приложение n 2. требования к средствам удостоверяющего центра | гарант
I. Общие положения
1. Настоящие Требования разработаны в соответствии с Федеральным законом от 6 апреля 2022 г. N 63-Ф3 «Об электронной подписи» (далее — Федеральный закон).
2. В настоящих Требованиях используются следующие основные понятия, определенные в статье 2 Федерального закона:
1) электронная подпись (далее — ЭП) — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
3) средства ЭП — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;
4) ключ ЭП — уникальная последовательность символов, предназначенная для создания ЭП;
5) ключ проверки ЭП — уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП (далее — проверка ЭП);
6) сертификат ключа проверки ЭП — электронный документ или документ на бумажном носителе, выданные УЦ либо доверенным лицом УЦ и подтверждающие принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП;
8) владелец сертификата ключа проверки ЭП — лицо, которому в установленном Федеральным законом порядке выдан сертификат ключа проверки ЭП;
10) средства УЦ — аппаратные и (или) программные средства, используемые для реализации функций УЦ;
3. Настоящие Требования устанавливают структуру и содержание требований к средствам УЦ.
4. Настоящие Требования предназначены для заказчиков и разработчиков разрабатываемых (модернизируемых) средств УЦ при их взаимодействии между собой, с организациями, проводящими криптографические, инженерно-криптографические и специальные исследования средств УЦ, ФСБ России, осуществляющей подтверждение соответствия средств УЦ настоящим Требованиям.
5. Настоящие Требования распространяются на средства УЦ, предназначенные для использования на территории Российской Федерации.
6. К средствам УЦ в части их разработки, производства, реализации и эксплуатации предъявляются требования, закрепленные Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 г. N 66 1 (с изменениями, внесенными приказом ФСБ России от 12 апреля 2022 г. N 173 2, для шифровальных (криптографических) средств защиты информации (далее — СКЗИ) с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
------------------------------
1 Зарегистрирован Минюстом России 3 марта 2005 г., регистрационный N 6382.
2 Зарегистрирован Минюстом России 25 мая 2022 г., регистрационный N 17350.
------------------------------
II. Требования к средствам УЦ
7. Средства УЦ должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения инженерно-технической и криптографической безопасности средств УЦ или с целью создания условий для этого (далее — атака).
9. Средства УЦ класса КС1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:
9.1. Подготовка и проведение атак извне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее — контролируемая зона).
9.2. Подготовка и проведение атак без использования доступа к функциональным возможностям программно-аппаратных средств взаимодействия с УЦ.
9.5. Получение следующей информации:
— общих сведений об информационной системе, в которой используются средства УЦ (назначение, состав, объекты, в которых размещены ресурсы информационной системы);
— сведений об информационных технологиях, базах данных, АС, программном обеспечении (далее — ПО), используемых в информационной системе совместно со средствами УЦ;
— сведений о физических мерах защиты объектов, в которых размещены средства УЦ;
— сведений о мерах по обеспечению защиты контролируемой зоны объектов информационной системы, в которой используются средства УЦ;
— сведений о мерах по разграничению доступа в помещения, в которых размещены средства УЦ;
— содержания находящейся в свободном доступе технической документации на средства УЦ;
— сведений о защищаемой информации, используемой в процессе эксплуатации средств УЦ (виды защищаемой информации: служебная информация, парольная и аутентифицирующая информация, конфигурационная информация, управляющая информация, информация в электронных журналах регистрации; общие сведения о содержании каждого вида защищаемой информации; характеристики безопасности для каждого вида защищаемой информации);
— всех возможных данных, передаваемых в открытом виде по каналам связи, не защищенным от несанкционированного доступа (далее — НСД) к информации организационно-техническими мерами;
— сведений о линиях связи, по которым передается защищаемая с использованием средств УЦ информация;
— сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушениях правил эксплуатации средств УЦ;
— сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправностях и сбоях средств УЦ;
— сведений, получаемых в результате анализа любых доступных для перехвата сигналов от аппаратных компонентов средств УЦ.
9.7. Использование в качестве каналов атак не защищенных от НСД к информации организационно-техническими мерами каналов связи (как вне контролируемой зоны, так и в ее пределах), по которым передается информация, обрабатываемая средствами УЦ.
11. Средства УЦ класса КС3 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:
11.1. Возможности, перечисленные в подпунктах 10.1, 10.4 настоящих Требований.
