semnătură electronică trebuie implementate direct în instrumentul de semnătură electronică.

    39. Cercetarea mijloacelor electronice în vederea evaluării conformității mijloacelor electronice cu aceste cerințe ar trebui efectuată folosind valorile numerice ale parametrilor și caracteristicilor mecanismelor de protecție și componentelor hardware și software ale SF 8 dezvoltate în domeniul electronic. mijloace.

    1 Înregistrată de Ministerul Justiției al Rusiei la 3 martie 2005, numărul de înregistrare 6382.

    3 Este implementat, printre altele, folosind hardware și software, împreună cu care mijloacele electronice funcționează normal și care pot influența îndeplinirea cerințelor pentru mijloace electronice, care împreună reprezintă mediul de operare al mijloacelor electronice (denumite în continuare SF). .
    4 Clasa necesară a instrumentului ES care este dezvoltat (actualizat) este determinată de clientul (dezvoltatorul) instrumentului ES prin determinarea capacităților de a crea metode de atac, de a pregăti și de a efectua atacuri pe baza paragrafelor 13 - 18 din aceste cerințe și este indicat în T3 pentru dezvoltarea (upgrade-ul) instrumentului ES.
    5 Etapele ciclului de viață al unui mijloc electronic includ dezvoltarea (modernizarea) acestor mijloace, producția, depozitarea, transportul, punerea în funcțiune (punerea în funcțiune) și exploatarea acestora.
    6 Limita zonei controlate poate fi: perimetrul teritoriului protejat al întreprinderii (instituției), structurile de împrejmuire ale clădirii protejate, partea protejată a clădirii, spațiile alocate.
    7 Subclauza 25 din clauza 9 din Regulamentul privind Serviciul Federal de Securitate al Federației Ruse, aprobat prin Decretul președintelui Federației Ruse din 11 august 2003 nr. 960 (Legislația colectată a Federației Ruse, 2003, nr. 33) , Art. 3254; 2004, Nr. 28, Art. 2883; 2005, Nr. 36, Art. 3665; Nr. 49, Art. 5200; 2006, Nr. 25, Art. 2699; Nr. 31 (Partea I), Art. 3463 2007, nr. 1 (Partea I), articolul 205; nr. 49, art. 6133; nr. 53, art. 6554; 2008, nr. 36, art. 4087; nr. 43, art. 4921; nr. 47, Art. 5431; 2010, Nr. 17, Art. 2054; Nr. 20, Art. 2435; 2011, Nr. 2, Art. 267; Nr. 9, Articolul 1222) (denumite în continuare Regulamentele privind FSB ale Rusia).
    8 Subclauza 47 din clauza 9 din Regulamentul privind FSB al Rusiei.

    Anexa nr. 2

    Cerințe pentru instalațiile centrului de certificare

    I. Dispoziţii generale

    1. Aceste cerințe au fost elaborate în conformitate cu Legea federală nr. 63-FZ din 6 aprilie 2011 „Cu privire la semnăturile electronice” (denumită în continuare Legea federală).

    2. Aceste cerințe folosesc următoarele concepte de bază definite la articolul 2 din Legea federală:

    1) semnătură electronică (în continuare - ES) - informație în formă electronică care este atașată altor informații în formă electronică (informații semnate) sau care este asociată în alt mod cu astfel de informații și care este utilizată pentru identificarea persoanei care semnează informația;

    3) Instrumente ES - instrumente de criptare (criptografice) utilizate pentru implementarea a cel puțin una dintre următoarele funcții - crearea ES, verificarea ES, crearea unei chei ES și a unei chei de verificare ES;

    4) Tasta ES - o secvență unică de caractere menită să creeze un ES;

    5) cheie de verificare ES - o secvență unică de caractere asociată în mod unic cu cheia ES și destinată să verifice autenticitatea ES (denumită în continuare verificare ES);

    6) Certificatul cheii de verificare ES - un document electronic sau un document pe hârtie emis de CA sau de un reprezentant autorizat al CA și care confirmă că cheia de verificare ES aparține proprietarului certificatului cheii de verificare ES;

    7) certificat calificat al unei chei de verificare a semnăturii electronice (denumit în continuare certificatul calificat) - un certificat al unei chei de verificare a semnăturii electronice emis de o CA acreditată sau de un reprezentant autorizat al unei CA acreditate sau organism federal putere executivă autorizată în domeniul utilizării semnăturilor digitale (denumită în continuare organism federal autorizat);

    8) proprietarul certificatului cheii de verificare ES - persoana căreia i-a fost eliberat certificatul cheii de verificare ES în conformitate cu procedura stabilită de Legea federală;

    9) acreditarea unei CA - recunoașterea de către un organism federal autorizat a conformității CA cu cerințele Legii Federale;

    10) Instrumente CA - hardware și (sau) software utilizate pentru implementarea funcțiilor CA;

    11) participanți la interacțiunea electronică - organisme de stat, organisme guvernamentale locale, organizații, precum și cetățeni care fac schimb de informații în formă electronică.

    3. Aceste Cerințe stabilesc structura și conținutul cerințelor pentru instalațiile CA.

    4. Aceste Cerințe sunt destinate clienților și dezvoltatorilor de instrumente CA care sunt dezvoltate (actualizate) în interacțiunea lor între ei, cu organizații care efectuează studii criptografice, de inginerie-criptografie și studii speciale ale instrumentelor CA, FSB din Rusia, care confirmă conformitatea cu instrumente CA cu aceste cerințe.

    5. Aceste cerințe se aplică instalațiilor CA destinate utilizării pe teritoriul Federației Ruse.

    6. Instrumentele CA în ceea ce privește dezvoltarea, producerea, implementarea și funcționarea lor sunt supuse cerințelor prevăzute în Regulamentul privind dezvoltarea, producerea, implementarea și funcționarea mijloacelor de securitate a informațiilor de criptare (criptografie) (Dispoziție PKZ-2005), aprobat prin ordinul FSB al Rusiei din 9 februarie 2005 nr. 66 1 (modificat prin ordinul FSB al Rusiei din 12 aprilie 2010 nr. 173 2), pentru mijloace de criptare (criptografice) de protecție a informațiilor (denumite în continuare ca CIPF) cu acces limitat care nu contine informatii care constituie secret de stat.

    II. Cerințe pentru instalațiile CA

    7. Instrumentele CA trebuie să reziste amenințărilor care reprezintă acțiuni țintite folosind hardware și (sau) software cu scopul de a încălca securitatea inginerească, tehnică și criptografică a instrumentelor CA sau cu scopul de a crea condiții pentru aceasta (denumit în continuare atac) .

    8. În funcție de capacitatea de a rezista atacurilor, instrumentele CA sunt împărțite în clasele 3.

    9. Instrumentele CA din clasa KS1 rezistă atacurilor, la crearea metodelor, pregătirea și realizarea cărora sunt utilizate următoarele capacități:

    9.1. Pregătirea și desfășurarea atacurilor din afara spațiului în care sunt monitorizate șederea și acțiunile persoanelor și (sau) vehiculelor (denumită în continuare zona controlată).
    9.2. Pregătirea și efectuarea atacurilor fără a utiliza accesul la funcţionalitate software și hardware pentru interacțiunea cu CA.

    9.3. Implementarea independentă a creării metodelor de atac, pregătirea și efectuarea atacurilor asupra următoarelor obiecte:

    Documentatie pentru fondurile CA;
    - documente electronice protejate;
    - informații despre cheie, autentificare și parolă;
    - instrumente CA, componentele software și hardware ale acestora;
    - datele transmise prin canale de comunicare;
    - incinta in care se afla hardware-ul (denumit in continuare AS), pe care sunt implementate instrumentele CA, precum si alte resurse protejate ale sistemului informatic.

    9.4. Introducere în etapele de dezvoltare, producție, depozitare, transport și punere în funcțiune a instalațiilor CA:

    Funcționalitate negativă în instrumentele CA, inclusiv utilizarea de malware;
    - modificări neautorizate ale documentației pentru fondurile CA.

