Выбор класса защиты компонентов криптошлюза и других СКЗИ

Выбор класса защиты компонентов криптошлюза и других СКЗИ ЭЦП

приложение n 2. требования к средствам удостоверяющего центра | гарант

I. Общие положения

1. Разработка данных требований осуществлялась в соответствии с Федеральным законом № 63-Ф3 от 6 апреля 2022 года «Об электронной подписи».

2. В этих спецификациях используются следующие фундаментальные идеи:

E S (далее «электронная подпись») — это информация в электронной форме, которая связана с другой информацией в электронной форме или приложена к ней;

3) Средства ЭП — это методы, которые используются для выполнения хотя бы одной из следующих задач: проверка ЭП и создание ЭП;

5) Ключ ES, который является специальной комбинацией символов, используемой для создания буквы ES;

5) Ключ проверки ES, также известный как проверка ES, является специальным символом, который исключительно связан с ключом и используется для оценки достоверности ES;

5) Сертификат ключа проверки ЭП — электронная запись или бумажный документ, выданный ЦС или подтверждающий принадлежность ключа проверки ЭП к ключам управления ЭП.

8) владельцем сертификата ключа проверки электронной подписи является лицо, которому в установленном Федеральным законом порядке выдан сертификат ключа проверки электронной подписи;

10) Инструменты, которые ЦС использует для выполнения своих обязанностей, например, аппаратное и (или, программное и) программное обеспечение.

Структура и содержание требований для средств CA устанавливаются этими требованиями.

4. Эти спецификации предназначены для руководства заказчиков и разработчиков средств ЦС в процессе их совместной работы по созданию (или модернизации) средств для предприятий.

5. Средства ЦА, предназначенные для использования в Российской Федерации, должны соответствовать этим требованиям.

6. Проектирование, производство и использование средств CA подлежат спецификациям.

------------------------------

3 марта 2005 года Министерство юстиции РФ зарегистрировало этот документ под регистрационным номером N 6382.

Свежий номер лицензии на осуществление регистрационной деятельности был зарегистрирован Министерством юстиции России (регистрационный номер 17370).

------------------------------

I I. Какие обстоятельства требуют использования методов УЦ?

7. Аппаратные средства, программное обеспечение или их комбинация должны использоваться ЦС для отражения угроз, представляющих собой целенаправленные действия.

9.

9.1 Планирование и проведение атак из-за пределов зоны, где люди (или транспортные средства) находятся под контролем.

9.2 Планирование и осуществление атак без доступа к возможностям аппаратного и программного обеспечения по взаимодействию с ЦА

9.5.Урегулирование следующей информации:

— обзор информационной системы (ее состав и назначение), в которой используются инструменты ЦА;

— подробные сведения о программном обеспечении, базах данных и других информационных технологиях (совместно именуемых «Программное обеспечение»), используемых в информационной системе, а также об инструментах, используемых ЦА;

— Подробная информация о мерах физической безопасности объектов, где размещены объекты CA;

— сведения о мерах предосторожности, принятых для защиты объектов информационной системы в контролируемой области при использовании ЦС;

— подробную информацию о мерах безопасности, принятых в месте расположения объектов ЦА;

— Содержит подробную информацию о технических ресурсах документации, предлагаемых CA;

Информация о защищаемой информации, используемой для работы средств ЦО (виды защиты: служебная информация, информация о паролях или аутентификации, информация о конфигурации). Информация об общих средствах защиты для всех типов защиты и о содержании каждого типа защищаемой информации.

— Вся информация, передаваемая через каналы связи в открытом формате без безопасного доступа (далее, называемый NSD);

— подробности о каналах передачи, используемых для передачи информации, защищенной с помощью методов ЦС;

— Информация о любых и всех нарушениях правил поведения на объектах ЦА, обнаруженных в каналах связи, не защищенных организационными или техническими средствами от несанкционированного доступа;

— подробную информацию о любых и всех неисправностях и сбоях средства ЦА, обнаруженных в каналах связи, не защищенных от несанкционированного доступа к информации с использованием организационных и технических средств защиты;

— информацию, полученную в результате изучения любых воспринимаемых сигналов от аппаратных элементов средства.

9.7. Незащищенные от НСД каналы связи (как вне контролируемой зоны, так и в ее пределах) могут использоваться в качестве каналов атаки в ОДК, передавая информацию о состоянии обработки средств управления.

11. В атаке используются следующие варианты:

11.1. Запрещено использовать пункты 10.1 и 10.4 из этих требований, также не рассматривая руководящие принципы в пунктах 121 и 112.

11.2 Планирование и проведение атак извне контролируемой зоны с использованием функциональных возможностей программно-аппаратных средств взаимодействия ЦС на основе легитимного владения аутентификационной информацией. В том числе с использованием АС. Об этом пишет «Коммерсантъ». В ходе операций было уничтожено несколько систем ИИ (в первую очередь локальных сетей), а также выведено из-под контроля пользователей некоторое оборудование системы контроля доступа. В качестве примера можно привести серверную сеть офисной системы Amazon Valve Database Projects Incorpion Center.

11.3. В зависимости от реализации мер по предотвращению и пресечению несанкционированных действий, АС ЦИК в объеме.

15. УК по С также должна осуществлять эксплуатацию ККТ в соответствии с эксплуатационной документацией, а комплекс организационных и технических мер, принятых для гарантии безопасной эксплуатации средств ККТ, должен быть отмечен в эксплуатационной документации на средства.