11.2. Подготовка и проведение атак из-за пределов контролируемой зоны с использованием доступа к функциональным возможностям программно-аппаратных средств взаимодействия с УЦ на основе легального обладания аутентифицирующей информацией либо подготовка и проведение атак из контролируемой зоны с использованием доступа к АС, на которых реализованы компоненты УЦ, с правами лица, не являющегося членом группы физических лиц, уполномоченных производить инсталляцию, конфигурирование и эксплуатацию средств УЦ, конфигурирование профиля и параметров журнала аудита (функции системного администратора), архивирование, резервное копирование и восстановление информации после сбоев (функции оператора), создание и аннулирование сертификатов ключей проверки ЭП (функции администратора сертификации), просмотр и поддержку журнала аудита (функции администратора аудита) (далее — группа администраторов средств УЦ) ни одного из компонентов УЦ.
11.3. Обладание АС УЦ в объеме, зависящем от реализованных мер, направленных на предотвращение и пресечение несанкционированных действий.
15. Средства УЦ должны эксплуатироваться в соответствии с эксплуатационной документацией на средства УЦ. Комплекс организационно-технических мероприятий по обеспечению безопасного функционирования средств УЦ должен быть указан в эксплуатационной документации на средства УЦ.
17. Каждое требование, предъявляемое к средствам УЦ любого класса, кроме КА1, либо предъявляется к средствам УЦ следующего класса без изменений (в этом случае оно в перечне требований к средствам УЦ следующего класса не указывается), либо ужесточается (в этом случае в перечне требований к средствам УЦ следующего класса приводится ужесточенная формулировка). Требования к средствам УЦ следующего класса могут содержать дополнительные требования, не входящие в требования к средствам УЦ предыдущего класса.
18. Требования к ПО средств УЦ:
18.3. Требования для средств УЦ класса КС3:
— системное и прикладное ПО средств УЦ должно обеспечивать разграничение доступа системного администратора средств УЦ, администратора сертификации средств УЦ и лиц, обеспечиваемых системным администратором средств УЦ идентифицирующей и аутентифицирующей информацией и не являющихся администратором сертификации средств УЦ (далее — пользователи средств УЦ), к информации, обрабатываемой средствами УЦ, на основании правил разграничения доступа, заданных системным администратором средств УЦ;
— системное и прикладное ПО средств УЦ должно соответствовать 4 уровню контроля отсутствия недекларированных возможностей;
— системное и прикладное ПО средств УЦ не должно содержать известных уязвимостей, опубликованных в общедоступных источниках;
— в состав системного и (или) прикладного ПО средств УЦ должен входить механизм, обеспечивающий очистку оперативной и внешней памяти, используемой для хранения информации ограниченного доступа.
18.4. Требования для средств УЦ класса КВ1 совпадают с требованиями для средств УЦ класса КС3.
19. Требования к АС УЦ:
19.1. В случае планирования размещения АС УЦ в помещениях, в которых присутствует речевая акустическая и визуальная информация, содержащая сведения, составляющие государственную тайну, и (или) установлены технические средства и системы приема, передачи, обработки, хранения и отображения информации, содержащей сведения, составляющие государственную тайну, технические средства иностранного производства, входящие в состав средств УЦ, должны быть подвергнуты проверкам по выявлению устройств, предназначенных для негласного получения информации, а также исследованиям на соответствие требованиям по защите от утечки информации по каналам побочных электромагнитных излучений и наводок в соответствии с категорией выделенного помещения.
23. Требования к идентификации и аутентификации:
23.1. Идентификация и аутентификация включают в себя распознавание пользователя средств УЦ, члена группы администраторов средств УЦ или процесса и проверку их подлинности. Механизм аутентификации должен блокировать доступ этих субъектов к функциям УЦ при отрицательном результате аутентификации.
23.2. В средствах УЦ для любой реализованной процедуры аутентификации должен быть применен механизм ограничения количества следующих подряд попыток аутентификации одного субъекта доступа, число которых не должно быть больше трех. При превышении числа следующих подряд попыток аутентификации одного субъекта доступа установленного предельного значения доступ этого субъекта доступа к средствам УЦ должен быть заблокирован на промежуток времени, который указывается в ТЗ на разработку (модернизацию) средств УЦ.
23.7. Требования для средств УЦ класса КВ2 совпадают с требованиями для средств УЦ класса KB1.
24. Требования к защите данных, поступающих (экспортируемых) в (из) УЦ:
24.1. Средства УЦ должны обеспечивать доверенный ввод самоподписанного сертификата ключа проверки ЭП.
27. Требования к ключевой информации:
27.1. Порядок создания, использования, хранения и уничтожения ключевой информации определяется в соответствии с требованиями эксплуатационной документации на средства ЭП и иные СКЗИ, используемые средствами УЦ.