    9.5. Obținerea următoarelor informații:

    Informații generale despre sistemul informațional în care sunt utilizate instrumentele CA (scop, compoziție, obiecte în care se află resursele sistemului informațional);
    - informații despre tehnologiile informaționale, baze de date, AS, software (denumit în continuare software) utilizat în sistemul informațional împreună cu instrumentele CA;
    - informatii despre masurile fizice de protectie a obiectelor in care se afla facilitatile CA;
    - informații privind măsurile de asigurare a protecției zonei controlate a obiectelor sistemului informațional în care sunt utilizate instrumentele CA;
    - informare privind măsurile de limitare a accesului la incinta în care se află instalațiile CA;
    - conținutul documentației tehnice liber accesibile pentru fondurile CA;
    - informatii despre informatiile protejate utilizate in timpul functionarii facilitatilor CA (tipuri de informatii protejate: informatii de serviciu, informatii despre parola si autentificare, informatii de configurare, informatii de management, informatii din jurnalele electronice; Informații generale despre conținutul fiecărui tip de informații protejate; caracteristici de securitate pentru fiecare tip de informații protejate);
    - toate datele posibile transmise în formă clară prin canale de comunicare care nu sunt protejate împotriva accesului neautorizat (în continuare - DNS) la informații prin măsuri organizatorice și tehnice;
    - informatii despre liniile de comunicatie prin care se transmit informatiile protejate prin mijloace CA;
    - informații despre toate încălcările regulilor de exploatare a instalațiilor CA care apar pe canalele de comunicare care nu sunt protejate de accesul neautorizat la informații prin măsuri organizatorice și tehnice;
    - informații despre toate defecțiunile și defecțiunile instalațiilor CA care apar pe canalele de comunicare care nu sunt protejate de accesul neautorizat la informații prin măsuri organizatorice și tehnice;
    - informațiile obținute ca urmare a analizei oricăror semnale disponibile pentru interceptare de la componentele hardware ale instalațiilor CA.

    9.6. Utilizare:

    Sisteme și software care se află în domeniul public sau în afara zonei controlate, inclusiv componente software și hardware ale instrumentelor CA;
    - difuzoare și software special dezvoltate.

    9.7. Utilizarea ca canale de atac a canalelor de comunicare care nu sunt protejate de accesul neautorizat la informații prin măsuri organizatorice și tehnice (atât în ​​afara zonei controlate, cât și în interiorul acesteia), prin care se transmit informațiile prelucrate prin mijloace CA.

    10. Instrumentele CA din clasa KS2 rezistă atacurilor, la crearea metodelor, pregătirea și efectuarea cărora sunt utilizate următoarele capacități:

    10.1. Capacitățile enumerate în subclauzele 9.3 - 9.7 din aceste Cerințe.

    10.2. Pregătirea și executarea atacurilor dintr-o zonă controlată.

    10.3. Pregătirea și efectuarea atacurilor fără a utiliza accesul la sistemele pe care sunt implementate instrumentele CA.

    10.4. Utilizarea instrumentelor standard ale sistemului informatic care utilizează instrumente CA.

    11. Instrumentele CA din clasa KSZ rezistă atacurilor, la crearea metodelor, pregătirea și realizarea cărora sunt utilizate următoarele capacități:

    11.1. Capacitățile enumerate în subclauzele 10.1, 10.4 din aceste Cerințe.

    11.2. Pregătirea și efectuarea atacurilor din afara zonei controlate folosind accesul la funcționalitatea hardware și software pentru interacțiunea cu CA pe baza deținerii legale a informațiilor de autentificare sau pregătirea și efectuarea atacurilor din zona controlată folosind accesul la AS pe care componentele CA sunt implementate, cu drepturi ale unei persoane care nu este membru al grupului indivizii, autorizat să instaleze, să configureze și să opereze instrumente CA, să configureze profilul și parametrii jurnalului de audit (funcții administrator de sistem), arhivare, copiere de rezervă și restaurare a informațiilor după defecțiuni (funcții operator), creare și revocare a certificatelor pentru cheile de verificare a semnăturii electronice (funcții de administrator de certificare ), vizualizarea și menținerea jurnalului de audit (funcții de administrator de audit) (denumit în continuare grupul de administratori de unități CA) al oricărei componente CA.

    11.3. Detinerea AS CA in cuantum in functie de masurile implementate care vizeaza prevenirea si suprimarea actiunilor neautorizate.

    12. Instrumentele CA clasa KV1 rezistă atacurilor care utilizează următoarele capacități la crearea metodelor, pregătirea și efectuarea acestora:

    12.1. Capacitățile enumerate în subclauzele 11.1 - 11.3 din aceste Cerințe.

    12.2. Implementarea creării de metode și pregătirea atacurilor cu implicarea specialiștilor cu experiență în dezvoltarea și analiza CIPF al CA (inclusiv specialiști în domeniul analizei semnalelor de transmisie liniară și a semnalelor laterale). radiatie electromagneticași sfaturi de la CIPF UC).

    12.3. Efectuarea de studii de laborator a instrumentelor CA utilizate în afara zonei controlate într-o măsură în funcție de măsurile implementate care vizează prevenirea și suprimarea acțiunilor neautorizate.

    13. Instrumentele CA clasa KV2 rezistă la atacuri, la crearea metodelor, pregătirea și efectuarea acestora, se folosesc următoarele capacități:

    13.1. Capacitățile enumerate în subclauzele 12.1 - 12.3 din aceste Cerințe.

    13.2. Crearea de metode și pregătirea atacurilor cu implicarea specialiștilor în domeniul utilizării capacităților nedeclarate ale aplicației și software-ului de sistem pentru implementarea atacurilor.

    13.3. Organizarea lucrărilor de creare a metodelor și mijloacelor de atac în centrele de cercetare specializate în dezvoltarea și analiza instrumentelor CA.

    13.4. Deținerea codurilor sursă ale aplicațiilor software utilizate în sistemul informațional în care sunt utilizate instrumentele CA și documentație accesibilă gratuit.

    14. Instrumentele CA din clasa KA1 rezistă atacurilor, la crearea metodelor, pregătirea și realizarea cărora sunt utilizate următoarele capacități:

    14.1. Capacitățile enumerate în subclauzele 13.1 - 13.4 din aceste Cerințe.

    14.2. Crearea de metode și pregătirea atacurilor cu implicarea centrelor de cercetare specializate în dezvoltarea și analiza CIPF și în utilizarea capacităților nedeclarate ale aplicației și software-ului de sistem pentru implementarea atacurilor.

    14.3. Deținerea întregii documentații pentru componentele hardware și software ale instrumentelor CA.

    14.4. Deținerea tuturor componentelor hardware ale CA.

    15. Instalațiile CA trebuie să fie operate în conformitate cu documentația operațională pentru instalațiile CA. Un set de măsuri organizatorice și tehnice pentru a asigura funcționarea în siguranță a instalațiilor CA trebuie specificat în documentația operațională pentru instalațiile CA.

    16. Clasa instrumentelor de semnătură digitală utilizate în facilitățile CA nu trebuie să fie mai mică decât clasa corespunzătoare de fonduri CA. Clasa mijloacelor electronice utilizate în instalațiile CA trebuie să fie indicată în documentația operațională pentru instalațiile CA.

    Clasa de CIPF utilizată în instrumentele CA nu trebuie să fie mai mică decât clasa corespunzătoare de instrumente CA. Clasa de CIPF utilizată în instalațiile CA trebuie să fie indicată în documentația operațională pentru instalațiile CA.

    17. Fiecare cerință impusă facilităților CA din orice clasă, cu excepția KA1, fie este prezentată facilităților CA din clasa următoare fără modificări (în acest caz nu este indicată în lista de cerințe pentru facilitățile CA din următoarea clasă), fie este înăsprită (în acest caz, în lista de cerințe pentru mijloacele din următoarea clasă de CA sunt date o formulare mai strictă). Cerințele pentru instrumentele CA din clasa următoare pot conține cerințe suplimentare care nu sunt incluse în cerințele pentru instrumentele CA din clasa anterioară.

    18. Cerințe software pentru instrumentele CA:

    18.1. Cerințe pentru instalațiile din clasa CA KS1:

    Software-ul instrumentelor CA nu trebuie să conțină instrumente care să permită modificarea sau distorsionarea algoritmului de funcționare a instrumentelor software și CA AS.

    18.2. Cerințe pentru instalațiile din clasa CA KS2:

    Software-ul de aplicație al CA și instrumentele CIPF utilizate în CA trebuie să utilizeze numai funcții documentate ale software-ului de sistem.

