Таблица по классам СКЗИ для защиты ПДн

Таблица по классам СКЗИ для защиты ПДн ЭЦП
На чтение 17 мин. Просмотров 3 Опубликовано
Содержание
  1. Что такое электронная цифровая подпись
  2. приложение n 2. требования к средствам удостоверяющего центра | гарант
  3. Выбор класса защиты компонентов криптошлюза и других скзи
  4. Государственные и коммерческие предприятия
  5. Как получить эцп
  6. Как получить эцп для ип
  7. Как получить эцп для юридических лиц
  8. Как получить эцп физическому лицу
  9. Можно ли использовать программу cybersafe?
  10. Настройка рабочего места
  11. Таблица по классам скзи для защиты пдн
  12. Установка криптопро
  13. Установка сертификатов
  14. Выводы

Что такое электронная цифровая подпись

Электронная цифровая подпись — это полноценная замена собственноручной подписи человека, область применения которой определяется Федеральным Законом. Цифровая подпись состоит из открытой части и закрытой, вторая из них записывается на специальный носитель или в реестр компьютера.

Процесс подписания документов основан на криптографических операциях с открытой и закрытой частями ключа. Поэтому подделать электронную цифровую подпись невозможно.

приложение n 2. требования к средствам удостоверяющего центра | гарант

I. Общие положения

1. Настоящие Требования разработаны в соответствии с Федеральным законом от 6 апреля 2022 г. N 63-Ф3 «Об электронной подписи» (далее — Федеральный закон).

2. В настоящих Требованиях используются следующие основные понятия, определенные в статье 2 Федерального закона:

1) электронная подпись (далее — ЭП) — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

3) средства ЭП — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;

4) ключ ЭП — уникальная последовательность символов, предназначенная для создания ЭП;

5) ключ проверки ЭП — уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП (далее — проверка ЭП);

6) сертификат ключа проверки ЭП — электронный документ или документ на бумажном носителе, выданные УЦ либо доверенным лицом УЦ и подтверждающие принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП;

8) владелец сертификата ключа проверки ЭП — лицо, которому в установленном Федеральным законом порядке выдан сертификат ключа проверки ЭП;

10) средства УЦ — аппаратные и (или) программные средства, используемые для реализации функций УЦ;

3. Настоящие Требования устанавливают структуру и содержание требований к средствам УЦ.

4. Настоящие Требования предназначены для заказчиков и разработчиков разрабатываемых (модернизируемых) средств УЦ при их взаимодействии между собой, с организациями, проводящими криптографические, инженерно-криптографические и специальные исследования средств УЦ, ФСБ России, осуществляющей подтверждение соответствия средств УЦ настоящим Требованиям.

5. Настоящие Требования распространяются на средства УЦ, предназначенные для использования на территории Российской Федерации.

6. К средствам УЦ в части их разработки, производства, реализации и эксплуатации предъявляются требования, закрепленные Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 г. N 66 1изменениями, внесенными приказом ФСБ России от 12 апреля 2022 г. N 173 2, для шифровальных (криптографических) средств защиты информации (далее — СКЗИ) с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

------------------------------

1 Зарегистрирован Минюстом России 3 марта 2005 г., регистрационный N 6382.

2 Зарегистрирован Минюстом России 25 мая 2022 г., регистрационный N 17350.

------------------------------

II. Требования к средствам УЦ

7. Средства УЦ должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения инженерно-технической и криптографической безопасности средств УЦ или с целью создания условий для этого (далее — атака).

9. Средства УЦ класса КС1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

9.1. Подготовка и проведение атак извне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее — контролируемая зона).

9.2. Подготовка и проведение атак без использования доступа к функциональным возможностям программно-аппаратных средств взаимодействия с УЦ.

9.5. Получение следующей информации:

— общих сведений об информационной системе, в которой используются средства УЦ (назначение, состав, объекты, в которых размещены ресурсы информационной системы);

— сведений об информационных технологиях, базах данных, АС, программном обеспечении (далее — ПО), используемых в информационной системе совместно со средствами УЦ;

— сведений о физических мерах защиты объектов, в которых размещены средства УЦ;

— сведений о мерах по обеспечению защиты контролируемой зоны объектов информационной системы, в которой используются средства УЦ;

— сведений о мерах по разграничению доступа в помещения, в которых размещены средства УЦ;

— содержания находящейся в свободном доступе технической документации на средства УЦ;

