Skzi ks1 un ks2 atšķirība. Krievijas FSTEC un FSB informācijas drošības līdzekļu klasifikācija

KS2 un KS1 drošības klašu kriptogrāfiskās informācijas aizsardzības rīki saskaņā ar Krievijas FSB prasībām atšķiras ar uzbrukuma avotu faktiskajām iespējām un pretuzbrukumiem veiktajiem pasākumiem.

1. Pašreizējās uzbrukuma avotu iespējas

KS1 klases kriptogrāfijas informācijas aizsardzības rīki (CIPF) tiek izmantoti, ja ir aktuālas uzbrukuma avotu iespējas, proti, patstāvīgi izveidot uzbrukuma metodes, sagatavot un veikt uzbrukumus tikai ārpus kontrolētās zonas.

1. patstāvīgi veido uzbrukuma metodes, sagatavo un veic uzbrukumus tikai ārpus kontrolējamās zonas;
2. patstāvīgi izveidot uzbrukuma metodes, sagatavot un veikt uzbrukumus kontrolētajā zonā, bet bez fiziska piekļuve aparatūrai, kurā ir ieviesti CIPF un to darbības vide (SF).

Tādējādi CIPF klase KS2 atšķiras no KS1 ar uzbrukuma avotu neitralizēšanu, patstāvīgi veidojot uzbrukuma metodes, sagatavojot un veicot uzbrukumus kontrolētajā zonā, bet bez fiziskas piekļuves aparatūrai, uz kuras tiek realizēts CIPF un IP.

2. CIPF aizsardzības klašu KS3, KS2 un KS1 ieviešanas iespējas

1. iespēja, šī ir pamata CIPF programmatūra, kas nodrošina aizsardzības klasi KS1.

2. iespēja ir CIPF klase KS2, kas sastāv no pamata CIPF klases KS1 kopā ar sertificētu aparatūras un programmatūras uzticamās slodzes moduli (APMDZ).

3. iespēja ir CIPF klase KS3, kas sastāv no CIPF klases KS2 kopā ar specializētu programmatūru slēgtas programmatūras vides izveidei un kontrolei.

Tādējādi CIPF klases KS2 programmatūra atšķiras no KS1 tikai ar sertificētas APMDZ pievienošanu CIPF klasei KS1. Atšķirība starp CIPF klasi KS3 un klasi KS1 ir CIPF klases KS1 izmantošana kopā ar sertificētu APMDZ un specializētu programmatūru, lai izveidotu un kontrolētu slēgtu programmatūras vidi. Un arī atšķirība starp CIPF klasi KS3 un klasi KS2 ir CIPF klases KS2 izmantošana kopā ar specializētu programmatūru, lai izveidotu un kontrolētu slēgtu programmatūras vidi.

ViPNet SysLocker programmatūra (1.0, datēta ar 2016. gada 28. martu) ir bezmaksas specializēta programmatūra slēgtas programmatūras vides izveidei un kontrolei.

3. Pasākumi pretuzbrukumiem

CIPF klase KS2 nepiemēro pretuzbrukumu pasākumus, kas ir obligāti, darbojoties CIPF klasē KS1, proti:

1. apstiprināts to personu saraksts, kurām ir tiesības piekļūt telpām;
2. apstiprināts to personu saraksts, kurām ir tiesības piekļūt telpām, kurās atrodas kriptogrāfiskās informācijas aizsardzības sistēmas;
3. tika apstiprināti noteikumi par piekļuvi telpām, kurās atrodas kriptogrāfiskās informācijas aizsardzības sistēmas darba un ārpus darba laikā, kā arī ārkārtas situācijās;
4. piekļuve kontrolējamai teritorijai un telpām, kurās atrodas personas datu informācijas sistēmas (PDIS) un/vai CIPF resursi, tiek nodrošināta saskaņā ar piekļuves kontroles režīmu;
5. informācija par fiziskajiem pasākumiem, lai aizsargātu objektus, kuros atrodas informācijas sistēmas, ir pieejama ierobežotam darbinieku skaitam;
6. CIPF dokumentāciju par CIPF atbildīgā persona glabā metāla seifā (skapī);
7. telpas, kurās atrodas CIPF, CIPF un SF komponentu dokumentācija, ir aprīkotas ar ieejas durvīm ar slēdzenēm, nodrošinot, ka telpu durvis ir pastāvīgi aizslēgtas un tiek atvērtas tikai atļautai caurbraukšanai;
8. tehnisko, apkopes un citu atbalsta dienestu pārstāvji, strādājot telpās (statīvās), kurās atrodas CIPF, un darbinieki, kas nav CIPF lietotāji, šajās telpās atrodas tikai ekspluatācijas darbinieku klātbūtnē;
9. darbinieki, kuri ir ISPD lietotāji, bet nav CIPF lietotāji, tiek informēti par darba noteikumiem ISPD un atbildību par informācijas drošības noteikumu neievērošanu;
10. CIPF lietotāji tiek informēti par darba noteikumiem ISDN, noteikumiem darbam ar CIPF un atbildību par informācijas drošības noteikumu neievērošanu;
11. tiek veikta lietotāja darbību ar personas datiem reģistrācija un ierakstīšana;
12. tiek uzraudzīta informācijas drošības līdzekļu integritāte.

FSB prasības joprojām ir noslēpums daudziem ekspertiem. Kāpēc tas notiek?

• Operatori pēc izvēles izmanto šifrēšanu.
• Grūti saprast normatīvo regulējumu.
• Regulatora dokumentu skaidrojumu trūkums.
• Operatoru bailes iedzīvoties papildu pārbaudes izmantojot kriptogrāfiju.

Bet, neskatoties uz visām grūtībām, nav iespējams iztikt bez kriptogrāfijas aizsardzības, pārsūtot personas datus pa neaizsargātu sakaru kanālu, tas ietver, piemēram, attālināts darbs darbinieki ar klientu datu bāzi, informācijas apmaiņa starp filiālēm un galveno biroju, darbinieku personīgās informācijas nodošana trešajām personām. Vienā vai otrā veidā šādi uzdevumi ir gandrīz katrā organizācijā.

Apskatīsim vispārīgu šī jautājuma normatīvo regulējumu. Ir trīs galvenie dokumenti par personas datu kriptogrāfisko aizsardzību Krievijas Federācija:

1. Metodiskie ieteikumi personas datu drošības nodrošināšanai, izmantojot kriptogrāfijas rīkus, apstrādājot tos personas datu informācijas sistēmās, izmantojot automatizācijas rīkus", apstiprināti Krievijas FSB 8. centra vadībā 2008. gada 21. februārī Nr. 149/54-144 -
2. Standarta prasības šifrēšanas (kriptogrāfisko) līdzekļu organizēšanai un darbības nodrošināšanai, kas paredzēti, lai aizsargātu informāciju, kas nesatur valsts noslēpumu veidojošu informāciju, to izmantošanas gadījumā, lai nodrošinātu personas datu drošību to apstrādes laikā personas datu informācijas sistēmās.” apstiprinājusi Krievijas Federācijas 8. FSB centra vadība 21.02.2008 Nr.149/6/6-622 - Dokuments oficiāli netika publicēts.
3. FSB 2014.gada 10.jūlija rīkojums Nr.378 “Par organizatorisko un tehnisko pasākumu sastāva un satura apstiprināšanu, lai nodrošinātu personas datu drošību to apstrādes laikā personas datu informācijas sistēmās, izmantojot kriptogrāfiskās informācijas aizsardzības līdzekļus, kas nepieciešami noteikto aizsardzības prasību izpildei Krievijas Federācijas valdība iesniedz personas datus katram drošības līmenim. Reģistrēts Krievijas Tieslietu ministrijā 2014. gada 18. augustā.

Dokuments tika pieņemts, kad bija spēkā “vecie” FSTEC dokumenti (“četras grāmatas”, 58. rīkojums, 781. valdības lēmums) un papildināja to saturu. Ir vērts atzīmēt, ka attiecīgais normatīvais dokuments nav reģistrēts Tieslietu ministrijā, tā statuss šodien ir neskaidrs. Visticamāk, saistībā ar 378. rīkojuma izdošanu Metodiskie ieteikumi zaudēja savu aktualitāti. Tomēr es vēlos īsi apspriest dokumenta saturu, lai būtu skaidrs, kā vēsturiski ir attīstījušās prasības šifrēšanas sistēmām.

Iepriekš minētā dokumenta prasības (kā arī citi normatīvie akti personas datu kriptogrāfiskās aizsardzības jomā) neattiecas uz šādiem gadījumiem:

• Personas datu apstrāde, neizmantojot automatizācijas rīkus;
• Darbs ar personas datiem, kas veido valsts noslēpumu;
• Lietošana tehniskajiem līdzekļiem atrodas ārpus Krievijas Federācijas.

Dokumentā teikts, ka kriptogrāfijas aizsardzības līdzekļu izmantošanas gadījumā ir nepieciešams izstrādāt draudu modeli atbilstoši gan FSTEC, gan FSB prasībām (ar retiem izņēmumiem). Operatori paši var izveidot draudu un ielaušanās modeļus, tikai nepieciešamības gadījumā iesaistot FSB licences turētājus. Visi apdraudējumi dokumentā ir sadalīti uzbrukumos, un ir doti draudi, kas nav uzbrukumi. Metodoloģiju varat izmantot kā atsauci, rakstot modeli jaunām prasībām.

Augstākā līmeņa draudu modelis nosaka personas datu un citu aizsargājamo objektu drošības raksturlielumus. Detalizētais draudu modelis identificē nepieciešamos kriptogrāfiskās aizsardzības nosacījumus.

Draudi modeli ietekmē dažādi faktori: personas datu izveides un izmantošanas nosacījumi, personas datu pasniegšanas formas, drošības raksturlielumi u.c.

Papildus parastajiem raksturlielumiem: integritāte, konfidencialitāte un pieejamība, nenoliegums, uzskaite, autentiskums un atbilstība tiek izdalīta arī.

Augstākā līmeņa draudu modeļa piemērs:

1. Personas datu konfidencialitātes apdraudējums.
2. Personas datu integritātes apdraudējums.
3. Personas datu pieejamības apdraudējums.

Dokuments ir veltīts ne tikai draudu modeļa veidošanas jautājumiem, bet arī adekvāta iebrucēja modeļa sastādīšanas pazīmēm. Visi Metodiskajos ieteikumos minētie pārkāpumi ir iedalīti divās klasēs: tiešie un netiešie personas datu drošības pārkāpumi (draudi, kas rada apstākļus tiešu apdraudējumu rašanās). Ir 6 galvenie pārkāpēju veidi: H1, H2, H3, H4, H5, H6. Jo lielāks skaitlis, jo vairāk iespēju katra nākamā tipa pārkāpējs pārmanto iepriekšējās iespējas. Operators patstāvīgi nosaka pārkāpēju sagatavotības līmeni, viņiem pieejamos rīkus un izdara pieņēmumu par slepenu vienošanos. Dokumentā ir norādītas katra likumpārkāpēja veida galvenās īpašības. Ir noteikti arī 6 kriptogrāfiskās aizsardzības līmeņi: KC1, KC2, KC3, KB1, KB2, KA1 un 6 klases kriptovalūtas ar līdzīgiem nosaukumiem šajā ziņā nekas nav mainījies. ISPD arī ir sadalīti 6 klasēs atkarībā no likumpārkāpēja augstākās kategorijas. AK1 - ja likumpārkāpēja augstākā kategorija ir H1, AK2 - ja H2, AK3 - ja H3, AK4 - ja H4, AK5 - ja H5, AK6 - ja H6. Attiecīgi tiek sadalīti kriptogrāfiskie aizsardzības līdzekļi: AK1 - KS1, AK2 - KS2, AK3 - KS3, AK4 - KB1, AK5 - KB2, AK6 - KA1.

Tipiskās prasības

Standarta prasības tika uzrakstītas tajā pašā laika posmā, kad tās nav reģistrētas Tieslietu ministrijā; Manuprāt, dokuments satur noderīgu informāciju mācībām. Kriptofondu lietotāju pienākumi ir detalizēti aprakstīti, un ir izklāstīti to pamatnoteikumi:

• novērstu galvenās informācijas kopēšanu;
• neizpaust informāciju par atslēgām;
• neierakstiet svešu informāciju galvenajos datu nesējos utt.

Ir aprakstīts atslēgas iznīcināšanas process, pamatprasības telpām un parādītas baļķu standarta formas. Pamatojoties uz dokumentā ietverto informāciju, varat izveidot dažus noderīgus norādījumus.

Pasūtījums 378

Visa profesionālā sabiedrība gaidīja ordeņa 378 izdošanu, un beidzot tas stājās spēkā. Mūsdienās šis ir galvenais dokuments personas datu kriptogrāfiskās aizsardzības jomā, un tā iedarbība attiecas uz visām informācijas sistēmām, kuras kā aizsardzību izmanto kriptogrāfiskās informācijas drošības sistēmas. Rīkojumā noteiktas prasības ne tikai kriptogrāfiskajai aizsardzībai, bet arī telpu drošības režīmam, datu nesēju uzglabāšanas kārtībai un citiem organizatoriskiem pasākumiem atkarībā no sistēmas drošības līmeņa. Atsevišķi norādīts, ka operatoram jāizmanto informācijas drošības sistēmas, kuras ir izturējušas atbilstības novērtēšanu un ir sertificētas atbilstoši drošības prasībām. Aizsardzības pasākumi ir aprakstīti ļoti detalizēti un ietver prasības telpu aprīkojumam (slēdzenes, blīvēšanas ierīces, stieņi uz logiem utt.). Atšķirībā no Metodisko ieteikumu noteikumiem, Rīkojums 378 nosaka CIPF klasi saistībā ar drošības līmeni un pašreizējo apdraudējumu veidu. Uzbrucēja iespējas tiek ņemtas vērā tikai, nosakot CIPF klasi 4. drošības līmenim.