    18.3. Cerințe pentru instalațiile din clasa CA KS3:

    Software-ul de sistem și aplicație al instrumentelor CA trebuie să asigure delimitarea accesului pentru administratorul de sistem al instrumentelor CA, administratorul de certificare pentru instrumentele CA și persoanele furnizate administrator de sistem facilități CA cu informații de identificare și autentificare și cei care nu sunt administratori de certificare a facilităților CA (denumite în continuare utilizatori ai facilităților CA), la informațiile procesate de facilitățile CA, pe baza regulilor de control al accesului specificate de administratorul de sistem al facilităților CA;
    - software-ul de sistem și aplicație al instrumentelor CA trebuie să respecte nivelul 4 de control al absenței capacităților nedeclarate;
    - software-ul de sistem și aplicație al instrumentelor CA nu trebuie să conțină vulnerabilități cunoscute publicate în surse disponibile publicului;
    - sistemul și (sau) aplicația software a instrumentelor CA trebuie să includă un mecanism care să asigure curățarea memoriei RAM și a memoriei externe utilizate pentru stocarea informațiilor cu acces restricționat.

    18.4. Cerințele pentru instalațiile CA din clasa KV1 coincid cu cerințele pentru instalațiile CA din clasa KS3.

    18.5. Cerințe pentru instalațiile din clasa CA KV2:

    Codurile sursă ale sistemului și software-ul de aplicație al instrumentelor CA trebuie testate pentru implementarea metodelor și metodelor de protecție a informațiilor care rezista la atacuri, pentru pregătirea și implementarea cărora se folosesc capabilitățile enumerate la paragrafele 9 - 13 din prezentele Cerințe. ;
    - textele sursă sistemul și aplicația software trebuie testate pentru absența capacităților nedeclarate;
    - software-ul de sistem și aplicație trebuie să fie rezistent la atacurile computerizate din rețelele externe.

    18.6. Cerințe pentru instalațiile din clasa CA KA1:

    Codurile sursă ale sistemului și software-ul de aplicație al instrumentelor CA trebuie să fie supuse verificării oficiale a implementării în acestea a metodelor și tehnicilor de protecție a informațiilor care rezista la atacuri, pentru pregătirea și implementarea cărora sunt disponibile capabilitățile enumerate la paragrafele 9 - 14 din prezentele Sunt utilizate cerințe, precum și absența capacităților nedeclarate în ele.

    19. Cerințe pentru AS CA:

    19.1. În cazul planificării amplasării AS TC în spații în care există informații vocale, acustice și vizuale care conțin informații care constituie secrete de stat și (sau) mijloace și sisteme tehnice de primire, transmitere, prelucrare, stocare și afișare a informațiilor care conțin informații constitutive secretele de stat sunt instalate secret, echipamentele tehnice de fabricație străină incluse în instalațiile CA trebuie supuse unor inspecții pentru identificarea dispozitivelor destinate obținerii de informații în secret, precum și studii de conformitate cu cerințele de protecție împotriva scurgerilor de informații prin canalele electromagnetice false. radiații și interferențe în conformitate cu categoria de spații alocate.

    19.2. Cerințe pentru instalațiile din clasa CA KS1:

    Conformitatea implementării funcțiilor țintă ale CA este verificată pe baza sistemului de testare AS CA.

    19.3. Cerințele pentru instalațiile CA din clasele KS2, KS3, KB1, KB2 coincid cu cerințele pentru instalațiile CA din clasa KS1.

    19.4. Cerințe pentru instalațiile din clasa CA KA1:

    Efectuarea unei inspecții speciale a echipamentelor tehnice de fabricație străină care fac parte din CA AS în vederea identificării dispozitivelor destinate obținerii în secret de informații;
    - efectuarea unei verificări complete a AS (împreună cu analiza codului programului BIOS) pe care sunt implementate instrumentele CA, pentru a elimina funcționalitatea negativă.

    20. Cerințe pentru diferențierea rolurilor:

    20.1. Pentru a asigura performanța funcțiilor CA, instrumentele CA trebuie să suporte diferențierea rolurilor între membrii grupului de administratori CA tools.

    20.2. Cerințe pentru instalațiile din clasa CA KS1:

    Trebuie definită o listă de roluri și repartizarea responsabilităților între roluri;
    - lista rolurilor si repartizarea responsabilitatilor intre roluri trebuie sa fie indicate in documentatia operationala pentru facilitatile CA.

    20.3. Cerințele pentru instalațiile CA din clasa KS2 coincid cu cerințele pentru instalațiile CA din clasa KS1.

    20.4. Cerințe pentru instalațiile din clasa CA KS3:

    Instrumentele CA trebuie să accepte următoarele roluri obligatorii:

    1) un administrator de sistem cu principalele responsabilități de instalare, configurare și susținere a funcționării instrumentelor CA, crearea și menținerea profilurilor pentru membrii grupului de administratori CA tools, configurarea profilului și parametrii jurnalului de audit;

    2) administrator de certificare cu responsabilități principale: crearea și anularea certificatelor de cheie de verificare a semnăturii electronice;

    Instrumentele CA trebuie să implementeze un mecanism care exclude posibilitatea de a autoriza un membru al grupului de administratori CA Tools să îndeplinească diferite roluri.

    20.5. Cerințe pentru facilitățile CA clasa KB1:

    Facilitățile CA ar trebui să ofere un rol de operator obligatoriu cu responsabilități principale pentru backup și recuperare.

    20.6. Cerințele pentru instalațiile CA din clasa KB2 coincid cu cerințele pentru instalațiile CA din clasa KB1.

    20.7. Cerințe pentru instalațiile din clasa CA KA1:

    Instrumentele CA trebuie să ofere un rol obligatoriu de administrator de audit cu principalele responsabilități: vizualizarea și menținerea jurnalului de audit;
    - administratorul de sistem nu ar trebui să poată face modificări în jurnalul de audit.

    21. Cerințe pentru integritatea fondurilor CA:

    21.1. Instrumentele CA trebuie să conțină un mecanism pentru controlul distorsiunii accidentale și (sau) intenționate neautorizate (modificare, modificare) și (sau) distrugere a informațiilor, software-ului și CA AS (denumit în continuare mecanism de control al integrității).

    21.2. Cerințe pentru instalațiile din clasa CA KS1:

    Cerințele pentru mecanismul de monitorizare a integrității trebuie specificate în termenii de referință pentru dezvoltarea (modernizarea) instrumentelor CA;
    - perioada de monitorizare a integrității software-ului și AS-ului CA trebuie să fie determinată și indicată în documentația operațională pentru instalațiile CA;
    - monitorizarea integrității software-ului și AS-ului CA trebuie efectuată de fiecare dată când sistemul de operare (denumit în continuare OS) este repornit;
    - trebuie să existe mijloace de restabilire a integrității fondurilor CA.

    21.3. Cerințele pentru instalațiile CA din clasa KS2 coincid cu cerințele pentru instalațiile CA din clasa KS1.

    21.4. Cerințe pentru instalațiile din clasa CA KS3:
    - controlul integritatii trebuie efectuat cel putin o data pe zi.

    21.5. Cerințe pentru facilitățile CA clasa KB1:
    - controlul integrității trebuie efectuat înainte de a încărca sistemul de operare al instrumentelor CA.

    21.6. Cerințele pentru instalațiile CA din clasa KB2 coincid cu cerințele pentru instalațiile CA din clasa KB1.

    21.7. Cerințe pentru instalațiile din clasa CA KA1:
    - controlul integrității trebuie efectuat în mod dinamic în timpul funcționării instalațiilor CA.

    22. Cerințe pentru controlul accesului:

    22.1. Facilitățile CA trebuie să asigure controlul accesului.

    22.2. Cerințe pentru instalațiile din clasa CA KS1:
    - cerințele pentru controlul accesului trebuie să fie determinate și specificate în termenii de referință pentru dezvoltarea (modernizarea) instrumentelor CA.

    22.3. Cerințele pentru instalațiile CA din clasa KS2 coincid cu cerințele pentru instalațiile CA din clasa KS1.

    22.4. Cerințe pentru instalațiile din clasa CA KS3:
    - CA trebuie să asigure principiul discreționar al controlului accesului.

    22.5. Cerințele pentru instalațiile CA din clasa KV1 coincid cu cerințele pentru instalațiile CA din clasa KS3.

    22.6. Cerințe pentru instalațiile din clasa CA KV2:
    - trebuie asigurată crearea unui mediu de lucru închis de 4 facilități CA.