— сведений о защищаемой информации, используемой в процессе эксплуатации средств УЦ (виды защищаемой информации: служебная информация, парольная и аутентифицирующая информация, конфигурационная информация, управляющая информация, информация в электронных журналах регистрации; общие сведения о содержании каждого вида защищаемой информации; характеристики безопасности для каждого вида защищаемой информации);

— всех возможных данных, передаваемых в открытом виде по каналам связи, не защищенным от несанкционированного доступа (далее — НСД) к информации организационно-техническими мерами;

— сведений о линиях связи, по которым передается защищаемая с использованием средств УЦ информация;

— сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушениях правил эксплуатации средств УЦ;

— сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправностях и сбоях средств УЦ;

— сведений, получаемых в результате анализа любых доступных для перехвата сигналов от аппаратных компонентов средств УЦ.

9.7. Использование в качестве каналов атак не защищенных от НСД к информации организационно-техническими мерами каналов связи (как вне контролируемой зоны, так и в ее пределах), по которым передается информация, обрабатываемая средствами УЦ.

11. Средства УЦ класса КС3 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

11.1. Возможности, перечисленные в подпунктах 10.1, 10.4 настоящих Требований.

11.2. Подготовка и проведение атак из-за пределов контролируемой зоны с использованием доступа к функциональным возможностям программно-аппаратных средств взаимодействия с УЦ на основе легального обладания аутентифицирующей информацией либо подготовка и проведение атак из контролируемой зоны с использованием доступа к АС, на которых реализованы компоненты УЦ, с правами лица, не являющегося членом группы физических лиц, уполномоченных производить инсталляцию, конфигурирование и эксплуатацию средств УЦ, конфигурирование профиля и параметров журнала аудита (функции системного администратора), архивирование, резервное копирование и восстановление информации после сбоев (функции оператора), создание и аннулирование сертификатов ключей проверки ЭП (функции администратора сертификации), просмотр и поддержку журнала аудита (функции администратора аудита) (далее — группа администраторов средств УЦ) ни одного из компонентов УЦ.

11.3. Обладание АС УЦ в объеме, зависящем от реализованных мер, направленных на предотвращение и пресечение несанкционированных действий.

15. Средства УЦ должны эксплуатироваться в соответствии с эксплуатационной документацией на средства УЦ. Комплекс организационно-технических мероприятий по обеспечению безопасного функционирования средств УЦ должен быть указан в эксплуатационной документации на средства УЦ.

17. Каждое требование, предъявляемое к средствам УЦ любого класса, кроме КА1, либо предъявляется к средствам УЦ следующего класса без изменений (в этом случае оно в перечне требований к средствам УЦ следующего класса не указывается), либо ужесточается (в этом случае в перечне требований к средствам УЦ следующего класса приводится ужесточенная формулировка). Требования к средствам УЦ следующего класса могут содержать дополнительные требования, не входящие в требования к средствам УЦ предыдущего класса.

18. Требования к ПО средств УЦ:

18.3. Требования для средств УЦ класса КС3:

— системное и прикладное ПО средств УЦ должно обеспечивать разграничение доступа системного администратора средств УЦ, администратора сертификации средств УЦ и лиц, обеспечиваемых системным администратором средств УЦ идентифицирующей и аутентифицирующей информацией и не являющихся администратором сертификации средств УЦ (далее — пользователи средств УЦ), к информации, обрабатываемой средствами УЦ, на основании правил разграничения доступа, заданных системным администратором средств УЦ;

— системное и прикладное ПО средств УЦ должно соответствовать 4 уровню контроля отсутствия недекларированных возможностей;

— системное и прикладное ПО средств УЦ не должно содержать известных уязвимостей, опубликованных в общедоступных источниках;

— в состав системного и (или) прикладного ПО средств УЦ должен входить механизм, обеспечивающий очистку оперативной и внешней памяти, используемой для хранения информации ограниченного доступа.

18.4. Требования для средств УЦ класса КВ1 совпадают с требованиями для средств УЦ класса КС3.

19. Требования к АС УЦ:

19.1. В случае планирования размещения АС УЦ в помещениях, в которых присутствует речевая акустическая и визуальная информация, содержащая сведения, составляющие государственную тайну, и (или) установлены технические средства и системы приема, передачи, обработки, хранения и отображения информации, содержащей сведения, составляющие государственную тайну, технические средства иностранного производства, входящие в состав средств УЦ, должны быть подвергнуты проверкам по выявлению устройств, предназначенных для негласного получения информации, а также исследованиям на соответствие требованиям по защите от утечки информации по каналам побочных электромагнитных излучений и наводок в соответствии с категорией выделенного помещения.