1. tabula. CIPF klase

Atkarība no drošības līmeņa un draudu veida ir diezgan acīmredzama, un, kā redzam, operators gandrīz vienmēr var izvēlēties CIPF klasi no vairākām iespējām.

Dokumentam ir skaidra noformējuma loģika – pietiek zināt savas sistēmas drošības līmeni – katra līmeņa ISPD prasības ir izklāstītas atsevišķās sadaļās. Ir vērts atzīmēt, ka prasības tiek mantotas no zemāka līmeņa uz augstākiem, 1. drošības līmeņa ISPD jāatbilst 2., 3. un 4. līmeņa ISPD prasībām. Manuprāt, izprast jaunā Rīkojuma prasības nebūs grūti pat iesācējam speciālistam.

Protams, vienā īsā rakstā nav iespējams noteikt visas personas datu kriptogrāfiskās aizsardzības nianses, un vai tas ir jādara? Šeit mēs esam analizējuši galvenos punktus, sapratuši dokumentu loģiku, pārējais ir detaļas, kuras varat izpētīt patstāvīgi. Un piektajā daļā mēs apsvērsim ne mazāk svarīgiem jautājumiem: prasību noteikšana personas datu aizsardzības sistēmai un aizsardzības pasākumu izvēle.

Informācijas drošības prasības, projektējot informācijas sistēmas, norāda raksturlielumus, kas raksturo izmantotos informācijas drošības līdzekļus. Tos nosaka dažādi regulatoru akti drošības jomā informācijas drošība, jo īpaši - FSTEC un Krievijas FSB. Kādas drošības klases pastāv, aizsardzības līdzekļu veidi un veidi, kā arī tas, kur par to uzzināt vairāk, ir atspoguļoti rakstā.

Ievads

Mūsdienās informācijas drošības nodrošināšanas jautājumiem tiek pievērsta liela uzmanība, jo tehnoloģijas, kas tiek ieviestas visur, nenodrošinot informācijas drošību, kļūst par jaunu nopietnu problēmu avotu.

Krievijas FSB ziņo par situācijas nopietnību: uzbrucēju nodarīto zaudējumu apjoms vairāku gadu laikā visā pasaulē svārstījās no 300 miljardiem līdz 1 triljonam dolāru. Saskaņā ar Krievijas Federācijas ģenerālprokurora sniegto informāciju 2017. gada pirmajā pusē vien noziegumu skaits augsto tehnoloģiju jomā Krievijā pieaudzis sešas reizes, kopējais zaudējumu apjoms pārsniedza 18 miljonus ASV dolāru rūpniecības sektorā 2017. gadā tika atzīmēta visā pasaulē . Jo īpaši Krievijā uzbrukumu skaita pieaugums salīdzinājumā ar 2016. gadu bija 22%.

Informācijas tehnoloģijas sāka izmantot kā ieročus militāri politiskiem, teroristiskiem mērķiem, lai iejauktos suverēnu valstu iekšējās lietās, kā arī veiktu citus noziegumus. Krievijas Federācija iestājas par starptautiskas informācijas drošības sistēmas izveidi.

Krievijas Federācijas teritorijā informācijas turētājiem un informācijas sistēmu operatoriem ir jābloķē mēģinājumi nesankcionēti piekļūt informācijai, kā arī pastāvīgi jāuzrauga IT infrastruktūras drošības stāvoklis. Vienlaikus tiek nodrošināta informācijas aizsardzība, veicot dažādus pasākumus, arī tehniskus.

Informācijas drošības rīki jeb informācijas aizsardzības sistēmas nodrošina informācijas aizsardzību informācijas sistēmās, kas pēc būtības ir datubāzēs glabātās informācijas, informācijas tehnoloģiju, kas nodrošina tās apstrādi, un tehnisko līdzekļu apkopojums.

Mūsdienu informācijas sistēmas raksturo dažādu aparatūras un programmatūras platformu izmantošana, komponentu teritoriālais sadalījums, kā arī mijiedarbība ar atvērtajiem datu tīkliem.

Kā šādos apstākļos aizsargāt informāciju? Atbilstošās prasības iesniedz pilnvarotās institūcijas, jo īpaši FSTEC un Krievijas FSB. Raksta ietvaros mēģināsim atspoguļot galvenās pieejas informācijas drošības sistēmu klasifikācijai, ņemot vērā šo regulatoru prasības. Citi informācijas drošības klasifikācijas aprakstīšanas veidi, kas atspoguļoti Krievijas departamentu, kā arī ārvalstu organizāciju un aģentūru normatīvajos dokumentos, ir ārpus šī raksta darbības jomas un netiek izskatīti tālāk.

Raksts var būt noderīgs iesācējiem informācijas drošības jomas speciālistiem kā strukturētas informācijas avots par informācijas drošības klasifikācijas metodēm, pamatojoties uz Krievijas FSTEC (lielākā mērā) un, īsumā, Krievijas FSB prasībām.

Struktūra, kas nosaka kārtību un koordinē nekriptogrāfisko informācijas drošības metožu nodrošināšanu, ir Krievijas FSTEC (agrāk Valsts tehniskā komisija pie Krievijas Federācijas prezidenta, Valsts tehniskā komisija).

Ja lasītājam bija jāredz Sertificēto informācijas drošības rīku valsts reģistrs, ko veido Krievijas FSTEC, tad viņš noteikti pievērsa uzmanību informācijas aizsardzības sistēmas mērķa aprakstošajā daļā tādu frāžu klātbūtnei kā “RD SVT klase”, “neatbilstības neatbilstības līmenis” utt. (1. attēls) .

1. attēls. Sertificēto informācijas aizsardzības ierīču reģistra fragments

Kriptogrāfiskās informācijas drošības rīku klasifikācija

Krievijas FSB ir definējis kriptogrāfiskās informācijas aizsardzības sistēmu klases: KS1, KS2, KS3, KV un KA.

KS1 klases IPS galvenās iezīmes ietver to spēju izturēt uzbrukumus ārpus kontrolētās zonas. Tas nozīmē, ka uzbrukuma metožu izveide, to sagatavošana un ieviešana tiek veikta bez speciālistu līdzdalības kriptogrāfiskās informācijas drošības izstrādes un analīzes jomā. Tiek pieņemts, ka informāciju par sistēmu, kurā tiek izmantotas norādītās informācijas drošības sistēmas, var iegūt no atklātajiem avotiem.

Ja kriptogrāfiskā informācijas drošības sistēma spēj izturēt ar KS1 klases palīdzību bloķētus uzbrukumus, kā arī tos, kas tiek veikti kontrolējamajā zonā, tad šāda informācijas drošība atbilst KS2 klasei. Šajā gadījumā ir pieļaujams, piemēram, ka uzbrukuma sagatavošanas laikā tas varētu kļūt pieejamo informāciju par fiziskiem informācijas sistēmu aizsardzības pasākumiem, kontrolējamās zonas nodrošināšanu u.c.

Ja ir iespējams pretoties uzbrukumiem, ja jums ir fiziska piekļuve līdzekļiem datortehnoloģijas ar uzstādītām kriptogrāfiskās informācijas drošības sistēmām viņi runā par šādu līdzekļu atbilstību KS3 klasei.

Ja kriptogrāfiskās informācijas drošība pretojas uzbrukumiem, kuru izveidē bija iesaistīti speciālisti šo rīku izstrādes un analīzes jomā, tostarp pētniecības centri, un bija iespējams veikt drošības līdzekļu laboratoriskos pētījumus, tad mēs runājam par atbilstību HF klasei. .

Ja uzbrukuma metožu izstrādē bija iesaistīti speciālisti NDV sistēmas programmatūras lietošanas jomā, bija pieejama atbilstošā projektēšanas dokumentācija un bija pieejama jebkura kriptogrāfiskās informācijas drošības sistēmu aparatūras komponente, tad aizsardzību pret šādiem uzbrukumiem var nodrošināt, izmantojot KA klase.

Elektroniskā paraksta aizsardzības līdzekļu klasifikācija

Elektroniskā paraksta rīki, atkarībā no to spējas izturēt uzbrukumus, parasti tiek salīdzināti ar šādām klasēm: KS1, KS2, KS3, KB1, KB2 un KA1. Šī klasifikācija ir līdzīga tai, kas tika apspriesta iepriekš saistībā ar kriptogrāfijas informācijas drošību.

Secinājumi

Rakstā tika apskatītas dažas informācijas drošības klasifikācijas metodes Krievijā, kuru pamatā ir regulatoru normatīvais regulējums informācijas aizsardzības jomā. Apskatītās klasifikācijas iespējas nav izsmeļošas. Tomēr mēs ceram, ka sniegtā kopsavilkuma informācija ļaus iesācējam informācijas drošības jomas speciālistam ātri orientēties.

Kriptogrāfiskās informācijas aizsardzības rīki jeb saīsināti CIPF tiek izmantoti, lai nodrošinātu visaptverošu pa sakaru līnijām pārsūtīto datu aizsardzību. Lai to izdarītu, ir jānodrošina elektroniskā paraksta autorizācija un aizsardzība, saziņas pušu autentifikācija, izmantojot TLS un IPSec protokolus, kā arī paša sakaru kanāla aizsardzība, ja nepieciešams.

Krievijā lieto kriptogrāfijas līdzekļi Informācijas aizsardzība pārsvarā ir klasificēta, tāpēc par šo tēmu ir maz publiski pieejamas informācijas.

CIPF izmantotās metodes

• Datu autorizācija un to juridiskās nozīmes drošības nodrošināšana pārsūtīšanas vai uzglabāšanas laikā. Lai to izdarītu, viņi izmanto algoritmus elektroniskā paraksta izveidošanai un tā pārbaudei saskaņā ar noteiktajiem noteikumiem RFC 4357 un izmanto sertifikātus saskaņā ar X.509 standartu.
• Datu konfidencialitātes aizsardzība un to integritātes uzraudzība. Tiek izmantota asimetriskā šifrēšana un imitācijas aizsardzība, tas ir, datu aizstāšanas novēršana. Ievērots GOST R 34.12-2015.
• Sistēmas un lietojumprogrammatūras aizsardzība. Pārraugiet, vai nav veiktas neatļautas izmaiņas vai nepareiza darbība.
• Sistēmas svarīgāko elementu vadība stingrā saskaņā ar pieņemtajiem noteikumiem.
• Datu apmaiņas pušu autentifikācija.
• Savienojuma nodrošināšana, izmantojot TLS protokols.
• IP savienojumu aizsardzība, izmantojot IKE, ESP, AH protokolus.

Metodes ir sīki aprakstītas šādos dokumentos: RFC 4357, RFC 4490, RFC 4491.

CIPF informācijas aizsardzības mehānismi

1. Uzglabātās vai pārsūtītās informācijas konfidencialitāte tiek aizsargāta, izmantojot šifrēšanas algoritmus.
2. Veidojot savienojumu, identifikācija tiek nodrošināta ar elektroniskā paraksta palīdzību, kad to izmanto autentifikācijas laikā (kā ieteikts X.509).
3. Digitālo dokumentu plūsmu aizsargā arī elektroniskie paraksti kopā ar aizsardzību pret uzspiešanu vai atkārtošanu, savukārt elektronisko parakstu pārbaudei izmantoto atslēgu autentiskums tiek uzraudzīts.
4. Informācijas integritāte tiek nodrošināta ar digitālā paraksta palīdzību.
5. Asimetrisko šifrēšanas funkciju izmantošana palīdz aizsargāt jūsu datus. Turklāt datu integritātes pārbaudei var izmantot jaukšanas funkcijas vai uzdošanās algoritmus. Tomēr šīs metodes neatbalsta dokumenta autorības noteikšanu.
6. Aizsardzība pret atkārtošanos notiek, izmantojot elektroniskā paraksta kriptogrāfiskās funkcijas šifrēšanai vai imitācijas aizsardzībai. Šādā gadījumā katrai tīkla sesijai tiek pievienots unikāls identifikators, kas ir pietiekami ilgs, lai izslēgtu tā nejaušo sakritību, un verifikāciju veic saņēmēja puse.
7. Aizsardzība pret uzspiešanu, tas ir, no iekļūšanas sakaros no ārpuses, tiek nodrošināta ar elektroniskā paraksta palīdzību.
8. Cita aizsardzība - pret grāmatzīmēm, vīrusiem, modifikācijām operētājsistēma uc - tiek nodrošināts, izmantojot dažādus kriptogrāfijas rīkus, drošības protokolus, pretvīrusu programmatūru un organizatoriskos pasākumus.

Kā redzat, elektroniskā paraksta algoritmi ir kriptogrāfiskās informācijas aizsardzības līdzekļa būtiska sastāvdaļa. Tie tiks apspriesti turpmāk.

Prasības CIPF lietošanai

CIPF mērķis ir aizsargāt (pārbaudot elektronisko parakstu) atvērtos datus dažādās vispārējas lietošanas informācijas sistēmās un nodrošināt to konfidencialitāti (pārbaudot elektronisko parakstu, imitējot aizsardzību, šifrēšanu, hash verifikāciju) korporatīvajos tīklos.

Lietotāja personas datu aizsardzībai tiek izmantots personiskās kriptogrāfiskās informācijas aizsardzības rīks. Taču īpašs uzsvars jāliek uz informāciju, kas saistīta ar valsts noslēpumu. Saskaņā ar likumu CIPF nevar izmantot darbam ar to.