    22.7. Cerințe pentru instalațiile din clasa CA KA1:
    - CA trebuie să asigure principiul obligatoriu al controlului accesului; Pentru a introduce cheia ES a administratorului de certificare, sunt necesare cel puțin două persoane autorizate 5.

    23. Cerințe pentru identificare și autentificare:

    23.1. Identificarea și autentificarea includ recunoașterea unui utilizator CA, un membru al unui grup de administratori CA sau un proces și verificarea autenticității acestora. Mecanismul de autentificare trebuie să blocheze accesul acestor subiecți la funcțiile CA dacă rezultatul autentificării este negativ.

    23.2. În instrumentele CA, pentru orice procedură de autentificare implementată, trebuie aplicat un mecanism care să limiteze numărul de încercări consecutive ulterioare de autentificare a unui subiect de acces, al căror număr nu trebuie să fie mai mare de trei. În cazul în care numărul de încercări consecutive de autentificare a unui subiect de acces depășește valoarea limită stabilită, accesul acestui subiect de acces la instalațiile CA trebuie blocat pentru o perioadă de timp specificată în termenii de referință pentru dezvoltarea (modernizarea) instalațiilor CA.

    23.3. Cerințe pentru instalațiile din clasa CA KS1:

    O descriere a procedurii de înregistrare a utilizatorilor instalațiilor CA (introducerea datelor în registrul utilizatorilor instalațiilor CA) trebuie să fie conținută în documentația operațională pentru instalațiile CA;
    - autentificarea trebuie efectuată pentru toate persoanele care accesează facilitățile CA. În acest caz, este permis să se limiteze la utilizarea doar a unei parole simbolice cu schimbare periodică pentru autentificare de cel puțin 8 caractere cu o capacitate alfabetică de cel puțin 36 de caractere. Perioada de schimbare a parolei nu trebuie să depășească 6 luni.

    23.4. Cerințe pentru instalațiile din clasa CA KS2:

    Necesitatea ca utilizatorul să prezinte fonduri CA la înregistrarea documentelor de identificare trebuie reflectată în documentația operațională pentru fondurile CA;
    - toți utilizatorii facilităților CA au voie să utilizeze mecanisme de autentificare la distanță. Caracteristici speciale mecanismele de autentificare la distanță trebuie confirmate ca parte a verificării conformității instrumentelor CA și a obiectelor informaționale care utilizează aceste instrumente cu aceste Cerințe;
    - la implementare acces local la instrumentele CA, autentificarea membrilor grupului de administratori de instrumente CA trebuie efectuată înainte ca aceste instrumente CA să intre în starea operațională (de exemplu, înainte de încărcarea sistemului de operare de bază).

    23.5. Cerințe pentru instalațiile din clasa CA KS3:

    Instrumentele CA trebuie să implementeze un mecanism de autentificare pentru utilizatorii locali care au acces la instrumentele CA, dar nu sunt membri ai grupului de administratori CA Tools.

    23.6. Cerințe pentru facilitățile CA clasa KB1:

    La implementare acces de la distanță Nu este permisă utilizarea doar a unei parole simbolice pentru facilitățile CA; trebuie utilizate mecanisme de autentificare bazate pe protocoale criptografice.

    23.7. Cerințele pentru instalațiile CA din clasa KB2 coincid cu cerințele pentru instalațiile CA din clasa KB1.

    23.8. Cerințe pentru instalațiile din clasa CA KA1:

    În instrumentele CA, pentru orice mecanism de autentificare implementat, trebuie să fie posibil să se stabilească numărul maxim admis de încercări consecutive de autentificare a unui subiect de acces și să se stabilească timpul pentru blocarea accesului la instrumentele CA la locurile de operare a acestora.

    24. Cerințe pentru protecția datelor introduse (exportate) către (de la) CA:

    24.1. Instrumentele CA trebuie să asigure introducerea de încredere a unui certificat de cheie de verificare a semnăturii electronice autosemnat.

    24.2. Cerințe pentru instalațiile din clasa CA KS1:

    Facilitățile CA trebuie să asigure transferul de date care conțin informații cu acces restricționat care intră în CA și sunt exportate din CA într-un mod protejat împotriva accesului neautorizat;
    - Instrumentele CA trebuie să implementeze o procedură de protecție împotriva impunerii de mesaje false 6;
    - cerințele pentru procedura de protecție împotriva impunerii de mesaje false sunt indicate în caietul de sarcini pentru dezvoltarea (modernizarea) instrumentelor CA.

    24.3. Cerințe pentru instalațiile din clasa CA KS2:

    Instrumentele CA trebuie să asigure protecția cererii inițiale pentru un certificat de cheie de verificare ES;
    - Instrumentele CA trebuie să accepte informații critice pentru funcționarea CA numai dacă sunt semnate printr-o semnătură electronică.

    24.4. Cerințe pentru instalațiile din clasa CA KS3:

    Instrumentele CA trebuie să implementeze un mecanism de protecție împotriva impunerii de mesaje false bazate pe utilizarea mijloacelor electronice care au primit confirmarea conformității cu cerințele pentru mijloace electronice.

    24.5. Cerințe pentru facilitățile CA clasa KB1:

    Instrumentele CA trebuie să implementeze un mecanism de protecție a datelor atunci când le transferă între componente separate fizic pe baza utilizării CIPF.

    24.6. Cerințele pentru instalațiile CA din clasele KB2 și KA1 coincid cu cerințele pentru instalațiile CA din clasa KB1.

    25. Cerințe pentru înregistrarea la eveniment:

    25.1. Sistemul de operare de bază al instrumentelor CA trebuie să suporte menținerea unui jurnal de audit al evenimentelor de sistem.

    25.2. Cerințe pentru instalațiile din clasa CA KS1:

    Instrumentele CA trebuie să implementeze un mecanism care să înregistreze selectiv evenimentele în jurnalul de audit legate de îndeplinirea funcțiilor CA;
    - lista evenimentelor înregistrate trebuie să fie cuprinsă în documentația operațională pentru instalațiile CA.

    25.3. Cerințele pentru instalațiile CA din clasa KS2 coincid cu cerințele pentru instalațiile CA din clasa KS1.

    25.4. Cerințe pentru instalațiile din clasa CA KS3:

    Trebuie luate măsuri pentru a detecta modificările neautorizate ale jurnalului de audit de către utilizatorii instrumentelor CA care nu sunt membri ai grupului Administratori CA Tools.

    25.5. Cerințele pentru instalațiile CA din clasa KV1 coincid cu cerințele pentru instalațiile CA din clasa KS3.

    25.6. Cerințe pentru instalațiile din clasa CA KV2:

    Trebuie să existe măsuri pentru a detecta modificări neautorizate ale fiecărei intrări din jurnalul de audit.

    25.7. Cerințe pentru instalațiile din clasa CA KA1:

    Jurnalul de audit ar trebui să fie accesibil numai administratorului de audit, care poate doar vizualiza, copia și curatare completa. După curățare, prima înregistrare din jurnalul de audit ar trebui să înregistreze automat faptul curățării, indicând data, ora și informațiile despre persoana care a efectuat operația.

    26. Cerințe privind fiabilitatea și stabilitatea funcționării instalațiilor CA:

    26.1. Cerințele privind fiabilitatea și stabilitatea funcționării instrumentelor CA trebuie să fie determinate și specificate în termenii de referință pentru dezvoltarea (modernizarea) instrumentelor CA.

    26.2. Cerințe pentru instalațiile din clasa CA KS1:

    Se calculează probabilitatea defecțiunilor și defecțiunilor CA AS, ceea ce duce la eșecul CA de a-și îndeplini funcțiile.

    26.3. Cerințe pentru instalațiile din clasa CA KS2:

    Trebuie efectuată testarea stabilității funcționării instrumentelor CA.

    26.4. Cerințe pentru instalațiile din clasa CA KS3:

    Cerințele privind timpul de recuperare a instalațiilor CA după o defecțiune trebuie să fie determinate și specificate în termenii de referință pentru dezvoltarea (modernizarea) instalațiilor CA;

    Măsurile și mijloacele de creștere a fiabilității și sustenabilității funcționării fondurilor CA trebuie să conțină mecanisme de cotare a resurselor fondurilor CA.