27.2. Срок действия ключа ЭП средства ЭП, используемого средствами УЦ, должен соответствовать требованиям, установленным к средствам ЭП.
27.4. Требования для средств УЦ классов КС2 и КС3 совпадают с требованиями для средств УЦ класса КС1.
27.6. Требования для средств УЦ класса КВ2:
— ключи ЭП, используемые для подписи сертификатов ключей проверки ЭП, списков аннулированных сертификатов и меток доверенного времени, должны генерироваться, храниться, использоваться и уничтожаться в средстве ЭП;
— должны быть приняты организационно-технические меры, исключающие возможность компрометации ключа ЭП, используемого для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, при компрометации ключевой информации, доступной двум лицам.
38. Для ограничения возможностей по построению атак с использованием каналов связи на средства, реализующие механизм формирования меток доверенного времени, УЦ должны применяться средства межсетевого экранирования уровня веб-сервера (тип «Г»), сертифицированные ФСБ России на соответствие требованиям к устройствам типа «межсетевой экран» не менее чем 3 класса защищенности. Средства межсетевого экранирования должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста.
Для обеспечения обнаружения компьютерных программ или иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования защищаемой информации или нейтрализации средств защиты информации, а также для реагирования на обнаружение этих программ и информации УЦ должны применяться средства защиты от компьютерных вирусов, предназначенные для применения на серверах информационных систем (тип «Б») и сертифицированные ФСБ России на соответствие требованиям к антивирусным средствам по классу Б2.
Для обеспечения обнаружения действий, направленных на несанкционированный доступ к информации, специальных воздействий на средства, реализующие механизмы формирования меток доверенного времени, в целях добывания, уничтожения, искажения и блокирования доступа к защищаемой информации, а также для реагирования на эти действия (предотвращение этих действий) УЦ должны применяться средства защиты от компьютерных атак, сертифицированные ФСБ России на соответствие требованиям к программным, программно-аппаратным или аппаратным средствам типа «системы обнаружения компьютерных атак» по классу Б.
Для контроля локального доступа и контроля целостности программной среды средств вычислительной техники, входящих в состав средств, реализующих механизмы формирования меток доверенного времени, УЦ должны применяться аппаратно-программные модули доверенной загрузки уровня платы расширения, сертифицированные ФСБ России на соответствие требованиям к аппаратно-программным модулям доверенной загрузки электронно-вычислительных машин по классу 2Б.
Класс СКЗИ средств, реализующих механизмы формирования меток доверенного времени, должен быть не ниже класса КС3. Должно быть обеспечено защищенное хранение криптографических ключей в неэкспортируемом виде.
Исходный код BIOS средств, реализующих механизмы формирования меток доверенного времени, должен пройти анализ на отсутствие известных уязвимостей и возможностей деструктивного воздействия, осуществляемого путем использования программных уязвимостей со стороны каналов связи.
Государственные и коммерческие предприятия
статьи речь шла об использовании электронной подписи в коммерческих предприятиях. В государственных предприятиях и банках все немного иначе. Здесь нужно использовать сертифицированный криптопровайдер, а сами ключи должны храниться на токенах. Поэтому во второй части этой статьи будет показано, как использовать сертифицированный криптопровайдер и токены для хранения ключей вне компьютера. Сперва мы поговорим о криптопровайдере, а потом уже рассмотрим практическое использование программы.
На просторах России сертифицированные криптопровайдеры предоставляют не так уж и много компаний: ООО «КРИПТО-ПРО», ООО «Лисси», ОАО «ИнфоТеКС», ЗАО «Сигнал-КОМ» и некоторые другие. Программа CyberSafe поддерживает работу с сертифицированным криптопровайдером от ООО «КРИПТО-ПРО», что обеспечивает возможность формирования и проверки электронной подписи в соответствии с отечественными стандартами ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2022 и ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2022.
Класс скзи
Для обеспечения защиты информации используются следующие типы систем:
- Операционная система типа «А» (общего назначения),
- Операционная система типа «Б» (встраиваемая),
- Операционная система типа «В» (реального времени).
Каждый уровень предусматривает следующий комплекс мер:
- Физические,
- Технические,
- Контролирующие,
- Организационные.
4-й уровень
На этом уровне действует комплект документов «УЗ4»:
- порядок доступа в помещения, где находятся СКЗИ и любые носители информации по ним,
- список лиц, имеющих на это право,
- журнал учёта носителей ПД,
- перечень лиц с правом доступа к обрабатываемым данным.