Svarīgi: pirms CIPF instalēšanas vispirms jāpārbauda pati CIPF programmatūras pakotne. Šis ir pirmais solis. Parasti instalācijas pakotnes integritāti pārbauda, ​​salīdzinot kontrolsummas saņemts no ražotāja.

Pēc instalēšanas jums ir jānosaka apdraudējuma līmenis, pamatojoties uz kuru jūs varat noteikt lietošanai nepieciešamos CIPF veidus: programmatūru, aparatūru un aparatūru-programmatūru. Jāņem vērā arī tas, ka, organizējot kādu CIPF, ir jāņem vērā sistēmas izvietojums.

Aizsardzības klases

Saskaņā ar Krievijas FSB 2014. gada 10. jūlija rīkojumu ar numuru 378, kas regulē kriptogrāfijas līdzekļu izmantošanu informācijas un personas datu aizsardzībai, ir noteiktas sešas klases: KS1, KS2, KS3, KB1, KB2, KA1. Aizsardzības klase konkrētai sistēmai tiek noteikta, analizējot datus par iebrucēja modeli, tas ir, no novērtējuma iespējamie veidi sistēmas uzlaušana. Aizsardzība šajā gadījumā ir veidota no programmatūras un aparatūras kriptogrāfiskās informācijas aizsardzības.

AC (pašreizējie draudi), kā redzams tabulā, ir 3 veidu:

1. Pirmā veida draudi ir saistīti ar izmantotās sistēmas programmatūras nedokumentētām iespējām informācijas sistēma.
2. Otrā veida draudi ir saistīti ar nedokumentētām iespējām informācijas sistēmā izmantotajā lietojumprogrammatūrā.
3. Trešais draudu veids attiecas uz visiem pārējiem.

Nedokumentēti līdzekļi ir programmatūras funkcijas un līdzekļi, kas nav aprakstīti oficiālajā dokumentācijā vai neatbilst tai. Tas nozīmē, ka to izmantošana var palielināt informācijas konfidencialitātes vai integritātes pārkāpšanas risku.

Skaidrības labad apskatīsim iebrucēju modeļus, kuru pārtveršanai ir nepieciešama viena vai cita kriptogrāfiskās informācijas drošības līdzekļu klase:

• KS1 - iebrucējs darbojas no ārpuses, bez palīgiem sistēmas iekšienē.
• KS2 ir iekšējs iebrucējs, taču tam nav piekļuves CIPF.
• KS3 ir iekšējs iebrucējs, kas ir CIPF lietotājs.
• KV1 ir iebrucējs, kurš piesaista trešo pušu resursus, piemēram, CIPF speciālistus.
• KV2 ir iebrucējs, aiz kura rīcības ir institūts vai laboratorija, kas strādā CIPF izpētes un attīstības jomā.
• KA1 - valstu speciālie dienesti.

Tādējādi KS1 var saukt par pamata aizsardzības klasi. Attiecīgi, jo augstāka ir aizsardzības klase, jo mazāk speciālistu spēj to nodrošināt. Piemēram, Krievijā saskaņā ar 2013. gada datiem bija tikai 6 organizācijas, kurām bija FSB sertifikāts un kuras spēja nodrošināt KA1 klases aizsardzību.

Izmantotie algoritmi

Apskatīsim galvenos kriptogrāfiskās informācijas aizsardzības rīkos izmantotos algoritmus:

• GOST R 34.10-2001 un atjaunināts GOST R 34.10-2012 - algoritmi elektroniskā paraksta izveidei un pārbaudei.
• GOST R 34.11-94 un jaunākais GOST R 34.11-2012 - algoritmi jaucējfunkciju izveidei.
• GOST 28147-89 un jaunāki GOST R 34.12-2015 - šifrēšanas un datu aizsardzības algoritmu ieviešana.
• Papildu kriptogrāfijas algoritmi ir atrodami RFC 4357.

Elektroniskais paraksts

Kriptogrāfisko informācijas drošības rīku izmantošana nav iedomājama bez elektroniskā paraksta algoritmu izmantošanas, kas gūst arvien lielāku popularitāti.

Elektroniskais paraksts ir īpaša dokumenta daļa, kas izveidota ar kriptogrāfiskām transformācijām. Tās galvenais uzdevums ir identificēt neatļautas izmaiņas un noteikt autorību.

Elektroniskā paraksta sertifikāts ir atsevišķs dokuments, kas apliecina tā īpašniekam elektroniskā paraksta autentiskumu un īpašumtiesības, izmantojot publisko atslēgu. Sertifikātus izsniedz sertifikācijas iestādes.

Elektroniskā paraksta sertifikāta īpašnieks ir persona, uz kuras vārda sertifikāts reģistrēts. Tas ir saistīts ar divām atslēgām: publisko un privāto. Privātā atslēga ļauj izveidot elektronisko parakstu. Publiskā atslēga izstrādāts, lai pārbaudītu paraksta autentiskumu, izmantojot kriptogrāfisku saziņu ar privāto atslēgu.

Elektroniskā paraksta veidi

Saskaņā ar federālo likumu Nr.63 elektroniskais paraksts sadalīts 3 veidos:

• regulārs elektroniskais paraksts;
• nekvalificēts elektroniskais paraksts;
• kvalificēts elektroniskais paraksts.

Vienkāršs elektroniskais paraksts tiek izveidots, izmantojot paroles, kas tiek uzliktas datu atvēršanai un apskatei, vai līdzīgiem līdzekļiem, kas netieši apstiprina īpašnieku.

Nekvalificēts elektroniskais paraksts tiek izveidots, izmantojot kriptogrāfisko datu transformācijas, izmantojot privāto atslēgu. Pateicoties tam, jūs varat apstiprināt personu, kas parakstījusi dokumentu, un noteikt, vai datos nav veiktas nesankcionētas izmaiņas.

Kvalificēti un nekvalificēti paraksti atšķiras tikai ar to, ka pirmajā gadījumā sertifikāts elektroniskajam parakstam ir jāizsniedz FSB sertificētam sertifikācijas centram.

Elektroniskā paraksta izmantošanas joma

Tālāk esošajā tabulā ir aplūkota elektroniskā paraksta piemērošanas joma.

Visaktīvāk dokumentu apmaiņā tiek izmantotas elektroniskā paraksta tehnoloģijas. Iekšējā dokumentu plūsmā ES darbojas kā dokumentu apstiprināšana, tas ir, kā personīgais paraksts vai izdrukāt. Ārējās dokumentu plūsmas gadījumā elektroniskā paraksta klātbūtne ir kritiska, jo tas ir juridisks apstiprinājums. Tāpat ir vērts atzīmēt, ka ar elektroniskajiem parakstiem parakstītos dokumentus var glabāt bezgalīgi un nezaudēt savu juridisko nozīmi tādu faktoru dēļ kā dzēsti paraksti, bojāts papīrs u.c.

Vēl viena joma ir ziņošana regulatīvajām iestādēm elektroniskais dokuments apgrozījums. Daudzi uzņēmumi un organizācijas jau ir novērtējuši darba ērtības šajā formātā.

Saskaņā ar Krievijas Federācijas tiesību aktiem ikvienam pilsonim ir tiesības izmantot elektronisko parakstu, izmantojot valsts pakalpojumus (piemēram, parakstot elektronisku pieteikumu iestādēm).

Tiešsaistes tirdzniecība ir vēl viena interesanta joma, kurā aktīvi tiek izmantoti elektroniskie paraksti. Tas apliecina faktu, ka izsole notiek reāla persona un viņa priekšlikumus var uzskatīt par ticamiem. Tāpat svarīgi, lai jebkurš līgums, kas noslēgts ar elektroniskā paraksta palīdzību, iegūtu juridisku spēku.

Elektroniskā paraksta algoritmi

• Full Domain Hash (FDH) un publiskās atslēgas kriptogrāfijas standarti (PKCS). Pēdējais ir vesela standarta algoritmu grupa dažādām situācijām.
• DSA un ECDSA ir elektronisko parakstu izveides standarti ASV.
• GOST R 34.10-2012 - standarts elektronisko parakstu izveidei Krievijas Federācijā. Šis standarts aizstāts GOST R 34.10-2001, kura termiņš oficiāli beidzās pēc 2017. gada 31. decembra.
• Eirāzijas Savienība izmanto standartus, kas ir pilnīgi līdzīgi Krievijas standartiem.
• STB 34.101.45-2013 - Baltkrievijas standarts digitālajam elektroniskajam parakstam.
• DSTU 4145-2002 - standarts elektroniskā paraksta izveidei Ukrainā un daudzos citos.

Ir arī vērts atzīmēt, ka elektronisko parakstu izveides algoritmiem ir dažādi mērķi un mērķi:

• Grupas elektroniskais paraksts.
• Vienreizējās lietošanas digitālais paraksts.
• Uzticams elektroniskais paraksts.
• Kvalificēts un nekvalificēts paraksts utt.

Saskaņā ar 2011. gada 6. aprīļa federālā likuma N 63-FZ “Par elektronisko parakstu” 8. panta 5. daļu 1 Es pasūtu apstiprināt:

Prasības elektroniskā paraksta līdzekļiem (pielikums Nr.1);
Prasības sertifikācijas centra līdzekļiem (pielikums Nr.2).

Režisors A. Bortņikovs

1 Krievijas Federācijas tiesību aktu krājums, 2011, Nr.15, Art. 2036; N 27, art. 3880.

Prasības elektroniskā paraksta rīkiem

I. Vispārīgi noteikumi

3) ES atslēga - unikāla rakstzīmju secība, kas paredzēta ES izveidei;

4) ES verifikācijas atslēga — unikāla rakstzīmju secība, kas unikāli saistīta ar ES atslēgu un paredzēta ES autentiskuma pārbaudei (turpmāk tekstā ES verifikācija);

5) ES rīki - šifrēšanas (kriptogrāfijas) rīki, ko izmanto, lai īstenotu vismaz vienu no šādām funkcijām - ES izveide, ES pārbaude, ES atslēgas un ES pārbaudes atslēgas izveide;

6) ES verifikācijas atslēgas sertifikāts - elektronisks dokuments vai papīra dokuments, ko izdevusi SI vai SI pilnvarots pārstāvis un kas apliecina, ka ES verifikācijas atslēga pieder ES verifikācijas atslēgas sertifikāta īpašniekam.

3. Šīs prasības nosaka elektronisko līdzekļu prasību struktūru un saturu.

4. Šīs Prasības ir paredzētas izstrādāto (jaunināto) elektroniskā paraksta rīku klientiem un izstrādātājiem savstarpējā mijiedarbībā ar organizācijām, kas veic kriptogrāfijas, inženier-kriptogrāfijas un īpašus elektroniskā paraksta rīku pētījumus, Krievijas FSB, kas apliecina atbilstību elektroniskā paraksta rīki ar šīm prasībām.

5. Šīs Prasības attiecas uz digitālajām elektroniskajām ierīcēm, kas paredzētas lietošanai Krievijas Federācijas teritorijā, Krievijas Federācijas iestādēs ārvalstīs un atsevišķās nodaļās, kas atrodas ārvalstīs. juridiskām personām, kas izveidota saskaņā ar Krievijas Federācijas tiesību aktiem.

6. Uz elektroniskajiem līdzekļiem to izstrādes, ražošanas, pārdošanas un darbības ziņā attiecas prasības, kas noteiktas Noteikumos par šifrēšanas (kriptogrāfijas) informācijas drošības līdzekļu izstrādi, ražošanu, pārdošanu un ekspluatāciju (Noteikums PKZ-2005), kas apstiprināti. ar Krievijas FSB 2005. gada 9. februāra rīkojumu Nr. 66 1 (ar grozījumiem, kas izdarīti ar Krievijas FSB 2010. gada 12. aprīļa rīkojumu Nr. 173 2) par šifrēšanas (kriptogrāfijas) līdzekļiem informācijas aizsardzībai ar ierobežotu piekļuvi, kas nesatur informāciju, kas veido valsts noslēpumu.

7. Prasības elektronisko ierīču izveides (formēšanas) un testēšanas tehnoloģijām, izmantojot elektroniskos līdzekļus, ir norādītas taktiskajā un tehniskajā specifikācijā vai tehniskajā specifikācijā izstrādes darbu veikšanai vai elektronisko līdzekļu izstrādes (modernizācijas) izstrādes darba sastāvdaļai ( turpmāk tekstā – ES rīku izstrādes (modernizācijas) tehniskās specifikācijas).

II. Prasības elektroniskajiem līdzekļiem

8. Veidojot ciparparakstu, digitālā paraksta rīkiem ir:

Parādiet personai, kas paraksta elektronisko dokumentu, tās informācijas saturu, kuru viņš paraksta3;
- izveidot elektronisko parakstu tikai pēc elektroniskā dokumenta parakstītāja apstiprinājuma par elektroniskā dokumenta izveides darbību3;
- skaidri parāda, ka elektroniskais paraksts ir izveidots 3.

9. Pārbaudot elektronisko parakstu, elektroniskajiem līdzekļiem ir:

Parādīt ar elektronisko parakstu parakstīta elektroniskā dokumenta saturu 3;
- parādīt informāciju par izmaiņu veikšanu parakstītajā elektroniskajā dokumentā 3;
- norāda personu, ar kuras ciparparaksta atslēgu tika parakstīti elektroniskie dokumenti 3.

10. Šo prasību 8. un 9. punkta prasības neattiecas uz elektroniskajiem līdzekļiem, ko izmanto automātiska izveide un (vai) automātiska elektroniskā paraksta pārbaude informācijas sistēmā.
11. ES rīkiem ir jānovērš draudi, kas atspoguļo mērķtiecīgas darbības, izmantojot aparatūru un (vai) programmatūra ar mērķi pārkāpt ar elektroniskiem līdzekļiem aizsargātas informācijas drošību vai radīt tam apstākļus (turpmāk – uzbrukums).