    26.5. Cerințe pentru facilitățile CA clasa KB1:

    Probabilitatea apariției defecțiunilor și defecțiunilor CA AS, care conduc la neîndeplinirea funcțiilor de către CA, în timpul zilei nu trebuie să depășească probabilitatea similară pentru CIPF utilizat.

    26.6. Cerințele pentru instalațiile CA din clasele KB2 și KA1 coincid cu cerințele pentru instalațiile CA din clasa KB1.

    27. Cerințe de informații cheie:

    27.1. Procedura de creare, utilizare, stocare și distrugere a informațiilor cheie este determinată în conformitate cu cerințele documentației operaționale pentru instrumentele de semnătură digitală și alte CIPF utilizate de instrumentele CA.

    27.2. Perioada de valabilitate a cheii ES a instrumentului ES utilizat de instrumentele CA trebuie să respecte cerințele stabilite pentru instrumentele ES.

    27.3. Cerințe pentru instalațiile din clasa CA KS1:

    Nu este permisă copierea informațiilor din documentele cheie ( chei criptografice, inclusiv cheile de semnătură digitală) pe medii (de exemplu, HDD), care nu sunt mass-media cheie, fără criptarea sa preliminară (care trebuie realizată de funcția încorporată a CIPF utilizată). Copierea documentelor cheie trebuie efectuată numai în conformitate cu documentația operațională pentru CIPF utilizată;

    Cheile ES utilizate pentru a semna certificatele și listele cheilor de verificare ES numere unice certificate de chei de verificare a semnăturii electronice, a căror valabilitate este anumit moment CA a fost reziliată înainte de expirarea acestora (denumită în continuare lista certificatelor anulate), nu ar trebui să fie utilizată în alte scopuri;

    Perioadele de valabilitate ale tuturor cheilor trebuie să fie indicate în documentația operațională pentru instalațiile CA.

    27.4. Cerințele pentru instalațiile CA din clasele KS2 și KS3 coincid cu cerințele pentru instalațiile CA din clasa KS1.

    27.5. Cerințe pentru facilitățile CA clasa KB1:

    Trebuie luate măsuri organizatorice și tehnice pentru a exclude posibilitatea de a compromite cheia de semnătură electronică utilizată pentru semnarea certificatelor de cheie de verificare a semnăturii digitale și a listelor de certificate revocate atunci când informațiile cheie accesibile unei singure persoane sunt compromise.

    27.6. Cerințe pentru instalațiile din clasa CA KV2:

    Cheia ES utilizată pentru a semna certificatele cheii de verificare ES și listele de certificate revocate trebuie să fie generate, stocate, utilizate și distruse într-un instrument ES. Este permisă utilizarea numai a mijloacelor electronice care au primit confirmarea conformității cu cerințele pentru mijloace electronice în conformitate cu Legea federală;
    - trebuie luate măsuri organizatorice și tehnice pentru a exclude posibilitatea de a compromite cheia de semnătură electronică utilizată pentru semnarea certificatelor de cheie de verificare a semnăturii digitale și a listelor de certificate revocate atunci când informațiile cheie accesibile pentru două persoane sunt compromise.

    27.7. Cerințe pentru instalațiile din clasa CA KA1:

    Trebuie luate măsuri organizatorice și tehnice pentru a exclude posibilitatea compromiterii cheii de semnătură electronică utilizată pentru semnarea certificatelor de cheie de verificare a semnăturii digitale și a listelor de certificate revocate atunci când informațiile cheie accesibile pentru trei persoane sunt compromise.

    28. Cerințe pentru backup și restabilirea funcționalității instalațiilor CA:

    28.1. Instrumentele CA trebuie să implementeze funcții de backup și recuperare în caz de deteriorare a AS și (sau) informațiilor procesate de instrumentele CA. În timpul copiei de rezervă, ar trebui exclusă posibilitatea de a copia chei criptografice.

    28.2. Cerințe pentru instalațiile din clasa CA KS1:

    Datele salvate când backup, trebuie să fie suficient pentru a restabili funcționarea instalațiilor CA la starea înregistrată la momentul copierii.

    28.3. Cerințele pentru instalațiile CA din clasele KS2 și KS3 coincid cu cerințele pentru instalațiile CA din clasa KS1.

    28.4. Cerințe pentru facilitățile CA clasa KB1:

    Trebuie luate măsuri pentru detectarea modificărilor neautorizate ale datelor stocate;
    - cerințele pentru timpul de recuperare trebuie să fie determinate și specificate în caietul de sarcini pentru dezvoltarea (modernizarea) instalațiilor CA și în documentația operațională pentru instalațiile CA.

    28.5. Cerințe pentru instalațiile din clasa CA KV2:

    Informațiile protejate stocate în timpul copiei de rezervă trebuie să fie stocate numai în formă criptată.

    28.6. Cerințele pentru instalațiile din clasa KA1 CA coincid cu cerințele pentru instalațiile din clasa KB2 CA.

    29. Cerințe pentru crearea și anularea certificatelor de cheie de verificare a semnăturii electronice:

    29.1. Protocoalele pentru crearea și revocarea certificatelor de cheie de verificare a semnăturii electronice trebuie descrise în documentația operațională pentru facilitățile CA.

    29.2. Certificatele de cheie de verificare a semnăturii electronice și listele de certificate revocate create de CA trebuie să respecte recomandările internaționale ITU-T X.509 7 (denumite în continuare recomandări X.509). Toate câmpurile și completările incluse în certificatul cheii de verificare a semnăturii electronice și lista certificatelor revocate trebuie completate în conformitate cu recomandările X.509. Atunci când se utilizează formate alternative pentru certificatele de cheie de verificare ES, cerințele pentru protocoalele de creare și revocare a certificatelor de cheie de verificare ES trebuie să fie determinate și specificate în termenii de referință pentru dezvoltarea (modernizarea) instrumentelor CA.

    29.3. Instrumentele CA trebuie să implementeze un protocol pentru revocarea unui certificat de cheie de verificare a semnăturii electronice folosind liste de certificate revocate.

    29.4. Este permisă implementarea protocoalelor de revocare fără a utiliza liste de certificate revocate, cerințele pentru care trebuie specificate în termenii de referință pentru dezvoltarea (modernizarea) instrumentelor CA.

    29.5. Cerințe pentru instalațiile din clasa CA KS1:

    Instrumentele CA trebuie să implementeze funcția de a produce un certificat de cheie de verificare a semnăturii digitale pe hârtie. Procedura de eliberare a unui certificat de cheie de verificare a semnăturii digitale pe hârtie, precum și procedura de monitorizare a conformității certificatului de cheie de verificare a semnăturii digitale în în format electronic iar pe hârtie trebuie să fie indicate în documentația operațională pentru instalațiile CA;

    În facilitățile CA, în raport cu proprietarul certificatului cheii de verificare ES, trebuie implementate mecanisme de verificare a unicității cheii de verificare ES și deținerea cheii ES corespunzătoare.

    29.6. Cerințele pentru instalațiile CA din clasa KS2 coincid cu cerințele pentru instalațiile CA din clasa KS1.

    29.7. Cerințe pentru instalațiile din clasa CA KS3:

    Eroarea în valorile de timp din certificatele de cheie de verificare a semnăturii electronice și listele de certificate revocate nu trebuie să depășească 10 minute.

    29.8. Cerințe pentru facilitățile CA clasa KB1:

    Eroarea în valorile de timp în certificatele de cheie de verificare a semnăturii electronice și listele de certificate revocate nu trebuie să depășească 5 minute.

    29.9. Cerințele pentru instalațiile CA din clasele KB2 și KA1 coincid cu cerințele pentru instalațiile CA din clasa KB 1.

    30. Cerințe pentru structura certificatului cheie de verificare a semnăturii electronice și lista certificatelor revocate:

    30.1. Cerințe pentru instalațiile din clasa CA KS1:

    Structurile acceptabile ale certificatului cheie de verificare a semnăturii electronice și lista certificatelor revocate trebuie să fie enumerate în documentația operațională pentru facilitățile CA;
    - Instrumentele CA trebuie să implementeze un mecanism de monitorizare a conformității certificatelor create de chei de verificare a semnăturii electronice și a listelor de certificate revocate cu structura dată;
    - în structura certificatului cheie de verificare ES trebuie să existe un câmp care să conțină informații despre clasa instrumentelor CA cu care a fost creat prezentul certificat cheie de verificare ES și un câmp care să conțină informații despre clasa mijloacelor ES a proprietarului Certificatul cheii de verificare ES.