23. Требования к идентификации и аутентификации:

23.1. Идентификация и аутентификация включают в себя распознавание пользователя средств УЦ, члена группы администраторов средств УЦ или процесса и проверку их подлинности. Механизм аутентификации должен блокировать доступ этих субъектов к функциям УЦ при отрицательном результате аутентификации.

23.2. В средствах УЦ для любой реализованной процедуры аутентификации должен быть применен механизм ограничения количества следующих подряд попыток аутентификации одного субъекта доступа, число которых не должно быть больше трех. При превышении числа следующих подряд попыток аутентификации одного субъекта доступа установленного предельного значения доступ этого субъекта доступа к средствам УЦ должен быть заблокирован на промежуток времени, который указывается в ТЗ на разработку (модернизацию) средств УЦ.

23.7. Требования для средств УЦ класса КВ2 совпадают с требованиями для средств УЦ класса KB1.

24. Требования к защите данных, поступающих (экспортируемых) в (из) УЦ:

24.1. Средства УЦ должны обеспечивать доверенный ввод самоподписанного сертификата ключа проверки ЭП.

27. Требования к ключевой информации:

27.1. Порядок создания, использования, хранения и уничтожения ключевой информации определяется в соответствии с требованиями эксплуатационной документации на средства ЭП и иные СКЗИ, используемые средствами УЦ.

27.2. Срок действия ключа ЭП средства ЭП, используемого средствами УЦ, должен соответствовать требованиям, установленным к средствам ЭП.

27.4. Требования для средств УЦ классов КС2 и КС3 совпадают с требованиями для средств УЦ класса КС1.

27.6. Требования для средств УЦ класса КВ2:

— ключи ЭП, используемые для подписи сертификатов ключей проверки ЭП, списков аннулированных сертификатов и меток доверенного времени, должны генерироваться, храниться, использоваться и уничтожаться в средстве ЭП;

— должны быть приняты организационно-технические меры, исключающие возможность компрометации ключа ЭП, используемого для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, при компрометации ключевой информации, доступной двум лицам.

38. Для ограничения возможностей по построению атак с использованием каналов связи на средства, реализующие механизм формирования меток доверенного времени, УЦ должны применяться средства межсетевого экранирования уровня веб-сервера (тип «Г»), сертифицированные ФСБ России на соответствие требованиям к устройствам типа «межсетевой экран» не менее чем 3 класса защищенности. Средства межсетевого экранирования должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста.

Для обеспечения обнаружения компьютерных программ или иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования защищаемой информации или нейтрализации средств защиты информации, а также для реагирования на обнаружение этих программ и информации УЦ должны применяться средства защиты от компьютерных вирусов, предназначенные для применения на серверах информационных систем (тип «Б») и сертифицированные ФСБ России на соответствие требованиям к антивирусным средствам по классу Б2.

Для обеспечения обнаружения действий, направленных на несанкционированный доступ к информации, специальных воздействий на средства, реализующие механизмы формирования меток доверенного времени, в целях добывания, уничтожения, искажения и блокирования доступа к защищаемой информации, а также для реагирования на эти действия (предотвращение этих действий) УЦ должны применяться средства защиты от компьютерных атак, сертифицированные ФСБ России на соответствие требованиям к программным, программно-аппаратным или аппаратным средствам типа «системы обнаружения компьютерных атак» по классу Б.

Для контроля локального доступа и контроля целостности программной среды средств вычислительной техники, входящих в состав средств, реализующих механизмы формирования меток доверенного времени, УЦ должны применяться аппаратно-программные модули доверенной загрузки уровня платы расширения, сертифицированные ФСБ России на соответствие требованиям к аппаратно-программным модулям доверенной загрузки электронно-вычислительных машин по классу 2Б.

Класс СКЗИ средств, реализующих механизмы формирования меток доверенного времени, должен быть не ниже класса КС3. Должно быть обеспечено защищенное хранение криптографических ключей в неэкспортируемом виде.

Исходный код BIOS средств, реализующих механизмы формирования меток доверенного времени, должен пройти анализ на отсутствие известных уязвимостей и возможностей деструктивного воздействия, осуществляемого путем использования программных уязвимостей со стороны каналов связи.

Выбор класса защиты компонентов криптошлюза и других скзи

.