12. Atkarībā no spējas pretoties uzbrukumiem elektroniskos līdzekļus iedala 4. klasēs.
13. KS1 klases ES rīki pretojas uzbrukumiem, veidojot metodes, sagatavojot un veicot, kurām tiek izmantotas šādas iespējas:
13.1. Uzbrukuma metožu izveides, uzbrukumu sagatavošanas un veikšanas patstāvīga īstenošana.
13.2. Darbības dažādos EP produkta dzīves cikla posmos 5.
13.3. Uzbrukuma veikšana tikai ārpus telpas, kurā tiek uzraudzīta personu un (vai) transportlīdzekļu uzturēšanās un rīcība (turpmāk – 6.kontroles zona).

13.4. Veicot šādus uzbrukumus elektronisko iekārtu izstrādes, ražošanas, uzglabāšanas, transportēšanas un elektronisko iekārtu nodošanas ekspluatācijā stadijā (nodošanas ekspluatācijā):

Neatļautu izmaiņu veikšana digitālā paraksta rīkā un (vai) SF komponentos, tostarp ļaunprātīgu programmu izmantošana;
- neatļautu izmaiņu veikšana SF elektronisko līdzekļu un komponentu dokumentācijā.

13.5. Uzbrukumu veikšana šādiem objektiem:

Elektronisko līdzekļu un SF sastāvdaļu dokumentācija;

- elektroniskā paraksta rīka atslēgas, autentifikācijas un paroles informācija;
- ES rīks un tā programmatūras un aparatūras komponenti;
- SF iekļautā aparatūra, tostarp mikroshēmas ar ierakstītu BIOS mikrokodu, kas inicializē šos līdzekļus (turpmāk – SF aparatūras komponenti);
- SF programmatūras komponenti;

- telpas, kurās atrodas programmatūras un datu apstrādes sistēmu tehnisko elementu kopums, kas var darboties neatkarīgi vai kā daļa no citām sistēmām (turpmāk tekstā SVT), uz kuriem tiek realizēti elektroniskie un digitālie elektroinstrumenti;
- citi uzbrukumu objekti, kas nepieciešamības gadījumā norādīti elektroniskā paraksta rīka izstrādes (modernizācijas) darba uzdevumā, ņemot vērā informācijas tehnoloģijas, aparatūru (turpmāk - AS) un programmatūru (turpmāk - programmatūra) izmanto informācijas sistēmā.

13.6. Šādas informācijas iegūšana:

Vispārīga informācija par informācijas sistēmu, kurā tiek izmantots elektroniskā paraksta rīks (mērķis, sastāvs, operators, objekti, kuros atrodas informācijas sistēmas resursi);
- informācija par informācijas tehnoloģijas, datu bāzes, AS, programmatūra, kas tiek izmantota informācijas sistēmā kopā ar elektroniskā paraksta rīku;
- informācija par fiziskiem pasākumiem, lai aizsargātu objektus, kuros atrodas elektroniskās ierīces;
- informācija par pasākumiem, lai nodrošinātu to informācijas sistēmas objektu kontrolēto zonu, kurā tiek izmantots elektroniskā paraksta rīks;
- informācija par pasākumiem, lai ierobežotu piekļuvi telpām, kurās atrodas elektroniskās iekārtas, kurās tiek īstenoti ES un SF līdzekļi;
- brīvi pieejamās ES un SF rīka aparatūras un programmatūras komponentu dokumentācijas saturs;
- vispārīga informācija par elektronisko līdzekļu darbības laikā izmantoto aizsargāto informāciju;

- informācija par sakaru līnijām, pa kurām tiek pārraidīta ar elektroniskiem līdzekļiem aizsargāta informācija;
- informācija par visiem ES un SF iekārtu darbības noteikumu pārkāpumiem, kas parādās sakaru kanālos, kuri nav aizsargāti no nesankcionētas piekļuves informācijai ar organizatoriskiem un tehniskiem pasākumiem;
- informācija par visiem ES un SF aparatūras komponentu darbības traucējumiem un darbības traucējumiem, kas parādās sakaru kanālos, kuri nav aizsargāti pret nesankcionētu piekļuvi informācijai ar organizatoriskiem un tehniskiem pasākumiem;
- informācija, kas iegūta, analizējot jebkādus signālus no ES un SF aparatūras komponentiem, nozīmē, ka iebrucējs var pārtvert.

13.7. Lietošana:

AS un programmatūra, kas ir publiskajā īpašumā vai tiek izmantota ārpus kontrolētās zonas, tostarp ES un SF rīku aparatūras un programmatūras komponenti;

13.8. Izmantojot kā līdzekli, lai pārsūtītu no subjekta uz objektu (no objekta uz objektu) uzbrukuma darbības, kas veiktas uzbrukuma sagatavošanas un (vai) veikšanas laikā (turpmāk - uzbrukuma kanāls):

Saziņas kanāli, kas nav aizsargāti no nesankcionētas piekļuves informācijai ar organizatoriskiem un tehniskiem līdzekļiem (gan ārpus kontrolējamās zonas, gan tās ietvaros), pa kuriem tiek pārraidīta ar elektroniski aizsargāta informācija;
- elektronisko un SF līdzekļu darbību pavadošo signālu izplatīšanas kanāli.

13.9. Uzbrukuma veikšana no informācijas un telekomunikāciju tīkliem, kuriem piekļuve nav ierobežota noteiktam personu lokam.

13.10. AS un programmatūras izmantošana no informācijas sistēmas rīkiem, kas tiek izmantoti elektronisko iekārtu darbības vietās (turpmāk – standarta rīki) un atrodas ārpus kontrolējamās zonas.

14. KS2 klases elektroniskie līdzekļi pretojas uzbrukumiem, veidojot metodes, sagatavojot tās un veicot tās, tiek izmantotas šo Prasību 13.1.-13.10.apakšpunktos minētās iespējas un šādas papildu iespējas:

14.1. Uzbrukuma veikšana, atrodoties gan ārpus kontrolētās zonas, gan tās robežās.

14.2. Standarta līdzekļu izmantošana, ko ierobežo pasākumi, kas ieviesti informācijas sistēmā, kurā tiek izmantots elektroniskā paraksta rīks, un kuru mērķis ir novērst un apspiest neatļautas darbības.

15. KS3 klases elektroniskie līdzekļi pretojas uzbrukumiem, veidojot metodes, kuru sagatavošanā un izpildē tiek izmantotas šo Prasību 13.1. - 13.10., 14.1., 14.2. apakšpunktā minētās iespējas un šādas papildu iespējas:

15.1. Piekļuve SVT, kurā ir ieviesti ES un SF rīki.

15.2. Iespēja iegūt ES un SF rīka aparatūras komponentus tādā apjomā, kas ir atkarīgs no pasākumiem, kuru mērķis ir novērst un apspiest nesankcionētas darbības, kas ieviestas informācijas sistēmā, kurā tiek izmantots ES rīks.

16. KV1 klases elektroniskie līdzekļi pretojas uzbrukumiem, veidojot metodes, sagatavojot un veicot, kuras izmanto šo prasību 13.1. - 13.10., 14.1., 14.2., 15.1., 15.2. apakšpunktā minētās iespējas un šādas papildu iespējas:

16.1. Uzbrukumu metožu izveide, uzbrukumu sagatavošana un izpilde, iesaistot speciālistus ar pieredzi elektronisko līdzekļu izstrādē un analīzē, tai skaitā speciālistus elektronisko līdzekļu un SF darbību pavadošo signālu analīzes jomā.

16.2. Ārpus kontrolējamās zonas izmantoto elektroniskā paraksta līdzekļu laboratorisko pētījumu veikšana, ciktāl tas ir atkarīgs no pasākumiem, kuru mērķis ir novērst un apspiest nesankcionētas darbības, kas tiek īstenotas informācijas sistēmā, kurā tiek izmantoti elektroniskā paraksta līdzekļi.

17. KV2 klases elektroniskie līdzekļi pretojas uzbrukumiem, veidojot metodes, sagatavojot un veicot, kuras izmanto šo Prasību 13.1. - 13.10., 14.1., 14.2., 15.1., 15.2., 16.1., 16.2. apakšpunktā minētās iespējas un šādas papildu iespējas:

17.1. Uzbrukumu metožu izveide, uzbrukumu sagatavošana un veikšana, iesaistot speciālistus ar pieredzi elektronisko līdzekļu izstrādē un analīzē, tostarp speciālistus tādu lietojumprogrammatūras iespēju izmantošanas jomā, kuras nav aprakstītas lietojumprogrammatūras dokumentācijā uzbrukumu īstenošanai.

17.2. Darba organizēšana pie uzbrukuma metožu un līdzekļu izveides pētniecības centros, kas specializējas elektronisko un SF līdzekļu izstrādē un analīzē.

17.3. Iespēja iekļaut lietojumprogrammas pirmkodus SF.

18. KA1 klases elektroniskie līdzekļi pretojas uzbrukumiem, veidojot metodes, sagatavojot un veicot, kuras izmanto šo prasību 13.1. - 13.10., 14.1., 14.2., 15.1., 15.2., 16.1., 16.2., 17.1. - 17.3. apakšpunktos un šo prasību 16.1. papildu iespējas:

18.1. Uzbrukumu metožu izveide, uzbrukumu sagatavošana un veikšana, iesaistot speciālistus ar pieredzi elektronisko līdzekļu izstrādē un analīzē, tai skaitā speciālistus sistēmas programmatūras iespēju izmantošanas jomā, kuras nav aprakstītas sistēmas programmatūras dokumentācijā uzbrukumu īstenošanai.

18.2. Iespēja iegūt visu SF aparatūras un programmatūras komponentu dokumentāciju.

18.3. Iespēja izmantot visus ES un SF rīku aparatūras komponentus.

19. Ja ES rīks īsteno elektroniskā dokumenta ES pārbaudes funkciju, izmantojot ES verifikācijas atslēgas sertifikātu, šai ieviešanai būtu jāizslēdz iespēja pārbaudīt elektroniskā dokumenta ES, nepārbaudot ES pārbaudes atslēgas sertifikātā vai bez ES pārbaudes. klātbūtne pozitīvs rezultāts ES verifikācija ES verifikācijas atslēgas sertifikātā.

20. Izstrādājot ES rīkus, jāizmanto kriptogrāfijas algoritmi, kas ir apstiprināti kā valsts standarti vai kuriem ir pozitīvs Krievijas FSB slēdziens, pamatojoties uz to ekspertu kriptogrāfijas pētījumu rezultātiem7.

21. Elektronisko līdzekļu inženiertehniskajā kriptogrāfiskajā aizsardzībā būtu jāizslēdz notikumi, kas izraisa veiksmīgu uzbrukumu iespējamību noteiktos apstākļos. iespējamie darbības traucējumi vai elektroniskā paraksta rīka aparatūras komponenta vai tā datora aparatūras komponenta kļūmes, kurā ir ieviests digitālais elektronikas rīks.

22. Elektroniskā paraksta rīkā jārealizē tikai elektroniskā paraksta rīka izstrādes (modernizācijas) darba uzdevumā noteiktie digitālā paraksta rīka darbības algoritmi.

23. Elektroniskā paraksta rīka programmatūras komponentei (ja ir ciparparaksta rīka programmatūras sastāvdaļa) jāatbilst šādām prasībām:

Elektroniskā paraksta rīka programmatūras komponenta objekta (sāknēšanas) kodam jāatbilst tā avota tekstam;
- programmatūras komponentā elektroniskā paraksta rīki jāizmanto, realizējot tikai dokumentācijā aprakstītās programmatūras vides, kurā darbojas digitālā paraksta rīks, funkcijas;
- elektroniskā paraksta rīka programmatūras komponenta pirmkodā nedrīkst būt iespējas, kas ļautu modificēt vai izkropļot elektroniskā paraksta rīka darbības algoritmu tā lietošanas laikā, modificēt vai izkropļot informāciju vai ar to saistītās plūsmas un procesus. ciparparaksta rīka funkcionēšana un ļaut pārkāpējiem piekļūt informācijai, kas tiek glabāta atvērtā veidā, elektroniskā paraksta identifikācijas un (vai) autentifikācijas informācijai.
- digitālā elektronikas rīka ievades un iekšējo parametru vērtībām, kā arī programmatūras komponenta iestatījumu vērtībām nevajadzētu negatīvi ietekmēt tā darbību.

24. Elektronisko līdzekļu izvietošanas plānošanas gadījumā telpās, kurās atrodas runas, akustiskā un vizuālā informācija, kas satur valsts noslēpumu veidojošu informāciju, un (vai) skaļruņi un sistēmas informāciju saturošas informācijas saņemšanai, pārraidīšanai, apstrādei, glabāšanai un attēlošanai. kas veido valsts noslēpumu, ārvalstīs ražoti skaļruņi, kas ietilpst digitālo elektronisko ierīču sastāvā, ir jāpakļauj pārbaudēm, lai identificētu ierīces, kas paredzētas slepenai informācijas iegūšanai.

Elektronisko ierīču izvietošanas plānošanas gadījumā telpās, kurās nav runas, akustiskās un vizuālās informācijas, kas satur valsts noslēpumu veidojošu informāciju, un nav skaļruņu un sistēmu stāvokli veidojošu informāciju saturošas informācijas saņemšanai, pārraidīšanai, apstrādei, uzglabāšanai un attēlošanai. noslēpums ir instalēts:

Lēmumu veikt ārvalstīs ražotu AS, kas ietilpst KS1, KS2, KS3, KV1 un KV2 klases elektroniskajās iekārtās, pārbaudes pieņem organizācija, kas nodrošina šo elektronisko iekārtu darbību;
- Ārzemēs ražotu skaļruņu, kas ietilpst KA1 klases elektroniskajā iekārtā, pārbaudes tiek veiktas bez traucējumiem.