    30.2. Cerințele pentru instalațiile CA din clasele KS2 și KS3 coincid cu cerințele pentru instalațiile CA din clasa KS1.

    30.3. Cerințe pentru instalațiile din clasa CA KV1:

    Instrumentele CA trebuie să implementeze un mecanism pentru ca administratorul de sistem să specifice un set de completări acceptabile la certificatul cheii de verificare a semnăturii electronice și o listă de certificate revocate.

    30.4. Cerințele pentru instalațiile CA din clasele KB2 și KA1 coincid cu cerințele pentru instalațiile CA din clasa KB1.

    31. Cerințe pentru registrul certificatelor de cheie de verificare a semnăturii electronice și asigurarea accesului la acesta:

    31.1. Cerințe pentru instalațiile din clasa CA KS1:

    Instrumentele CA trebuie să implementeze mecanisme pentru stocarea și căutarea tuturor certificatelor de cheie de verificare a semnăturii electronice create și a listelor de certificate revocate în registru, precum și acces la retea la registru.

    31.2. Cerințele pentru instalațiile CA din clasa KS2 coincid cu cerințele pentru instalațiile CA din clasa KS1.

    31.3. Cerințe pentru instalațiile din clasa CA KS3:

    Instrumentele CA trebuie să implementeze un mecanism de căutare a certificatelor de cheie de verificare a semnăturii electronice și a listelor de certificate revocate în registrul certificatelor de chei de verificare a semnăturii digitale după diferitele lor atribute;
    - toate modificările aduse registrului certificatelor cheie de verificare a semnăturii electronice trebuie înregistrate în jurnalul de audit.

    31.4. Cerințele pentru instalațiile CA din clasele KB1, KB2 și KA1 coincid cu cerințele pentru instalațiile CA din clasa KS3.
    32. Cerințe pentru verificarea semnăturii electronice în certificatul cheii de verificare a semnăturii electronice:

    32.1. Un mecanism de verificare a semnăturii în certificatul cheii de verificare a semnăturii electronice la cererea unui participant la interacțiunea electronică trebuie definit și indicat în documentația operațională pentru fondurile CA.

    32.2. Instrumentele CA trebuie să implementeze un mecanism de verificare a autenticității semnăturii electronice a CA în certificatele de cheie de verificare a semnăturii digitale pe care le emite.

    32.3. Semnătura electronică din certificatul cheii de verificare a semnăturii digitale este verificată în conformitate cu recomandările X.509, inclusiv verificarea obligatorie a tuturor completărilor critice.

    32.4. Dacă, pe baza specificului funcționării instrumentelor CA, este permisă utilizarea unor formate alternative pentru certificatul cheii de verificare a semnăturii digitale, trebuie definit și specificat un mecanism de verificare a semnăturii în certificatul cheii de verificare a semnăturii digitale. referință pentru dezvoltarea (modernizarea) instrumentelor CA.

    33. Pentru a limita posibilitatea de a construi canale de atac împotriva facilităților CA folosind canale de comunicație, trebuie utilizate instrumente firewall.

    34. Cerințe pentru protejarea fondurilor CA de virușii informaticiȘi atacuri informaticeși sunt indicate în termenii de referință pentru dezvoltarea (modernizarea) instrumentelor CA.

    35. Atunci când se conectează instalații CA la o rețea de informații și telecomunicații, accesul la care nu se limitează la un anumit cerc de persoane, aceste instalații trebuie să respecte cerințele pentru instalațiile CA din clasa KB2 sau KA1.

    36. Cercetarea mijloacelor CA pentru a confirma conformitatea mijloacelor CA cu aceste cerințe ar trebui efectuată folosind valori numerice ale parametrilor și caracteristicile mecanismelor de protecție implementate în mijloacele CA dezvoltate de FSB al Rusiei 8 .

    1 Înregistrată de Ministerul Justiției al Rusiei la 3 martie 2005, numărul de înregistrare 6382.
    2 Înregistrată de Ministerul Justiției al Rusiei la 25 mai 2010, numărul de înregistrare 17350.
    3 Clasa necesară de instrumente CA care sunt dezvoltate (actualizate) este determinată de clientul (dezvoltatorul) instrumentelor CA prin determinarea capacităților de a crea metode de atac, de a pregăti și de a efectua atacuri pe baza paragrafelor 9 - 14 din aceste cerințe și este indicată în specificații tactice și tehnice sau specificații tehnice pentru realizarea lucrărilor de proiectare experimentală sau parte integrantă a lucrărilor de proiectare experimentală pentru dezvoltarea (modernizarea) instrumentelor CA (denumite în continuare T3 pentru dezvoltarea (modernizarea) instrumentelor CA).
    4 Mediu software, care permite existența în el doar a unui set fix de subiecte (programe, procese).
    5 Persoane care sunt membri ai grupului de administratori de fonduri CA și care nu sunt cunoscute ca încalcători.
    6 Impunerea unui mesaj fals este o acțiune percepută de participanții la interacțiunea electronică sau mijloace CA ca transmiterea unui mesaj adevărat într-o manieră protejată de accesul neautorizat.
    7 Recomandarea ITU-T X.509. Tehnologia informației - Interconectarea sistemelor deschise - Directorul: Cadre de cheie publică și certificate de atribute. 2008. http://www.itu.int/rec/T-REC-X.509-200811-i.
    8 Subclauza 47 din clauza 9 din Regulamentul Serviciului Federal de Securitate al Federației Ruse, aprobat prin Decretul președintelui Federației Ruse din 11 august 2003 nr. 960 (Legislația colectată a Federației Ruse, 2003, nr. 33) , Art. 3254; 2004, Nr. 28, Art. 2883; 2005, Nr. 36, Art. 3665; Nr. 49, Art. 5200; 2006, Nr. 25, Art. 2699; Nr. 31 (Partea I), Art. 3463 2007, nr. 1 (Partea I), articolul 205; nr. 49, art. 6133; nr. 53, art. 6554; 2008, nr. 36, art. 4087; nr. 43, art. 4921; nr. 47, Art. 5431; 2010, Nr. 17, Art. 2054; Nr. 20, Art. 2435; 2011, Nr. 2, Art. 267; Nr. 9, Art. 1222).

    Instrumentele de protecție a informațiilor criptografice, sau pe scurt CIPF, sunt utilizate pentru a asigura o protecție completă a datelor transmise prin liniile de comunicație. Pentru a face acest lucru, este necesar să se asigure autorizarea și protecția semnăturii electronice, autentificarea părților care comunică folosind protocoalele TLS și IPSec, precum și protecția canalului de comunicație în sine, dacă este necesar.

    Prin urmare, în Rusia, utilizarea mijloacelor criptografice de securitate a informațiilor este în mare parte clasificată informații disponibile publicului sunt putine in legatura cu acest subiect.

    Metode utilizate în CIPF

    • Autorizarea datelor și asigurarea securității semnificației lor juridice în timpul transmiterii sau stocării. Pentru a face acest lucru, folosesc algoritmi pentru crearea unei semnături electronice și verificarea acesteia în conformitate cu reglementările stabilite RFC 4357 și folosesc certificate conform standardului X.509.
    • Protejarea confidențialității datelor și monitorizarea integrității acestora. Se utilizează criptarea asimetrică și protecția împotriva imitației, adică contracarând substituția de date. Respectat GOST R 34.12-2015.
    • Protecția software-ului de sistem și aplicație. Monitorizați modificările neautorizate sau funcționarea incorectă.
    • Gestionarea celor mai importante elemente ale sistemului în strictă conformitate cu reglementările adoptate.
    • Autentificarea părților care fac schimb de date.
    • Securizarea conexiunii folosind Protocolul TLS.
    • Protejarea conexiunilor IP folosind protocoalele IKE, ESP, AH.

    Metodele sunt descrise în detaliu în următoarele documente: RFC 4357, RFC 4490, RFC 4491.