К нам периодически поступают вопросы относительно выбора компонентов криптошлюза КриптоПро NGate (хотя они применимы и к любым другим сертифицированным СКЗИ):

  1. Обязательно ли использовать клиентские и серверные компоненты одного класса защиты?
  2. Если шлюз класса КС2/КС3 а клиент КС1, то защищённое соединение будет класса КС1?

Если коротко, то на оба вопроса ответ — НЕТ. А теперь давайте разбираться.

Обратимся к «Методическим рекомендациям ФСБ (от 31 марта 2022 года № 149/7/2/6-432) по разработке НПА, определяющих угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн…»: http://www.fsb.ru/files/PDF/Metodicheskie_recomendacii.pdf

Не смотря на название документа, как написано в самом документе — руководствоваться им необходимо не только органам власти при разработке соответствующих НПА, но целесообразно руководствоваться и остальным операторам ПДн.

Найдем в документе такой пункт (в 3-м разделе):

«В случае если оператор определил, что применение СКЗИ необходимо для обеспечения безопасности ПДн в различных сегментах ИСПДн, то класс СКЗИ определяется для каждого объекта защиты в рамках одной ИСПДн. В случае применения СКЗИ для обеспечения безопасности различных объектов защиты, возможно в рамках одной ИСПДн использовать СКЗИ разных классов».

Начнем ответы на вопросы с того, что такого понятия, как «класс защиты соединения», нет, класс СКЗИ определяется для каждого объекта защиты в рамках одной ИСПДн. В нашем случае серверные и клиентские компоненты находятся в разных сегментах ИСПДн и их целесообразно отнести к разным объектам защиты.

При этом совершенно типичной является ситуация, когда в модели нарушителя для системы фиксируются требования КС3 для сервера и КС1 для клиента. Самый близкий и массовый пример тут, пожалуй, ЕБС (Единая биометрическая система), в моделях для которой явно прописаны именно такие классы. И это не только следствие практической необходимости (на телефон на iOS или Android ничего выше КС1 поставить не получится), но и явное отражение существенных аспектов: классы КС2 и КС3 нужны тогда, когда к СКЗИ может получать физический доступ нарушитель (источник атак). На шлюзе это необходимо – нельзя считать всех уборщиц ЦОДа и всех администраторов доверенными людьми. А вот у пользователя совершенно спокойно хватит КС1, ведь свой ноутбук/смартфон он по объективным причинам в руки нарушителей давать не будет (по крайней мере не должен).

Таким образом, «обеспечение криптографической защиты для доступа к ресурсу по классу КС3» — это разворачивание на нем оборудование класса КС3. А вот клиенты подключаться к нему могут с помощью компонент разных классов.

Источник — Блог Павла Луцика «Информационная безопасность на 360°».

Государственные и коммерческие предприятия

статьи речь шла об использовании электронной подписи в коммерческих предприятиях. В государственных предприятиях и банках все немного иначе. Здесь нужно использовать сертифицированный криптопровайдер, а сами ключи должны храниться на токенах. Поэтому во второй части этой статьи будет показано, как использовать сертифицированный криптопровайдер и токены для хранения ключей вне компьютера. Сперва мы поговорим о криптопровайдере, а потом уже рассмотрим практическое использование программы.

На просторах России сертифицированные криптопровайдеры предоставляют не так уж и много компаний: ООО «КРИПТО-ПРО», ООО «Лисси», ОАО «ИнфоТеКС», ЗАО «Сигнал-КОМ» и некоторые другие. Программа CyberSafe поддерживает работу с сертифицированным криптопровайдером от ООО «КРИПТО-ПРО», что обеспечивает возможность формирования и проверки электронной подписи в соответствии с отечественными стандартами ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2022 и ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2022.

Как получить эцп

ЭЦП может быть выдана физическому лицу, юридическому лицу и индивидуальному предпринимателю. Многим государственным учреждениям ЭЦП выдает территориальное управление казначейства, все остальные могут обратится в один из аккредитованных удостоверяющих центров.

Для получения подписи, необходимо определится с функциями, для которых она изготавливается. В зависимости от них надо оформлять тот или иной вид сертификата. Например, для работы с Росреестром и Росаккредитация потребуется два разных сертификата, хотя обе эти конторы являются государственными.

Как получить эцп для ип

Для получения подписи необходимо также обратиться в аккредитованный удостоверяющий центр. ИП оформляет ЭЦП как физическое лицо и предоставляет только:

  1. паспорт;
  2. ИНН;
  3. СНИЛС.