25. Elektroniskā paraksta rīkam ir jāautentificē šī rīka piekļuves subjekti (personas, procesi), vienlaikus:

Piekļūstot elektroniskā paraksta rīkam, piekļuves subjekta autentifikācija jāveic pirms elektroniskā paraksta rīka pirmā funkcionālā moduļa izpildes sākuma;
- autentifikācijas mehānismiem jābloķē šo subjektu piekļuve elektroniskā paraksta rīka funkcijām, ja autentifikācijas rezultāts ir negatīvs.

26. Elektroniskā paraksta rīkam ir jāautentificē personas, kurām ir lokāla piekļuve digitālā paraksta rīkam.

27. Elektroniskā paraksta rīka nepieciešamība, lai autentificētu procesus, kuri veic lokālu vai attālinātu (tīkla) piekļuvi elektroniskā paraksta rīkam, norādīta elektroniskā paraksta rīka izstrādes (modernizācijas) darba uzdevumā.

28. Jebkuram autentifikācijas mehānismam, kas iekļauts elektroniskā paraksta rīkā, ir jāievieš mehānisms, kas ierobežo turpmāko secīgo mēģinājumu autentifikāciju vienam piekļuves subjektam, kuru skaits nedrīkst būt lielāks par 10. Ja turpmāko secīgo mēģinājumu skaits autentificēties vienam piekļuves subjektam pārsniedz noteikto robežvērtību, šī subjekta pieeja iekārtai Elektroniskais paraksts ir jābloķē uz ciparu elektroniskās ierīces izstrādes (modernizācijas) darba uzdevumā noteikto laiku.

29. ES rīkam ir jāievieš mehānisms (procedūra) ES rīka un SF integritātes uzraudzībai.

Integritātes kontroli var veikt:

Uzsākot darbu ar elektroniskajiem līdzekļiem, pirms SVT pārejas, kurā tiek ieviesti elektroniskie līdzekļi, uz darba stāvoklis(piemēram, pirms SVT operētājsistēmas ielādes);
- elektronisko iekārtu kārtējo pārbaužu laikā darbības laukā (kārtējā kontrole);
- automātiskajā režīmā elektroniskās vadības ierīces darbības laikā (dinamiskā vadība).

Integritātes kontrole jāveic darba sākumā ar elektroniskajiem līdzekļiem.

Regulatīvās integritātes kontroles mehānismam vajadzētu būt daļai no elektroniskā paraksta rīkiem.

30. KS1 un KS2 klašu ES rīkiem nepieciešamība uzrādīt prasības piekļuves kontrolei un atmiņas dzēšanai, kā arī to saturs norādīta ES rīka izstrādes (modernizācijas) darba uzdevumā.

31. KS3, KV1, KV2 un KA1 vai SF klases elektroiekārtās jāiekļauj sastāvdaļas, kas nodrošina:

Subjektu piekļuves kontrole dažādiem elektroniskā paraksta rīka un SF komponentiem un (vai) mērķa funkcijām, pamatojoties uz digitālā paraksta rīka administratora vai ražotāja norādītajiem parametriem (prasības norādītajam komponentam nosaka un pamato organizācija, kas veic pētījumu par digitālā paraksta rīku, lai novērtētu digitālā paraksta rīka atbilstību šīm prasībām);
- ekspluatācijas un ārējā atmiņa, ko izmanto elektroniski, lai uzglabātu aizsargātu informāciju, atbrīvojot (pārdalot) atmiņu, ierakstot atmiņā maskēšanas informāciju (izlases vai pseidogadījuma rakstura secību).

32. KV2 un KA1 vai SF klases elektroniskajos līdzekļos jāietver sastāvdaļas, kas nodrošina aizsargātās informācijas avārijas dzēšanu. ierobežota piekļuve. Prasības dzēšanas ieviešanai un uzticamībai noteiktas elektroniskā paraksta rīka izstrādes (modernizācijas) darba uzdevumā.

33. KS1 un KS2 klases elektroniskajiem līdzekļiem nepieciešamība uzrādīt notikumu fiksēšanas prasības un to saturu norādīta elektronisko līdzekļu izstrādes (modernizācijas) darba uzdevumā.

34. KSZ, KV1, KV2 un KA1 klašu elektronisko līdzekļu sastāvā jāietver modulis, kas elektroniskajā žurnālā reģistrē notikumus elektroniskajos līdzekļos un SF, kas saistīti ar tā mērķa funkciju izpildi ar elektroniskiem līdzekļiem.

Prasības priekš norādītais modulis un fiksēto notikumu sarakstu nosaka un pamato organizācija, kas veic elektronisko līdzekļu izpēti, lai novērtētu elektronisko līdzekļu atbilstību šīm prasībām.

35. Notikumu žurnālam jābūt pieejamam tikai tās informācijas sistēmas operatora, kurā tiek izmantots elektroniskā paraksta līdzeklis, operatora vai viņa pilnvarotām personām. Šādā gadījumā piekļuve notikumu žurnālam ir jāveic tikai, lai skatītu ierakstus un pārvietotu notikumu žurnāla saturu uz arhīva datu nesēju.

36. Elektroniskā paraksta pārbaudes atslēgas derīguma termiņš nedrīkst pārsniegt elektroniskā paraksta atslēgas derīguma termiņu vairāk kā par 15 gadiem.

37. Prasības elektroniskā paraksta atslēgas lietošanas perioda uzraudzības mehānismam, kas bloķē elektroniskā paraksta rīka darbību gadījumā, ja atslēgu mēģināts izmantot ilgāk par noteiktu laiku, nosaka izstrādātājs. elektroniskā paraksta rīks un pamatota organizācija, kas veic elektroniskā paraksta rīka izpēti, lai novērtētu elektroniskā paraksta rīka atbilstību šīm prasībām.

38. Kriptogrāfiskie protokoli, kas nodrošina darbības ar ciparparaksta rīka galveno informāciju, ir jārealizē tieši digitālā paraksta rīkā.

39. ES rīku izpēte, lai novērtētu ES rīku atbilstību šīm prasībām, būtu jāveic, izmantojot Krievijas FSB izstrādātos. skaitliskās vērtības elektroniski realizēto SF 8 aizsardzības mehānismu un aparatūras un programmatūras komponentu parametrus un raksturlielumus.

1 Reģistrēts Krievijas Tieslietu ministrijā 2005.gada 3.martā, reģistrācijas Nr.6382.

3 Tas tiek īstenots, cita starpā, izmantojot aparatūru un programmatūru, ar kurām elektroniskie līdzekļi funkcionē normāli un var ietekmēt elektroniskajiem līdzekļiem noteikto prasību izpildi, kas kopā veido elektronisko līdzekļu darbības vidi (turpmāk – SF) .
4 Izstrādājamā (jaunināmā) ES rīka nepieciešamo klasi nosaka ES rīka pasūtītājs (izstrādātājs), nosakot iespējas izveidot uzbrukuma metodes, sagatavot un veikt uzbrukumus, pamatojoties uz šo Prasību 13.-18.punktu un ir norādīts T3 ES rīka izstrādei (jaunināšanai).
5 Elektroniskā līdzekļa dzīves cikla posmi ietver šo līdzekļu izstrādi (modernizāciju), ražošanu, uzglabāšanu, transportēšanu, nodošanu ekspluatācijā un ekspluatāciju.
6 Kontrolējamās zonas robeža var būt: uzņēmuma (iestādes) aizsargājamās teritorijas perimetrs, aizsargājamās ēkas norobežojošās konstrukcijas, aizsargājamā ēkas daļa, piešķirtās telpas.
7 Noteikumu par Krievijas Federācijas Federālo drošības dienestu 9. punkta 25. apakšpunkts, kas apstiprināts ar Krievijas Federācijas prezidenta 2003. gada 11. augusta dekrētu Nr. 960 (Krievijas Federācijas tiesību aktu kopums, 2003, Nr. 33). , 3254., 2005., Nr. 2699 (I daļa), 3463. pants, 45. pants; 4087, 2011, Nr. 9, 1222) (turpmāk tekstā par FSB).
8 Noteikumu par Krievijas FSB 9. punkta 47. apakšpunkts.

Pielikums Nr.2

Prasības sertifikācijas centra iekārtām

I. Vispārīgi noteikumi

1. Šīs prasības ir izstrādātas saskaņā ar 2011.gada 6.aprīļa Federālo likumu Nr.63-FZ “Par elektroniskajiem parakstiem” (turpmāk – Federālais likums).

2. Šajās prasībās ir izmantoti šādi Federālā likuma 2. pantā definētie pamatjēdzieni:

1) elektroniskais paraksts (turpmāk — ES) — informācija elektroniskā formā, kas pievienota citai informācijai elektroniskā veidā (parakstīta informācija) vai kā citādi saistīta ar šo informāciju un kuru izmanto informācijas parakstītāja identificēšanai;

3) ES rīki - šifrēšanas (kriptogrāfijas) rīki, ko izmanto, lai īstenotu vismaz vienu no šādām funkcijām - ES izveide, ES pārbaude, ES atslēgas un ES pārbaudes atslēgas izveide;

4) ES atslēga - unikāla rakstzīmju secība, kas paredzēta ES izveidei;

5) ES verifikācijas atslēga — unikāla rakstzīmju secība, kas unikāli saistīta ar ES atslēgu un paredzēta ES autentiskuma pārbaudei (turpmāk tekstā ES verifikācija);

6) ES verifikācijas atslēgas sertifikāts - elektronisks dokuments vai papīra dokuments, ko izdevusi SI vai SI pilnvarots pārstāvis un kas apliecina, ka ES verifikācijas atslēga pieder ES verifikācijas atslēgas sertifikāta īpašniekam;

7) elektroniskā paraksta pārbaudes atslēgas kvalificēts sertifikāts (turpmāk – kvalificēts sertifikāts) — elektroniskā paraksta pārbaudes atslēgas sertifikāts, ko izdevusi akreditēta SI vai akreditētas CA pilnvarots pārstāvis vai attiecīgajā jomā pilnvarota federālā izpildinstitūcija. elektroniskā paraksta izmantošana (turpmāk – pilnvarotā federālā institūcija);

8) ES verifikācijas atslēgas sertifikāta īpašnieks — persona, kurai federālajā likumā noteiktajā kārtībā izsniegts ES verifikācijas atslēgas sertifikāts;

9) SI akreditācija - pilnvarotas federālās institūcijas atzīšana par SI atbilstību federālā likuma prasībām;

10) CA rīki - aparatūra un (vai) programmatūra, ko izmanto SI funkciju īstenošanai;

11) dalībnieki elektroniskā mijiedarbība- valsts institūcijas, pašvaldību iestādes, organizācijas, kā arī iedzīvotāji, kas apmainās ar informāciju elektroniskā veidā.

3. Šīs prasības nosaka CA iekārtām izvirzīto prasību struktūru un saturu.

4. Šīs Prasības ir paredzētas izstrādāto (modernizēto) CA rīku klientiem un izstrādātājiem savstarpējā mijiedarbībā ar organizācijām, kas veic kriptogrāfijas, inženiertehniski kriptogrāfiskus un īpašus CA rīku pētījumus, Krievijas FSB, kas apliecina atbilstību CA rīki ar šīm prasībām.

5. Šīs Prasības attiecas uz CA objektiem, kas paredzēti lietošanai Krievijas Federācijas teritorijā.

6. Uz SI rīkiem to izstrādes, ražošanas, ieviešanas un darbības ziņā attiecas prasības, kas noteiktas Noteikumos par šifrēšanas (kriptogrāfisko) informācijas drošības līdzekļu izstrādi, ražošanu, ieviešanu un darbību (Noteikums PKZ-2005), apstiprināts ar Krievijas FSB 2005. gada 9. februāra rīkojumu Nr. 66 1 (ar grozījumiem, kas izdarīti ar Krievijas FSB 2010. gada 12. aprīļa rīkojumu Nr. 173 2) attiecībā uz šifrēšanas (kriptogrāfijas) informācijas aizsardzības līdzekļiem (turpmāk tekstā). uz kā CIPF) ar ierobežotu piekļuvi, kas nesatur valsts noslēpumu veidojošu informāciju.

II. Prasības CA iekārtām

7. CA rīkiem ir jāiztur draudi, kas atspoguļo mērķtiecīgas darbības, izmantojot aparatūru un (vai) programmatūru ar mērķi pārkāpt CA rīku inženiertehnisko, tehnisko un kriptogrāfisko drošību vai radīt tam apstākļus (turpmāk – uzbrukums) .

8. Atkarībā no spējas pretoties uzbrukumiem, CA rīki tiek iedalīti 3. klasēs.

9. KS1 klases CA rīki pretojas uzbrukumiem, veidojot metodes, sagatavojot un veicot, kurām tiek izmantotas šādas iespējas:

9.1. Uzbrukumu sagatavošana un veikšana ārpus telpas, kurā tiek uzraudzīta personu un (vai) transportlīdzekļu uzturēšanās un rīcība (turpmāk – kontroles zona).
9.2. Uzbrukumu sagatavošana un veikšana, neizmantojot piekļuvi funkcionalitāte programmatūra un aparatūra mijiedarbībai ar CA.