    Mecanismele CIPF pentru protecția informațiilor

    1. Confidențialitatea informațiilor stocate sau transmise este protejată prin utilizarea algoritmilor de criptare.
    2. La stabilirea unei conexiuni, identificarea este furnizată prin intermediul unei semnături electronice atunci când este utilizată în timpul autentificării (așa cum este recomandat de X.509).
    3. Fluxul de documente digitale este, de asemenea, protejat de semnături electronice împreună cu protecție împotriva impunerii sau repetarii, în timp ce autenticitatea cheilor utilizate pentru verificarea semnăturilor electronice este monitorizată.
    4. Integritatea informațiilor este asigurată prin intermediul unei semnături digitale.
    5. Utilizarea funcțiilor de criptare asimetrică vă ajută să vă protejați datele. În plus, funcțiile hashing sau algoritmii de uzurpare a identității pot fi utilizați pentru a verifica integritatea datelor. Cu toate acestea, aceste metode nu acceptă determinarea dreptului de autor a unui document.
    6. Protecția împotriva repetării are loc utilizând funcțiile criptografice ale unei semnături electronice pentru protecția la criptare sau la imitație. În acest caz, este adăugat la fiecare sesiune de rețea identificator unic, suficient de lung pentru a preveni ca aceasta să fie o coincidență, iar verificarea de către partea care primește este implementată.
    7. Protecția împotriva impunerii, adică împotriva pătrunderii în comunicații din exterior, este asigurată prin intermediul semnăturii electronice.
    8. O altă protecție - împotriva marcajelor, virușilor, modificărilor sistemului de operare etc. - este asigurată folosind diverse mijloace criptografice, protocoale de securitate, software antivirus și măsuri organizatorice.

    După cum puteți vedea, algoritmii de semnătură electronică sunt o parte fundamentală a unui mijloc de protecție a informațiilor criptografice. Ele vor fi discutate mai jos.

    Cerințe pentru utilizarea CIPF

    CIPF are ca scop protejarea (prin verificarea unei semnături electronice) a datelor deschise din diverse sisteme informaționale de uz general și asigurarea confidențialității acestora (prin verificarea unei semnături electronice, imitarea protecției, criptare, verificare hash) în rețelele corporative.

    Un instrument de protecție a informațiilor criptografice personale este utilizat pentru a proteja datele personale ale utilizatorului. Cu toate acestea, un accent deosebit trebuie pus pe informațiile legate de secretele de stat. Conform legii, CIPF nu poate fi folosit pentru a lucra cu el.

    Important: înainte de a instala CIPF, primul lucru pe care ar trebui să-l verificați este pachetul software CIPF în sine. Acesta este primul pas. De obicei, integritatea pachetului de instalare este verificată prin comparare sume de control primit de la producator.

    După instalare, ar trebui să determinați nivelul de amenințare, pe baza căruia puteți determina tipurile de CIPF necesare pentru utilizare: software, hardware și hardware-software. De asemenea, trebuie avut în vedere faptul că la organizarea unor CIPF este necesar să se țină cont de amplasarea sistemului.

    Clase de protectie

    Conform ordinului FSB al Rusiei din 10 iulie 2014, numărul 378, care reglementează utilizarea mijloacelor criptografice de protecție a informațiilor și a datelor cu caracter personal, sunt definite șase clase: KS1, KS2, KS3, KB1, KB2, KA1. Clasa de protecție pentru un anumit sistem este determinată dintr-o analiză a datelor despre modelul intrusului, adică dintr-o evaluare moduri posibile piratarea sistemului. Protecția în acest caz este construită din protecția informațiilor criptografice software și hardware.

    AC (amenințările curente), după cum se poate observa din tabel, sunt de 3 tipuri:

    1. Amenințările de primul tip sunt asociate cu capabilități nedocumentate în software-ul de sistem utilizat în sistemul informațional.
    2. Amenințările de al doilea tip sunt asociate cu capabilități nedocumentate în aplicația software utilizată în sistemul informațional.
    3. Al treilea tip de amenințare se referă la toate celelalte.

    Caracteristicile nedocumentate sunt funcții și caracteristici ale software-ului care nu sunt descrise în documentația oficială sau nu corespund acesteia. Adică, utilizarea lor poate crește riscul încălcării confidențialității sau integrității informațiilor.

    Pentru claritate, să ne uităm la modelele de intruși a căror interceptare necesită una sau alta clasă de mijloace de securitate a informațiilor criptografice:

    • KS1 - intrusul acționează din exterior, fără asistenți în interiorul sistemului.
    • KS2 este un intrus intern, dar nu are acces la CIPF.
    • KS3 este un intrus intern care este utilizator al CIPF.
    • KV1 este un intrus care atrage resurse terțe, de exemplu, specialiști CIPF.
    • KV2 este un intrus, în spatele căruia se află un institut sau un laborator care lucrează în domeniul studierii și dezvoltării CIPF.
    • KA1 - servicii speciale ale statelor.

    Astfel, KS1 poate fi numit clasa de protecție de bază. În consecință, cu cât clasa de protecție este mai mare, cu atât sunt mai puțini specialiști capabili să o asigure. De exemplu, în Rusia, conform datelor pentru 2013, existau doar 6 organizații care aveau un certificat de la FSB și erau capabile să ofere protecție de clasă KA1.

    Algoritmi utilizați

    Să luăm în considerare principalii algoritmi utilizați în instrumentele de protecție a informațiilor criptografice:

    • GOST R 34.10-2001 și GOST R 34.10-2012 actualizat - algoritmi pentru crearea și verificarea unei semnături electronice.
    • GOST R 34.11-94 și cel mai recent GOST R 34.11-2012 - algoritmi pentru crearea de funcții hash.
    • GOST 28147-89 și mai mult GOST nou R 34.12-2015 - implementarea algoritmilor de criptare si protectie a datelor.
    • Algoritmi criptografici suplimentari se găsesc în RFC 4357.

    Semnatura electronica

    Utilizarea instrumentelor de securitate a informațiilor criptografice nu poate fi imaginată fără utilizarea algoritmilor de semnătură electronică, care câștigă o popularitate din ce în ce mai mare.

    O semnătură electronică este o parte specială a unui document creată prin transformări criptografice. Sarcina sa principală este identificarea modificărilor neautorizate și determinarea autorului.

    Un certificat de semnătură electronică este un document separat care dovedește autenticitatea și proprietatea unei semnături electronice proprietarului acesteia, folosind o cheie publică. Certificatele sunt emise de autoritățile de certificare.

    Deținătorul unui certificat de semnătură electronică este persoana în numele căreia este înregistrat certificatul. Este asociat cu două chei: publică și privată. Cheia privată vă permite să creați o semnătură electronică. Scopul unei chei publice este de a verifica autenticitatea unei semnături printr-o legătură criptografică către cheia privată.

    Tipuri de semnătură electronică

    Conform Legii federale nr. 63, semnăturile electronice sunt împărțite în 3 tipuri:

    • semnătură electronică obișnuită;
    • semnătură electronică necalificată;
    • semnătură electronică calificată.

    O semnătură electronică simplă este creată prin parole impuse la deschiderea și vizualizarea datelor, sau prin mijloace similare care confirmă indirect proprietarul.

    O semnătură electronică necalificată este creată folosind transformări de date criptografice folosind cheie privată. Datorită acestui fapt, puteți confirma persoana care a semnat documentul și puteți determina dacă au fost efectuate modificări neautorizate asupra datelor.

    Semnăturile calificate și necalificate diferă doar prin aceea că, în primul caz, certificatul pentru semnătură electronică trebuie eliberat de un centru de certificare certificat de FSB.

    Domeniul de utilizare a semnăturii electronice

    Tabelul de mai jos discută domeniul de aplicare al semnăturilor electronice.

    Tehnologiile de semnătură electronică sunt utilizate cel mai activ în schimbul de documente. În fluxul de documente intern, ES acționează ca o aprobare a documentelor, adică ca semnătura personală sau tipăriți. În cazul fluxului de documente externe, prezența unei semnături electronice este critică, deoarece este o confirmare legală. De asemenea, este de remarcat faptul că documentele semnate cu semnături electronice pot fi stocate pe termen nelimitat și nu își pierd semnificația legală din cauza unor factori precum semnături șterse, hârtie deteriorată etc.

    Raportarea către autoritățile de reglementare este un alt domeniu în care fluxul de documente electronice este în creștere. Multe companii și organizații au apreciat deja confortul de a lucra în acest format.

    Conform legii Federației Ruse, fiecare cetățean are dreptul de a utiliza o semnătură electronică atunci când folosește serviciile guvernamentale (de exemplu, semnarea aplicație electronică pentru autorități).