3-й уровень
На этом уровне действует Комплект «УЗ3», содержащий шаблоны следующих документов:
- план мероприятий ПД 3 уровня защищённости,
- правила допуска в помещения хранения СКЗИ, включая нештатные ситуации,
- перечень, имеющих впуск в вышеуказанные помещения и к ПД,
- журнал учёта носителей ПД,
- приказ о назначении ответственного за безопасность данных.
2-й уровень защиты
Комплекс мер «УЗ2» с документами 2-го уровня:
- план мероприятий безопасности 2 уровня,
- правила доступа в помещения хранения СКЗИ, включая нештатные ситуации,
- перечень лиц, которым разрешён доступ в вышеуказанные помещения к ПД,
- журнал учёта носителей ПД,
- приказ о назначении ответственного за безопасность данных,
- список лиц, имеющих допуск к электронному журналу в ИСПДн.
1-й уровень
комплекте «УЗ1»:
Требуемые документы:
- план мероприятий 1-го уровня защищённости,
- правила допуска в помещения хранения СКЗИ, включая нештатные ситуации,
- список лиц, имеющих доступ в вышеуказанные помещения и к ПД,
- журнал учёта,
- положение об отделе защиты ПД.
Мероприятия для обеспечения безопасности пдн
Мероприятия, необходимые для обеспечения безопасности персональных данных, должны быть реализованы с учетом особенностей инфраструктуры информационной системы персональных данных, актуальных угроз безопасности персональным данным и в соответствии с требованиями нормативно-правовых документов, упомянутых выше.
Мы бы рекомендовали провести полное обследование всей информационной инфраструктуры, оттолкнувшись от которого можно грамотно построить план по защите персональных данных организации. Далее сделать акцент на подготовке документов именно к проверке ФСБ, а также провести необходимые работы по монтажу, установке и настройке средств защиты информации.
Стоит отметить, что монтаж и установку СКЗИ может производить исключительно организация, осуществляющая работы по лицензируемым видам деятельности согласно Постановлению Правительства Российской Федерации от 16 апреля 2022 г. № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
При нарушении требований по обеспечению персональных данных, предусмотренных нормативно-правовыми актами, предусмотрена административная ответственность. Для физического лица, как правило, в среднем предусмотрены штрафы около тысячи — двух тысяч рублей, для юридического лица – от двадцати тысяч рублей.
При подготовке к проверке регулятора к типовым нарушениям относятся:
— Отсутствие актуального сертификата соответствия СКЗИ;
— Отсутствие журналов учета или нерегулярное их заполнение;
— Отсутствие дистрибутивов СКЗИ, формуляров, документов;
— Недостаточные меры по обеспечению физической защиты;
— Использование СКЗИ класса ниже необходимого.
— Некорректно разработанная модель угроз.
Можно ли использовать программу cybersafe?
Одно дело — шифрование личных файлов, но государственный и банковский сектор — совсем другое. Какие нормы позволяют считать CyberSafe программой, использующей сертифицированное ФСБ России СКЗИ и не требующей соответствующей сертификации? Ответ на этот вопрос можно получить в паспорте (формуляре) на программный продукт КриптоПро CSP и в методических рекомендациях по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Последние утверждены ФСБ России 21 февраля 2008 года № 149/54-144.
В паспорте на КриптоПро CSP читаем п. 1 из раздела 2:
Допускается использование СКЗИ для криптографической защиты персональных данных
Далее открываем методические рекомендации и читаем пункт 1 из раздела 5:
5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).
Таблица по классам скзи для защиты пдн
Обратил внимание, что несмотря на положение про «использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз» (п.5г), в документа предполагается использование сертифицированных СКЗИ, даются конкретные классы СКЗИ под уровни защищенности ПДн.
Вот итоговая таблица:
Напомню, что на данный момент есть 6 классов СКЗИ: КС1, КС2, КС3, КВ1, КВ2, КА1.
Класс определяется исходя из возможностей по реализации атак (по сути, модель нарушителя), которые прописаны в документе.
Например:
- при КС3 злоумышленник имеет доступ к СВТ, на которых реализованы СКЗИ и СФ (среда функционирования)
- при КВ2 злоумышленники могут располагать исходными текстами входящего в СФ прикладного ПО, непосредственно использующего Вызовы программных функций СКЗИ
- при КА1 злоумышленники имеют возможность располагать всеми аппаратными компонентами СКЗИ и СФ
Выводы
Программу CyberSafe не только можно, но и нужно использовать в государственных организациях и банках, поскольку программа поддерживает сертифицированный криптопровайдер (Крипто Про) и позволяет не хранить сертификаты (ключи) на компьютере, а вынести их на внешние носители.