9.3. Neatkarīga uzbrukuma metožu izveides ieviešana, uzbrukumu sagatavošana un veikšana šādiem objektiem:

Dokumentācija par CA līdzekļiem;
- aizsargāti elektroniskie dokumenti;
- informācija par atslēgu, autentifikāciju un paroli;
- CA rīki, to programmatūras un aparatūras komponenti;
- dati, kas pārraidīti pa sakaru kanāliem;
- telpas, kurās atrodas aparatūra (turpmāk tekstā AS), kurā tiek realizēti CA rīki, kā arī citi aizsargātie informācijas sistēmas resursi.

9.4. Ievads CA iekārtu izstrādes, ražošanas, uzglabāšanas, transportēšanas un nodošanas ekspluatācijā posmos:

Negatīva funkcionalitāte CA rīkos, tostarp ļaunprātīgas programmatūras izmantošana;
- neatļautas izmaiņas SI līdzekļu dokumentācijā.

9.5. Šādas informācijas iegūšana:

Vispārīga informācija par informācijas sistēmu, kurā tiek izmantoti CA rīki (mērķis, sastāvs, objekti, kuros atrodas informācijas sistēmas resursi);
- informācija par informācijas tehnoloģijām, datu bāzēm, AS, programmatūra(turpmāk – programmatūra), ko informācijas sistēmā izmanto kopā ar CA rīkiem;
- informācija par fiziskiem pasākumiem, lai aizsargātu objektus, kuros atrodas CA objekti;
- informācija par pasākumiem, lai nodrošinātu informācijas sistēmas objektu, kurā tiek izmantoti CA rīki, kontrolētās zonas aizsardzību;
- informācija par pasākumiem, lai ierobežotu piekļuvi telpām, kurās atrodas CA objekti;
- brīvi pieejamas tehniskās dokumentācijas saturs par CA līdzekļiem;
- informācija par aizsargāto informāciju, kas tiek izmantota CA iekārtu darbības laikā (aizsargātās informācijas veidi: pakalpojuma informācija, paroles un autentifikācijas informācija, konfigurācijas informācija, kontroles informācija, informācija elektroniskajos žurnālos; vispārīga informācija par katra veida aizsargātās informācijas saturu; drošības raksturlielumi katram aizsargātās informācijas veidam);
- visus iespējamos datus skaidrā formā pārraidīt pa sakaru kanāliem, kas ar organizatoriskiem un tehniskiem pasākumiem nav aizsargāti pret nesankcionētu piekļuvi informācijai (turpmāk - NVD);
- informācija par sakaru līnijām, pa kurām tiek pārraidīta ar CA līdzekļiem aizsargāta informācija;
- informācija par visiem CA iekārtu darbības noteikumu pārkāpumiem, kas parādās sakaru kanālos, kas nav aizsargāti no nesankcionētas piekļuves informācijai ar organizatoriskiem un tehniskiem pasākumiem;
- informācija par visiem CA iekārtu darbības traucējumiem un atteicēm, kas parādās sakaru kanālos, kuri nav aizsargāti no nesankcionētas piekļuves informācijai ar organizatoriskiem un tehniskiem pasākumiem;
- informācija, kas iegūta pārtveršanai pieejamo signālu analīzes rezultātā no CA iekārtu aparatūras komponentiem.

9.6. Lietošana:

Sistēmas un programmatūra, kas ir publiskajā īpašumā vai ārpus kontrolētās zonas, tostarp CA rīku programmatūras un aparatūras komponenti;
- īpaši izstrādāti skaļruņi un programmatūra.

9.7. Tādu sakaru kanālu kā uzbrukuma kanālu izmantošana, kas nav aizsargāti no nesankcionētas piekļuves informācijai ar organizatoriskiem un tehniskiem pasākumiem (gan ārpus kontrolējamās zonas, gan tās ietvaros), caur kuriem tiek pārraidīta ar CA līdzekļiem apstrādātā informācija.

10. KS2 klases CA rīki pretojas uzbrukumiem, veidojot metodes, sagatavojot un veicot, kurām tiek izmantotas šādas iespējas:

10.1. Šo Prasību 9.3. - 9.7. apakšpunktos uzskaitītās iespējas.

10.2. Uzbrukumu sagatavošana un izpilde no kontrolētās zonas.

10.3. Uzbrukumu sagatavošana un veikšana, neizmantojot piekļuvi sistēmām, kurās ir ieviesti CA rīki.

10.4. Izmantojot standarta informācijas sistēmas rīkus, kas izmanto CA rīkus.

11. KSZ klases CA rīki pretojas uzbrukumiem, veidojot metodes, sagatavojot un veicot, kurām tiek izmantotas šādas iespējas:

11.1. Šo Prasību 10.1., 10.4.apakšpunktos uzskaitītās iespējas.

11.2. Uzbrukumu sagatavošana un veikšana no ārpus kontrolētās zonas, izmantojot piekļuvi programmatūras un aparatūras funkcionalitātei mijiedarbībai ar CA, pamatojoties uz autentifikācijas informācijas likumīgu piederību, vai uzbrukumu sagatavošana un veikšana no kontrolētās zonas, izmantojot piekļuvi AS, kurā CA komponenti ir ieviesti ar tādas personas tiesībām, kura neietilpst personu grupā, kuras ir pilnvarotas instalēt, konfigurēt un darbināt CA rīkus, konfigurēt profilu un audita žurnāla parametrus (sistēmas administratora funkcijas), arhivēt, dublēt un atjaunot informāciju pēc kļūmēm (operatora funkcijas), izveidot un atsaukt sertifikātus ES verifikācijas atslēgas (sertifikācijas administratora funkcijas), skatīt un uzturēt jebkuras CA komponentes audita žurnālu (audita administratora funkcijas) (turpmāk saukta CA iekārtu administratoru grupa). .

11.3. AS CA valdīšana apjomā atkarībā no īstenotajiem pasākumiem, kuru mērķis ir novērst un apspiest neatļautas darbības.

12. KV1 klases CA rīki pretojas uzbrukumiem, veidojot metodes, sagatavojot un veicot, kurām tiek izmantotas šādas iespējas:

12.1. Šo Prasību 11.1.-11.3.apakšpunktos uzskaitītās iespējas.

12.2. Metožu izveides un uzbrukumu sagatavošanas īstenošana, iesaistot speciālistus ar pieredzi CA CIPF izstrādē un analīzē (ieskaitot speciālistus lineārās pārraides signālu un viltus elektromagnētiskā starojuma un traucējumu signālu analīzes jomā CA CIPF).

12.3. Ārpus kontrolējamās zonas izmantoto CA instrumentu laboratorisko pētījumu veikšana atkarībā no īstenotajiem pasākumiem, kuru mērķis ir novērst un apspiest neatļautas darbības.

13. KV2 klases CA rīki pretojas uzbrukumiem, veidojot metodes, sagatavojot un veicot tās tiek izmantotas šādas iespējas:

13.1. Šo Prasību 12.1.-12.3.apakšpunktos uzskaitītās iespējas.

13.2. Metožu izveide un uzbrukumu sagatavošana, iesaistot speciālistus lietojumprogrammu un sistēmas programmatūras nedeklarētu iespēju izmantošanas jomā uzbrukumu īstenošanai.

13.3. Darba organizēšana pie uzbrukuma metožu un līdzekļu izveides pētniecības centros, kas specializējas CA rīku izstrādē un analīzē.

13.4. Informācijas sistēmā, kurā tiek izmantoti CA rīki, izmantotās lietojumprogrammatūras pirmkodi un brīvi pieejama dokumentācija.

14. KA1 klases CA rīki pretojas uzbrukumiem, veidojot metodes, sagatavojot un veicot, kurām tiek izmantotas šādas iespējas:

14.1. Šo Prasību 13.1.-13.4.apakšpunktos uzskaitītās iespējas.

14.2. Metožu izveide un uzbrukumu sagatavošana, iesaistot pētniecības centrus, kas specializējas CIPF izstrādē un analīzē un lietojumprogrammu un sistēmas programmatūras nedeklarētu iespēju izmantošanā, lai īstenotu uzbrukumus.

14.3. Visa CA rīku aparatūras un programmatūras komponentu dokumentācija.

14.4. Visu CA aparatūras komponentu īpašums.

15. CA iekārtas jāekspluatē saskaņā ar CA iekārtu ekspluatācijas dokumentāciju. CA iekārtu ekspluatācijas dokumentācijā ir jānorāda organizatorisko un tehnisko pasākumu kopums, lai nodrošinātu CA iekārtu drošu darbību.

16. CA iekārtās izmantoto digitālā paraksta rīku klase nedrīkst būt zemāka par atbilstošo SI līdzekļu klasi. CA iekārtās izmantoto elektronisko līdzekļu klase jānorāda SI iekārtu operatīvajā dokumentācijā.

CA rīkos izmantotā CIPF klase nedrīkst būt zemāka par atbilstošo CA rīku klasi. CA objektos izmantotā CIPF klase ir jānorāda CA objektu ekspluatācijas dokumentācijā.

17. Katra prasība, kas tiek izvirzīta jebkuras klases CA objektiem, izņemot KA1, tiek vai nu iesniegta nākamās klases CA objektiem bez izmaiņām (šajā gadījumā tas nav norādīts prasību sarakstā nākamās klases CA objektiem), vai arī tiek pastiprināts. (šajā gadījumā prasību sarakstā nākamās klases CA līdzekļiem tiek dots stingrāks formulējums). Prasības nākamās klases CA rīkiem var ietvert papildu prasības, kas nav iekļauts iepriekšējās klases CA iekārtu prasībās.

18. Programmatūras prasības CA rīkiem:

18.1. Prasības CA klases KS1 iekārtām:

CA rīku programmatūra nedrīkst saturēt rīkus, kas ļauj mainīt vai izkropļot programmatūras rīku un CA AS darbības algoritmu.

18.2. Prasības CA klases KS2 iekārtām:

CA lietojumprogrammatūrai un CA izmantotajiem CIPF rīkiem ir jāizmanto tikai dokumentētas sistēmas programmatūras funkcijas.

18.3. Prasības CA klases KS3 iekārtām:

CA rīku sistēmai un lietojumprogrammatūrai jānodrošina piekļuves norobežošana CA rīku sistēmas administratoram, CA rīku sertifikācijas administratoram un nodrošinātajām personām sistēmas administrators CA iekārtas ar identificējošu un autentificējošu informāciju un tie, kas nav CA iekārtu sertifikācijas administratori (turpmāk – CA iekārtu lietotāji), informācijai, ko apstrādā CA iekārtas, pamatojoties uz CA iekārtu sistēmas administratora noteiktajiem piekļuves kontroles noteikumiem;
- CA rīku sistēmai un lietojumprogrammatūrai jāatbilst 4. līmeņa kontrolei par nedeklarētu iespēju neesamību;
- CA rīku sistēmas un lietojumprogrammatūra nedrīkst saturēt zināmas ievainojamības, kas publicētas publiski pieejamos avotos;
- CA rīku sistēmā un (vai) lietojumprogrammatūrai jāietver mehānisms, kas nodrošina ierobežotas piekļuves informācijas glabāšanai izmantotās RAM un ārējās atmiņas tīrīšanu.

18.4. Prasības KV1 klases CA objektiem sakrīt ar prasībām KS3 klases CA objektiem.

18.5. Prasības CA klases KV2 iekārtām:

SI rīku sistēmas un lietojumprogrammatūras pirmkodiem jābūt pārbaudītiem, lai ieviestu tādas informācijas aizsardzības metodes un metodes, kas pretojas uzbrukumiem, kuru sagatavošanai un ieviešanai tiek izmantotas šo Prasību 9.-13.punktā minētās iespējas. ;
- ir jāpārbauda sistēmas un lietojumprogrammatūras pirmkodi, lai noteiktu nedeklarētu iespēju neesamību;
- sistēmas un lietojumprogrammatūrai jābūt izturīgai pret datoru uzbrukumiem no ārējiem tīkliem.

18.6. Prasības CA klases KA1 iekārtām:

Sistēmas un SI rīku lietojumprogrammatūras pirmkodiem ir jāveic formāla pārbaude, vai tajos ir ieviestas metodes un paņēmieni, lai aizsargātu informāciju, kas pretojas uzbrukumiem, kuru sagatavošanai un ieviešanai ir nodrošinātas šo noteikumu 9.–14. Tiek izmantotas prasības, kā arī tajās nedeklarētu spēju trūkums.

19. Prasības AS CA:

19.1. Plānojot AS TC izvietošanu telpās, kurās atrodas runas, akustiskā un vizuālā informācija, kas satur valsts noslēpumu veidojošu informāciju, un (vai) tehniskie līdzekļi un sistēmas informāciju saturošas informācijas saņemšanai, pārraidīšanai, apstrādei, uzglabāšanai un attēlošanai. valsts noslēpumi ir uzstādīti slepeni, SI objektos esošās ārvalstīs ražotās tehniskās iekārtas ir jāpakļauj pārbaudēm, lai identificētu ierīces, kas paredzētas slepenai informācijas iegūšanai, kā arī pētījumi par atbilstību prasībām aizsardzībai pret informācijas noplūdi pa nodrošinājuma elektromagnētiskajiem kanāliem. starojumu un traucējumus atbilstoši piešķirto telpu kategorijai.

19.2. Prasības CA klases KS1 iekārtām:

SI mērķa funkciju ieviešanas atbilstība tiek pārbaudīta, pamatojoties uz AS CA testēšanas sistēmu.

19.3. Prasības KS2, KS3, KB1, KB2 klases CA objektiem sakrīt ar prasībām KS1 klases CA objektiem.

19.4. Prasības CA klases KA1 iekārtām:

Ārvalstīs ražotā tehniskā aprīkojuma, kas ietilpst CA AS, speciālas pārbaudes veikšana, lai identificētu ierīces, kas paredzētas slepenai informācijas iegūšanai;
- pilnīgas AS pārbaudes veikšana (kopā ar analīzi programmas kods BIOS), kurā ir ieviesti CA rīki, lai novērstu negatīvo funkcionalitāti.