Как получить эцп для юридических лиц

Перечень необходимых документов зависит от назначения подписи. ЭЦП оформляется либо на физическое лицо, например на руководителя, либо на юридическое лицо с указанием ФИО пользователя или даже без него. Тип зависит от применения.

Возможный набор документов:

  1. Паспорт лица на которое оформляется сертификат;
  2. СНИЛС;
  3. Если ЭЦП оформляется не на руководителя, документ на основании которого действует человек, например, доверенность.

Как получить эцп физическому лицу

Чтобы физическому лицу получить ЭЦП, потребуется предоставить паспорт, ИНН и СНИЛС. Перечень вещей которые обычный человек может делать с помощью подписи не маленький:

Можно ли использовать программу cybersafe?

Одно дело — шифрование личных файлов, но государственный и банковский сектор — совсем другое. Какие нормы позволяют считать CyberSafe программой, использующей сертифицированное ФСБ России СКЗИ и не требующей соответствующей сертификации? Ответ на этот вопрос можно получить в паспорте (формуляре) на программный продукт КриптоПро CSP и в методических рекомендациях по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Последние утверждены ФСБ России 21 февраля 2008 года № 149/54-144.

В паспорте на КриптоПро CSP читаем п. 1 из раздела 2:

Допускается использование СКЗИ для криптографической защиты персональных данных

Далее открываем методические рекомендации и читаем пункт 1 из раздела 5:

5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).

Настройка рабочего места

Для полноценной работы на компьютер надо установить следующее программное обеспечение:

Таблица по классам скзи для защиты пдн


Обратил внимание, что несмотря на положение про «использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз» (п.5г), в документа предполагается использование сертифицированных СКЗИ, даются конкретные классы СКЗИ под уровни защищенности ПДн.


Вот итоговая таблица:

Напомню, что на данный момент есть 6 классов СКЗИ: КС1, КС2, КС3, КВ1, КВ2, КА1.

Класс определяется исходя из возможностей по реализации атак (по сути, модель нарушителя), которые прописаны в документе. 

Например:

  • при КС3 злоумышленник имеет доступ к СВТ, на которых реализованы СКЗИ и СФ (среда функционирования)
  • при КВ2 злоумышленники могут располагать исходными текстами входящего в СФ прикладного ПО, непосредственно использующего Вызовы программных функций СКЗИ
  • при КА1 злоумышленники имеют возможность располагать всеми аппаратными компонентами СКЗИ и СФ

Установка криптопро

Установка Криптопро не представляет из себя ничего сложного. Ее можно выполнять с настройками по умолчанию или в расширенном режиме. В расширенной версии надо выбрать класс защиты КС1, КС2 или КС3. КС1 позволит хранить ключи безопасности как в памяти приложения, так и в службе хранения ключей. КС2 и КС3 исключают возможность хранить ключи в памяти приложения.

Еще немного инфы про классы защиты. Взял с форума.

Как я понимаю, существуют разные задачи, попадающие под различные классы защищенности. В зависимости от необходимого класса защищенности выбирается средства криптографической защиты информации.
КС1 — это самый нижний класс защиты, который обеспечивает просто «теоретическую» устойчивость алгоритма и правильность его реализации.
КС2 — следующий за ним класс, обеспечивает «практическую» устойчивость шифра в условиях использования неквалифицированного персонала.
КС3 — это еще и дополнительная стойкость от атак авторизованного пользователя системы.
Каждый следующий класс включает возможности предыдущего.

Обычно на практике вполне достаточно КС2 для любых задач прикладного уровня.

Далее необходимо выбрать компоненты программы, которые будут установлены. Можно поставить все, места они почти не занимают.

Установка сертификатов

Для того, чтобы заработал личный сертификат, надо установить весь путь сертификации, то есть как минимум поставить сертификат удостоверяющего центра, выдавшего ЭЦП. Удостоверяющие центры обычно выкладывают файл .cer в открытом доступе.

Выводы

Программу CyberSafe не только можно, но и нужно использовать в государственных организациях и банках, поскольку программа поддерживает сертифицированный криптопровайдер (Крипто Про) и позволяет не хранить сертификаты (ключи) на компьютере, а вынести их на внешние носители.

N 2 Приложение средствам Требования удостоверяющего центра
Оцените статью
ЭЦП64
Добавить комментарий

© 2022 ЭЦП64