    Comerțul online este un alt domeniu interesant în care sunt utilizate în mod activ semnăturile electronice. Acesta confirmă faptul că o persoană reală participă la licitație și ofertele sale pot fi considerate de încredere. De asemenea, este important ca orice contract încheiat cu ajutorul unei semnături electronice să dobândească forță juridică.

    Algoritmi de semnătură electronică

    • Full Domain Hash (FDH) și standarde de criptare cu chei publice (PKCS). Acesta din urmă reprezintă un întreg grup de algoritmi standard pentru diverse situații.
    • DSA și ECDSA sunt standarde pentru crearea semnăturilor electronice în SUA.
    • GOST R 34.10-2012 - standard pentru crearea semnăturilor electronice în Federația Rusă. Acest standard a înlocuit GOST R 34.10-2001, care a expirat oficial după 31 decembrie 2017.
    • Uniunea Eurasiatică folosește standarde complet similare cu cele rusești.
    • STB 34.101.45-2013 - standard belarus pentru semnătură electronică digitală.
    • DSTU 4145-2002 - standard pentru crearea unei semnături electronice în Ucraina și multe altele.

    De asemenea, merită remarcat faptul că algoritmii pentru crearea semnăturilor electronice au scopuri și obiective diferite:

    • Semnătura electronică de grup.
    • De unică folosință semnatura digitala.
    • Semnătură electronică de încredere.
    • Semnătura calificată și necalificată etc.

    Cerințele de securitate a informațiilor la proiectarea sistemelor informaționale indică caracteristicile care caracterizează mijloacele de securitate a informațiilor utilizate. Ele sunt definite de diverse acte ale autorităților de reglementare în domeniul securității securitatea informatiei, în special - FSTEC și FSB al Rusiei. Ce clase de securitate există, tipurile și tipurile de echipamente de protecție, precum și unde să aflați mai multe despre acest lucru, sunt reflectate în articol.

    Introducere

    Astăzi, problemele de asigurare a securității informației fac obiectul unei atenții deosebite, deoarece tehnologiile implementate peste tot fără asigurarea securității informațiilor devin o sursă de noi probleme serioase.

    FSB-ul rus raportează despre gravitatea situației: valoarea pagubelor cauzate de atacatori de-a lungul mai multor ani în întreaga lume a variat între 300 de miliarde de dolari și 1 trilion de dolari. Potrivit informațiilor furnizate de Procurorul General al Federației Ruse, numai în prima jumătate a anului 2017 în Rusia numărul infracțiunilor în domeniul tehnologie avansata a crescut de șase ori, valoarea totală a pagubelor a depășit 18 milioane de dolari. O creștere a atacurilor țintite în sectorul industrial în 2017 a fost observată în întreaga lume. În special, în Rusia, creșterea numărului de atacuri față de 2016 a fost de 22%.

    Tehnologiile informaționale au început să fie folosite ca arme în scopuri militaro-politice, teroriste, pentru a se amesteca în treburile interne ale statelor suverane, precum și pentru a comite alte infracțiuni. Federația Rusă reprezintă crearea unui sistem internațional de securitate a informațiilor.

    Pe teritoriul Federației Ruse, deținătorii de informații și operatorii de sisteme informatice sunt obligați să blocheze încercările de acces neautorizat la informații, precum și să monitorizeze starea de securitate a infrastructurii IT în mod continuu. Totodată, protecția informațiilor este asigurată prin luarea diferitelor măsuri, inclusiv tehnice.

    Instrumentele de securitate a informațiilor, sau sistemele de protecție a informațiilor, asigură protecția informațiilor în sistemele informaționale, care sunt în esență o colecție de informații stocate în baze de date, tehnologii informaționale care asigură prelucrarea acestora și mijloace tehnice.

    Sistemele informatice moderne se caracterizează prin utilizarea diverselor platforme hardware și software, distribuția teritorială a componentelor, precum și interacțiunea cu rețele deschise transmiterea datelor.

    Cum să protejăm informațiile în astfel de condiții? Cerințele corespunzătoare sunt prezentate de organismele autorizate, în special, FSTEC și FSB din Rusia. În cadrul articolului, vom încerca să reflectăm principalele abordări ale clasificării sistemelor de securitate a informațiilor, ținând cont de cerințele acestor autorități de reglementare. Alte modalități de a descrie clasificarea securității informațiilor, reflectate în documentele de reglementare ale departamentelor ruse, precum și ale organizațiilor și agențiilor străine, depășesc domeniul de aplicare al acestui articol și nu sunt luate în considerare în continuare.

    Articolul poate fi util specialiștilor începători în domeniul securității informațiilor ca sursă de informații structurate privind metodele de clasificare a securității informațiilor bazate pe cerințele FSTEC din Rusia (într-o măsură mai mare) și, pe scurt, FSB din Rusia.

    Structura care determină procedura și coordonează furnizarea de securitate a informațiilor folosind metode necriptografice este FSTEC din Rusia (fostă Comisia Tehnică de Stat sub președintele Federației Ruse, Comisia Tehnică de Stat).

    Dacă cititorul a văzut vreodată Registrul de stat al instrumentelor de securitate a informațiilor certificate, care este format de FSTEC din Rusia, atunci cu siguranță a acordat atenție prezenței în partea descriptivă a scopului sistemului de protecție a informațiilor unor expresii precum „RD SVT clasa”, „nivel de absență a nerespectării datelor de neconformitate”, etc. (Figura 1) .

    Figura 1. Fragment din registrul dispozitivelor certificate de protecție a informațiilor

    Clasificarea instrumentelor de securitate a informațiilor criptografice

    FSB al Rusiei a definit clase de sisteme de protecție a informațiilor criptografice: KS1, KS2, KS3, KV și KA.

    Principalele caracteristici ale IPS din clasa KS1 includ capacitatea lor de a rezista atacurilor efectuate din afara zonei controlate. Aceasta implică faptul că crearea metodelor de atac, pregătirea și implementarea acestora se realizează fără participarea specialiștilor în domeniul dezvoltării și analizei securității informațiilor criptografice. Se presupune că informațiile despre sistemul în care sunt utilizate sistemele de securitate a informațiilor specificate pot fi obținute din surse deschise.

    Dacă un sistem de securitate a informațiilor criptografice poate rezista atacurilor blocate prin intermediul clasei KS1, precum și celor efectuate în zona controlată, atunci o astfel de securitate a informațiilor corespunde clasei KS2. Se presupune, de exemplu, că în timpul pregătirii unui atac ar putea deveni disponibile informații despre măsurile fizice de protecție a sistemelor informaționale, asigurarea unei zone controlate etc.

    Dacă este posibil să rezistați atacurilor dacă există acces fizic la echipamentul informatic cu informații de securitate criptografice instalate, se spune că un astfel de echipament respectă clasa KS3.

    Dacă securitatea informațiilor criptografice rezistă atacurilor, a căror creare a implicat specialiști în domeniul dezvoltării și analizei acestor instrumente, inclusiv a centrelor de cercetare, și a fost posibilă efectuarea unor studii de laborator ale mijloacelor de securitate, atunci vorbim despre conformitatea cu clasa HF .

    Dacă în dezvoltarea metodelor de atac au fost implicați specialiști în domeniul utilizării software-ului sistemului NDV, documentația de proiectare corespunzătoare a fost disponibilă și a existat acces la orice componente hardware ale sistemelor de securitate a informațiilor criptografice, atunci protecția împotriva unor astfel de atacuri poate fi asigurată prin intermediul clasa KA.

    Clasificarea mijloacelor de protecție a semnăturii electronice

    Instrumentele de semnătură electronică, în funcție de capacitatea lor de a rezista la atacuri, sunt de obicei comparate cu următoarele clase: KS1, KS2, KS3, KB1, KB2 și KA1. Această clasificare este similară cu cea discutată mai sus în legătură cu securitatea informațiilor criptografice.

    concluzii

    Articolul a examinat câteva metode de clasificare a securității informațiilor în Rusia, a căror bază este cadrul de reglementare al autorităților de reglementare în domeniul protecției informațiilor. Opțiunile de clasificare luate în considerare nu sunt exhaustive. Cu toate acestea, sperăm că informațiile rezumate prezentate vor permite unui specialist începător în domeniul securității informațiilor să navigheze rapid.