20. Prasības lomu diferencēšanai:

20.1. Lai nodrošinātu CA funkciju izpildi, CA rīkiem ir jāatbalsta lomu diferencēšana starp CA rīku administratoru grupas dalībniekiem.

20.2. Prasības CA klases KS1 iekārtām:

Jādefinē lomu saraksts un atbildības sadalījums starp lomām;
- lomu saraksts un atbildības sadalījums starp lomām jānorāda CA objektu operatīvajā dokumentācijā.

20.3. Prasības KS2 klases CA objektiem sakrīt ar prasībām KS1 klases CA objektiem.

20.4. Prasības CA klases KS3 iekārtām:

CA rīkiem ir jāatbalsta šādas obligātas lomas:

1) sistēmas administrators, kura galvenie pienākumi ir CA rīku uzstādīšana, konfigurēšana un darbības nodrošināšana, CA rīku administratoru grupas dalībnieku profilu izveide un uzturēšana, profila konfigurācija un audita žurnāla parametri;

2) sertifikācijas administrators ar galvenajiem pienākumiem: elektroniskā paraksta pārbaudes atslēgas sertifikātu izveide un anulēšana;

CA rīkiem ir jāievieš mehānisms, kas izslēdz iespēju vienam CA rīku administratoru grupas dalībniekam autorizēt dažādas lomas.

20.5. Prasības KB1 klases CA iekārtām:

CA iekārtām jānodrošina obligāta operatora loma ar primārajiem pienākumiem par dublēšanu un atkopšanu.

20.6. Prasības KB2 klases CA iekārtām sakrīt ar prasībām KB1 klases CA iekārtām.

20.7. Prasības CA klases KA1 iekārtām:

CA rīkiem jānodrošina obligāta audita administratora loma ar galvenajiem pienākumiem: audita žurnāla apskate un uzturēšana;
- sistēmas administratoram nevajadzētu būt iespējai veikt izmaiņas audita žurnālā.

21. Prasības SI līdzekļu integritātei:

21.1. CA rīkiem jāietver informācijas, programmatūras un CA AS nesankcionētas nejaušas un (vai) tīšas kropļošanas (izmaiņas, modifikācijas) un (vai) iznīcināšanas kontroles mehānisms (turpmāk tekstā – integritātes kontroles mehānisms).

21.2. Prasības CA klases KS1 iekārtām:

Prasības integritātes uzraudzības mehānismam jānorāda CA rīku izstrādes (modernizācijas) darba uzdevumā;
- CA iekārtu darbības dokumentācijā ir jānosaka un jānorāda SI programmatūras un AS integritātes uzraudzības periods;
- SI programmatūras un AS integritātes uzraudzība jāveic ikreiz, kad operētājsistēma (turpmāk tekstā – OS) tiek pārstartēta;
- ir jābūt līdzekļiem, kā atjaunot SI līdzekļu integritāti.

21.3. Prasības KS2 klases CA objektiem sakrīt ar prasībām KS1 klases CA objektiem.

21.4. Prasības CA klases KS3 iekārtām:
- integritātes kontrole jāveic vismaz reizi dienā.

21.5. Prasības KB1 klases CA iekārtām:
- integritātes kontrole jāveic pirms CA rīku OS ielādes.

21.6. Prasības KB2 klases CA iekārtām sakrīt ar prasībām KB1 klases CA iekārtām.

21.7. Prasības CA klases KA1 iekārtām:
- integritātes kontrole jāveic dinamiski CA iekārtu darbības laikā.

22. Piekļuves kontroles prasības:

22.1. CA iekārtām jānodrošina piekļuves kontrole.

22.2. Prasības CA klases KS1 iekārtām:
- CA rīku izstrādes (modernizācijas) darba uzdevumā jānosaka un jāprecizē prasības piekļuves kontrolei.

22.3. Prasības KS2 klases CA objektiem sakrīt ar prasībām KS1 klases CA objektiem.

22.4. Prasības CA klases KS3 iekārtām:
- SI ir jānodrošina piekļuves kontroles diskrecionārais princips.

22.5. Prasības KV1 klases CA objektiem sakrīt ar prasībām KS3 klases CA objektiem.

22.6. Prasības CA klases KV2 iekārtām:
- jānodrošina slēgta cikla izveide darba vidi 4 CA līdzekļi.

22.7. Prasības CA klases KA1 iekārtām:
- SI jānodrošina obligāts piekļuves kontroles princips; Lai ievadītu sertifikācijas administratora ES atslēgu, ir nepieciešamas vismaz divas pilnvarotas personas 5.

23. Prasības identifikācijai un autentifikācijai:

23.1. Identifikācija un autentifikācija ietver CA objekta lietotāja, CA objekta administratoru grupas vai procesa atpazīšanu un to autentiskuma pārbaudi. Autentifikācijas mehānismam ir jābloķē šo subjektu piekļuve SI funkcijām, ja autentifikācijas rezultāts ir negatīvs.

23.2. CA rīkos jebkurai ieviestajai autentifikācijas procedūrai ir jāpiemēro mehānisms, kas ierobežo turpmāko secīgo viena piekļuves subjekta autentifikācijas mēģinājumu skaitu, kuru skaits nedrīkst būt lielāks par trim. Ja viena piekļuves subjekta autentifikācijas secīgo mēģinājumu skaits pārsniedz noteikto robežvērtību, šī piekļuves subjekta pieeja CA iekārtām ir jābloķē uz laiku, kas noteikts CA iekārtu attīstības (modernizācijas) darba uzdevumā.

23.3. Prasības CA klases KS1 iekārtām:

CA iekārtu lietotāju reģistrēšanas (datu ievadīšanas CA iekārtu lietotāju reģistrā) kārtības aprakstam jābūt iekļautam CA objektu operatīvajā dokumentācijā;
- autentifikācija jāveic visām personām, kas piekļūst SI iekārtām. Šajā gadījumā ir atļauts aprobežoties tikai ar simboliskas periodiski mainīgas paroles izmantošanu autentifikācijai, kas ir vismaz 8 rakstzīmes ar alfabēta ietilpību vismaz 36 rakstzīmes. Paroles maiņas periods nedrīkst pārsniegt 6 mēnešus.

23.4. Prasības CA klases KS2 iekārtām:

Nepieciešamība lietotājam uzrādīt KI līdzekļus, reģistrējot identifikācijas dokumentus, jāatspoguļo SI līdzekļu operatīvajā dokumentācijā;
- visiem CA iekārtu lietotājiem ir atļauts izmantot attālās autentifikācijas mehānismus. Attālinātās autentifikācijas mehānismu īpašās īpašības ir jāapstiprina, pārbaudot CA rīku un informācijas objektu atbilstību šīm Prasībām;
- īstenojot vietējā piekļuve uz CA rīkiem, CA rīku administratoru grupas dalībnieku autentifikācija jāveic pirms šo CA rīku pāriešanas darbības stāvoklī (piemēram, pirms bāzes OS ielādes).

23.5. Prasības CA klases KS3 iekārtām:

CA rīkos ir jāievieš autentifikācijas mehānisms vietējie lietotāji kuriem ir piekļuve CA rīkiem, bet kuri nav daļa no CA rīku administratoru grupas.

23.6. Prasības KB1 klases CA iekārtām:

Īstenojot attālināta piekļuve Tikai simboliskas paroles izmantošana CA iekārtām nav atļauta, ir jāizmanto autentifikācijas mehānismi, kuru pamatā ir kriptogrāfijas protokoli.

23.7. Prasības KB2 klases CA iekārtām sakrīt ar prasībām KB1 klases CA iekārtām.

23.8. Prasības CA klases KA1 iekārtām:

CA rīkos jebkuram ieviestajam autentifikācijas mehānismam ir jābūt iespējai iestatīt maksimāli pieļaujamo skaitu secīgu mēģinājumu autentificēt vienu piekļuves subjektu un iestatīt laiku piekļuves bloķēšanai CA rīkiem to darbības vietās.

24. Prasības to datu aizsardzībai, kas tiek ievadīti (eksportēti) uz (no) SI:

24.1. CA rīkiem ir jānodrošina pašparakstīta elektroniskā paraksta verifikācijas atslēgas sertifikāta uzticama ievade.

24.2. Prasības CA klases KS1 iekārtām:

CA iekārtām jānodrošina ierobežotas piekļuves informāciju saturošu datu pārsūtīšana, kas nonāk SI un tiek eksportēta no CA, aizsargātā no nesankcionētas piekļuves;
- CA rīkiem ir jāievieš procedūra aizsardzībai pret nepatiesu ziņojumu uzspiešanu 6;
- prasības aizsardzības pret viltus ziņojumu uzspiešanu kārtībai ir norādītas CA rīku izstrādes (modernizācijas) darba uzdevumā.

24.3. Prasības CA klases KS2 iekārtām:

CA rīkiem ir jānodrošina sākotnējā ES verifikācijas atslēgas sertifikāta pieprasījuma aizsardzība;
- CA rīkiem ir jāpieņem informācija, kas ir būtiska SI darbībai, tikai tad, ja tā ir parakstīta ar elektronisko parakstu.

24.4. Prasības CA klases KS3 iekārtām:

CA rīkiem ir jāievieš mehānisms, lai aizsargātu pret nepatiesu ziņojumu uzspiešanu, pamatojoties uz elektronisko līdzekļu izmantošanu, kuri ir saņēmuši apstiprinājumu par atbilstību elektronisko līdzekļu prasībām.

24.5. Prasības KB1 klases CA iekārtām:

CA rīkiem ir jāievieš datu aizsardzības mehānisms, pārsūtot tos starp fiziski atdalītiem komponentiem, pamatojoties uz CIPF izmantošanu.

24.6. Prasības KB2 un KA1 klases CA iekārtām sakrīt ar prasībām KB1 klases CA iekārtām.

25. Prasības pasākuma reģistrācijai:

25.1. CA rīku bāzes OS ir jāatbalsta sistēmas notikumu audita žurnāla uzturēšana.

25.2. Prasības CA klases KS1 iekārtām:

CA rīkiem ir jāievieš mehānisms, kas selektīvi reģistrē notikumus audita žurnālā, kas saistīti ar SI, kas veic tās funkcijas;
- reģistrēto notikumu sarakstam jābūt iekļautam CA iekārtu operatīvajā dokumentācijā.

25.3. Prasības KS2 klases CA objektiem sakrīt ar prasībām KS1 klases CA objektiem.

25.4. Prasības CA klases KS3 iekārtām:

Ir jāveic pasākumi, lai atklātu neatļautas izmaiņas audita žurnālā, ko veic CA rīku lietotāji, kuri nav CA rīku administratoru grupas dalībnieki.

25.5. Prasības KV1 klases CA objektiem sakrīt ar prasībām KS3 klases CA objektiem.

25.6. Prasības CA klases KV2 iekārtām:

Jāveic pasākumi, lai atklātu neatļautas izmaiņas katrā audita žurnāla ierakstā.

25.7. Prasības CA klases KA1 iekārtām:

Audita žurnālam jābūt pieejamam tikai audita administratoram, kurš var tikai skatīt, kopēt un pilnīga tīrīšana. Pēc tīrīšanas pirmajā ierakstā audita žurnālā automātiski jāfiksē tīrīšanas fakts, norādot datumu, laiku un informāciju par personu, kas veica operāciju.

26. Prasības CA iekārtu darbības uzticamībai un stabilitātei:

26.1. CA rīku izstrādes (modernizācijas) darba uzdevumā ir jānosaka un jāprecizē prasības CA rīku darbības uzticamībai un stabilitātei.

26.2. Prasības CA klases KS1 iekārtām:

Tiek aprēķināta CA AS kļūmju un darbības traucējumu iespējamība, kas noved pie tā, ka CA nespēj pildīt savas funkcijas.

26.3. Prasības CA klases KS2 iekārtām:

Jāveic CA rīku darbības stabilitātes pārbaude.

26.4. Prasības CA klases KS3 iekārtām:

Prasības CA objektu atjaunošanas laikam pēc atteices jānosaka un jāprecizē CA objektu attīstības (modernizācijas) darba uzdevumā;

Pasākumos un līdzekļos SI fondu darbības uzticamības un ilgtspējas paaugstināšanai ir jāietver SI fondu resursu kvotu mehānismi.

26.5. Prasības KB1 klases CA iekārtām:

CA AS kļūmju un darbības traucējumu iespējamība, kas izraisa SI nespēju veikt savas funkcijas, dienas laikā nedrīkst pārsniegt līdzīgu iespējamību izmantotajam CIPF.

26.6. Prasības KB2 un KA1 klases CA objektiem sakrīt ar prasībām KB1 klases CA iekārtām.

27. Galvenās informācijas prasības:

27.1. Pamatinformācijas izveides, izmantošanas, glabāšanas un iznīcināšanas kārtība tiek noteikta saskaņā ar operatīvās dokumentācijas prasībām digitālā paraksta rīkiem un citiem CA rīku izmantotajiem CIPF.

27.2. CA rīku izmantotā ES rīka ES atslēgas derīguma termiņam jāatbilst ES rīkiem noteiktajām prasībām.

27.3. Prasības CA klases KS1 iekārtām:

Informācijas kopēšana nav atļauta galvenie dokumenti(kriptogrāfiskās atslēgas, tostarp ciparparaksta atslēgas) datu nesējiem (piemēram, cietais disks), kas nav galvenais datu nesējs, bez tā sākotnējās šifrēšanas (kas jāveic, izmantojot izmantotā CIPF iebūvēto funkciju). Galveno dokumentu kopēšana jāveic tikai saskaņā ar izmantotā CIPF operatīvo dokumentāciju;

ES atslēgas, ko izmanto ES verifikācijas atslēgu sertifikātu un sarakstu parakstīšanai unikālie numuri ES verifikācijas atslēgas sertifikātus, kuru derīgumu noteiktā brīdī SI pārtrauca pirms to derīguma termiņa beigām (turpmāk – atsaukto sertifikātu saraksts), nedrīkst izmantot citiem mērķiem;

Visu atslēgu derīguma termiņi jānorāda CA iekārtu ekspluatācijas dokumentācijā.

27.4. Prasības KS2 un KS3 klases CA objektiem sakrīt ar prasībām KS1 klases CA iekārtām.

27.5. Prasības KB1 klases CA iekārtām:

Jāveic organizatoriski un tehniski pasākumi, lai izslēgtu iespēju kompromitēt elektroniskā paraksta atslēgu, ko izmanto, lai parakstītu ciparparaksta pārbaudes atslēgas sertifikātus un atsaukto sertifikātu sarakstus, ja tiek apdraudēta vienai personai pieejamā galvenā informācija.

27.6. Prasības CA klases KV2 iekārtām:

ES atslēga, ko izmanto, lai parakstītu ES verifikācijas atslēgas sertifikātus un atsaukto sertifikātu sarakstus, ir jāģenerē, jāuzglabā, jāizmanto un jāiznīcina ES rīkā. Atļauts izmantot tikai elektroniskos līdzekļus, kas ir saņēmuši apstiprinājumu par atbilstību elektronisko līdzekļu prasībām saskaņā ar federālo likumu;
- jāveic organizatoriski un tehniski pasākumi, lai izslēgtu iespēju kompromitēt elektroniskā paraksta atslēgu, ko izmanto, lai parakstītu ciparparaksta pārbaudes atslēgas sertifikātus un atsaukto sertifikātu sarakstus, ja tiek apdraudēta divām personām pieejamā galvenā informācija.

27.7. Prasības CA klases KA1 iekārtām:

Jāveic organizatoriski un tehniski pasākumi, lai izslēgtu iespēju kompromitēt elektroniskā paraksta atslēgu, ko izmanto, lai parakstītu ciparparaksta pārbaudes atslēgas sertifikātus un atsaukto sertifikātu sarakstus, ja tiek apdraudēta trīs personām pieejamā galvenā informācija.

28. Prasības CA iekārtu dublēšanai un funkcionalitātes atjaunošanai:

28.1. CA rīkiem ir jāievieš dublēšanas un atkopšanas funkcijas AS un (vai) CA rīku apstrādātās informācijas bojājumu gadījumā. Dublēšanas laikā ir jāizslēdz iespēja kopēt kriptogrāfiskās atslēgas.

28.2. Prasības CA klases KS1 iekārtām:

Dati saglabāti, kad dublējums, jābūt pietiekamam, lai atjaunotu CA iekārtu darbību tādā stāvoklī, kāds reģistrēts kopēšanas brīdī.

28.3. Prasības KS2 un KS3 klases CA objektiem sakrīt ar prasībām KS1 klases CA iekārtām.

28.4. Prasības KB1 klases CA iekārtām:

Jāveic pasākumi, lai atklātu neatļautas izmaiņas saglabātajos datos;
- CA objektu attīstības (modernizācijas) darba uzdevumā un CA objektu ekspluatācijas dokumentācijā ir jānosaka un jāprecizē prasības atjaunošanas laikam.

28.5. Prasības CA klases KV2 iekārtām:

Dublēšanas laikā saglabātā aizsargātā informācija ir jāuzglabā tikai šifrētā veidā.

28.6. Prasības KA1 klases CA objektiem sakrīt ar prasībām KB2 klases CA iekārtām.

29. Prasības elektroniskā paraksta pārbaudes atslēgas sertifikātu izveidei un anulēšanai:

29.1. Elektroniskā paraksta verifikācijas atslēgas sertifikātu izveides un atsaukšanas protokoli jāapraksta CA iekārtu darbības dokumentācijā.

29.2. SI veidotajiem elektroniskā paraksta pārbaudes atslēgas sertifikātiem un atsaukto sertifikātu sarakstiem jāatbilst starptautiskajām rekomendācijām ITU-T X.509 7 (turpmāk tekstā X.509 ieteikumi). Visi lauki un papildinājumi, kas iekļauti elektroniskā paraksta pārbaudes atslēgas sertifikātā un atsaukto sertifikātu sarakstā, ir jāaizpilda saskaņā ar X.509 ieteikumiem. Izmantojot alternatīvus formātus ciparparaksta pārbaudes atslēgu sertifikātiem, CA rīku izstrādes (modernizācijas) darba uzdevumā ir jānosaka un jānorāda prasības ciparparaksta pārbaudes atslēgas sertifikātu izveides un atsaukšanas protokoliem.

29.3. CA rīkiem ir jāievieš protokols elektroniskā paraksta verifikācijas atslēgas sertifikāta atsaukšanai, izmantojot atsaukto sertifikātu sarakstus.

29.4. Atsaukšanas protokolus atļauts realizēt, neizmantojot atsaukto sertifikātu sarakstus, kuru prasības jānorāda CA rīku izstrādes (modernizācijas) darba uzdevumā.

29.5. Prasības CA klases KS1 iekārtām:

CA rīkiem ir jāievieš digitālā paraksta verifikācijas atslēgas sertifikāta izveides funkcija uz papīra. ES verifikācijas atslēgas sertifikāta papīra formātā izsniegšanas kārtība, kā arī ES verifikācijas atslēgas sertifikāta atbilstības uzraudzības kārtība elektroniskā formā un papīra formātā ir jānorāda CA iekārtu operatīvajā dokumentācijā;

CA objektos attiecībā uz ES verifikācijas atslēgas sertifikāta īpašnieku ir jāievieš mehānismi, lai pārbaudītu ES verifikācijas atslēgas unikalitāti un atbilstošās ES atslēgas piederību.

29.6. Prasības KS2 klases CA objektiem sakrīt ar prasībām KS1 klases CA objektiem.

29.7. Prasības CA klases KS3 iekārtām:

Laika vērtību kļūda elektroniskā paraksta pārbaudes atslēgas sertifikātos un atsaukto sertifikātu sarakstos nedrīkst pārsniegt 10 minūtes.

29.8. Prasības KB1 klases CA iekārtām:

Kļūda laika vērtībās elektroniskā paraksta pārbaudes atslēgas sertifikātos un atsaukto sertifikātu sarakstos nedrīkst pārsniegt 5 minūtes.

29.9. Prasības KB2 un KA1 klases CA iekārtām sakrīt ar prasībām KB 1 klases CA iekārtām.

30. Prasības elektroniskā paraksta pārbaudes atslēgas sertifikāta struktūrai un atsaukto sertifikātu sarakstam:

30.1. Prasības CA klases KS1 iekārtām:

Pieņemamās elektroniskā paraksta pārbaudes atslēgas sertifikāta struktūras un atsaukto sertifikātu saraksts ir jānorāda CA iekārtu darbības dokumentācijā;
- CA rīkos jāievieš mehānisms izveidoto elektroniskā paraksta pārbaudes atslēgu sertifikātu un atsaukto sertifikātu sarakstu atbilstības uzraudzībai noteiktajai struktūrai;
- ES verifikācijas atslēgas sertifikāta struktūrā jābūt laukam, kurā ir informācija par to CA rīku klasi, ar kuras palīdzību tika izveidots šis ES verifikācijas atslēgas sertifikāts, un laukam, kurā ir informācija par īpašnieka ES līdzekļu klasi. no ES verifikācijas atslēgas sertifikāta.

30.2. Prasības KS2 un KS3 klases CA objektiem sakrīt ar prasībām KS1 klases CA iekārtām.

30.3. Prasības CA klases KV1 iekārtām:

CA rīkiem ir jāievieš mehānisms, lai sistēmas administrators norādītu pieņemamu ES verifikācijas atslēgas sertifikāta papildinājumu kopu un atsaukto sertifikātu sarakstu.

30.4. Prasības KB2 un KA1 klases CA iekārtām sakrīt ar prasībām KB1 klases CA iekārtām.

31. Prasības elektroniskā paraksta pārbaudes atslēgas sertifikātu reģistram un piekļuves nodrošināšanai tam:

31.1. Prasības CA klases KS1 iekārtām:

CA rīkiem ir jāievieš mehānismi visu izveidoto ciparparaksta verifikācijas atslēgas sertifikātu un atsaukto sertifikātu sarakstu glabāšanai un meklēšanai reģistrā, kā arī tīkla piekļuvei reģistram.

31.2. Prasības KS2 klases CA objektiem sakrīt ar prasībām KS1 klases CA objektiem.

31.3. Prasības CA klases KS3 iekārtām:

CA rīkiem jāievieš mehānisms elektroniskā paraksta pārbaudes atslēgu sertifikātu un atsaukto sertifikātu sarakstu meklēšanai digitālā paraksta pārbaudes atslēgu sertifikātu reģistrā pēc to dažādajiem atribūtiem;
- visas izmaiņas elektroniskā paraksta pārbaudes atslēgu sertifikātu reģistrā ir jāreģistrē audita žurnālā.

31.4. Prasības KB1, KB2 un KA1 klases CA objektiem sakrīt ar prasībām KS3 klases CA objektiem.
32. Prasības elektroniskā paraksta pārbaudei elektroniskā paraksta pārbaudes atslēgas sertifikātā:

32.1. CA līdzekļu operatīvajā dokumentācijā ir jādefinē un jānorāda mehānisms elektroniskā paraksta pārbaudes atslēgas sertifikātā esošā paraksta pārbaudei pēc elektroniskās mijiedarbības dalībnieka pieprasījuma.

32.2. CA rīkiem ir jāievieš mehānisms SI elektroniskā paraksta autentiskuma pārbaudei tās izdotajos digitālā paraksta pārbaudes atslēgas sertifikātos.

32.3. Elektroniskais paraksts elektroniskā paraksta verifikācijas atslēgas sertifikātā tiek pārbaudīts saskaņā ar X.509 rekomendācijām, ieskaitot obligātu visu kritisko papildinājumu pārbaudi.

32.4. Ja, pamatojoties uz CA rīku darbības specifiku, ir pieļaujama alternatīvu formātu izmantošana ciparparaksta pārbaudes atslēgas sertifikātam, ir jādefinē un jānorāda elektroniskā paraksta pārbaudes atslēgas sertifikātā esošā paraksta pārbaudes mehānisms. atsauce CA rīku izstrādei (modernizācijai).

33. Lai ierobežotu iespēju veidot uzbrukuma kanālus pret CA iekārtām, izmantojot sakaru kanālus, ir jāizmanto ugunsmūra rīki.

34. Prasības CA līdzekļu aizsardzībai no datorvīrusi un datoru uzbrukumiem un ir norādīti CA rīku izstrādes (modernizācijas) darba uzdevumā.

35. Pieslēdzot CA iekārtas informācijas un telekomunikāciju tīklam, kuram pieeja nav ierobežota noteiktam personu lokam, šīm iekārtām jāatbilst KB2 vai KA1 klases CA iekārtām noteiktajām prasībām.

36. CA līdzekļu izpēte, lai apstiprinātu SI līdzekļu atbilstību šīm Prasībām, jāveic, izmantojot Krievijas FSB izstrādātajos CA līdzekļos ieviesto aizsardzības mehānismu parametru un raksturlielumu skaitliskās vērtības.

1 Reģistrēts Krievijas Tieslietu ministrijā 2005.gada 3.martā, reģistrācijas Nr.6382.
2 Reģistrēts Krievijas Tieslietu ministrijā 2010.gada 25.maijā, reģistrācijas Nr.17350.
3 Nepieciešamo izstrādājamo (jaunināmo) CA rīku klasi nosaka CA rīku pasūtītājs (izstrādātājs), nosakot iespējas izveidot uzbrukuma metodes, sagatavot un veikt uzbrukumus, pamatojoties uz šo prasību 9.-14.punktu un norādīts taktiskās un tehniskās specifikācijas vai tehniskās specifikācijas eksperimentālo projektēšanas darbu veikšanai vai eksperimentālā projektēšanas darba neatņemama sastāvdaļa CA rīku izstrādei (modernizācijai) (turpmāk tekstā T3 CA rīku izstrādei (modernizācijai)).
4 Programmatūras vide, kas ļauj tajā pastāvēt tikai noteiktam priekšmetu (programmu, procesu) kopumam.
5 Personas, kas ir CA līdzekļu administratoru grupas dalībnieces un nav zināmas kā pārkāpējas.
6 Nepatiesa ziņojuma uzspiešana ir darbība, ko elektroniskās mijiedarbības vai CA līdzekļa dalībnieki uztver kā patiesa ziņojuma nosūtīšanu no nesankcionētas piekļuves aizsargātā veidā.
7 ITU-T ieteikums X.509. Informācijas tehnoloģija — Atvērto sistēmu starpsavienojums — Katalogs: Publiskās atslēgas un atribūtu sertifikātu ietvari. 2008. http://www.itu.int/rec/T-REC-X.509-200811-i.
8 Noteikumu par Krievijas Federācijas Federālo drošības dienestu 9. punkta 47. apakšpunkts, kas apstiprināts ar Krievijas Federācijas prezidenta 2003. gada 11. augusta dekrētu Nr. 960 (Krievijas Federācijas tiesību aktu kopums, 2003, Nr. 33 , 3254., 2005., Nr. 2699 (I daļa), 3463. pants, 45. pants; 4087, 2435. pants;