17. Оставлено ли оно без изменений (в этом случае оно не указано в перечне требований), сделано ли более строгим, или и то и другое, каждое требование предъявляется к средствам ЦО любого класса. Предварительные спецификации на средства ЦО могут включать дополнительные спецификации, которые не являются частью общих спецификаций.

18. Требования к системе программного обеспечения объектов УЦ

18.3 УСЛУЖИВАНИЯ КЛАССКА KS3 CA должны включать требования к адгезии.

C A означает системное и прикладное программное обеспечение, которое должно разрешить дифференциацию доступа как для администратора, так и для пользователей.

— Уровень 4 контроля отсутствия необъявленных возможностей должен быть выполнен системой и прикладным программным обеспечением;

— Уязвимости в системном и прикладном программном обеспечении, которые были сделаны общедоступными, не должны существовать;

— Механизм очистки оперативной и внешней памяти должен входить в состав системных и прикладных средств ЦАК.

18.4 УЦ класса КВ1 должен придерживаться тех же стандартов, что и УЦ класса С3.

19. CA CA: оперативные требования

19.1 Если ЦС ОЦО предполагается разместить в зоне с речевой, акустической и визуальной информацией. содержащей сведения, составляющие государственную тайну, или (и) установлены технические средства получения информации, например, приемники данных с использованием цифровых носителей для передачи через Интернет или по каналам связи Интернет; кроме того, в случае, если место размещения оборудования соответствует требованиям безопасности, локальные системы оповещения должны быть подвергнуты проверкам с использованием следующих методов:

23. Как получить информацию и аутентификацию?

Признание пользователя инструмента CA, администратора группы или администратора процесса требуется для идентификации и аутентификации. В случае плохой ситуации с аутентификацией механизм аутентификации должен предотвратить доступ к функциям BYGCA.

У Ц должен включать механизм, ограничивающий максимальное количество попыток аутентификации, которое может предпринять один субъект доступа, но не более трех. Если организация доступа делает больше попыток аутентификации, чем разрешено, доступ к объектам УЦ для этой организации должен быть ограничен на срок, указанный в ТЗ.

23.7. Классовые средства KV2 должны придерживаться тех же стандартов, что и другие системы.

24. Данные, импортированные или экспортированные в ЦС, должны быть защищены, согласно ЦС.

24.1 CA может принять сертификаты с подписанными ключами проверки ES.

27. к ключевой информации:

27.1. Операционная документация в фондах EP или SKSI, используемых средствами CA, определяет процесс создания, хранения и уничтожения ключевой информации.

27.2 Срок действия ключа ЭП, используемого методами ЦС, должен соответствовать стандартам для систем ЭП.

27.4 Средства класса 3 для CC1 и UC должны удовлетворять требованиям к средствам CG.

При использовании средств ЦА класса KV2, или 27,6

Инструмент ES должен хранить клавиши E S, используемые для подписи сертификатов ключа проверки и доверенных временных метров;

— Важно внедрить организационные и технические гарантии, которые полностью исключают возможность того, что ключ EP будет скомпрометирован при подписании сертификатов проверки EP и списками отмененных документов.

38. Системы брандмауэра на уровне веб-сервера должны использоваться для снижения вероятности атак на основе ссылок на инструменты, которые используют механизм надежного времени (TTSS). Инструменты брандмауэра используются для регулирования и фильтрации информационных потоков по протоколу передачи гипертекста.

Антивирусные средства защиты должны использоваться для обеспечения обнаружения компьютерных программ или иных компьютерных информационных систем, предназначенных для несанкционированного уничтожения (блокирования), модификации/копирования защищаемой информации или нейтрализации средств защиты информации УЦ. Их целью являются только вредоносные веб-сайты с открытым кодом доступа, «в том числе в среде третьих лиц».

Средства защиты от компьютерных атак должны использоваться для обеспечения обнаружения действий, направленных на несанкционированный доступ к информации и особым влияниям для извлечения триггеров (MRF), а также для реагирования на CAC. Утвержденные FSB России «Системы для выявления хакерских актов» используются в качестве меры безопасности.

Аппаратные и программные модули должны использоваться для предотвращения несанкционированного доступа к рабочей станции для управления локальным доступом и целостность программной среды вычислительных устройств, используемых в инструменте генерации марки Time Time CA.

Чтобы обеспечить надежное хранение криптографических ключей в неэкспортируемой форме, K S3 должен придерживаться класса инструментов ACS, реализующих механизмы создания надежных временных меток.

Исходный код инструментов BIOS, который реализует механизмы доверенного времени и использует их для создания доверенной временной метки.

Варианты исполнения СКЗИ класса защиты КС3, КС2 и КС1

Базовое программное обеспечение СКЗИ, обеспечивающее класс защиты KS1, является вариантом 2. Вариант 1, который состоит из сертифицированного программно-аппаратного модуля доверенной нагрузки (АПМД) и ПКИ класса КС2 в составе базового СКЗИ. Третий вариант — СКЗИ КС3, который сочетает в себе СКЗИ класса К2 со специализированным программным обеспечением для разработки и контроля закрытой программы.

Только в качестве компонента АПМД сертифицированного сертификата системное обеспечение СКЗИ КС2 ПГУ отличается от программного обеспечения других классов. Класс KS3 создает закрытую программную среду с использованием сертифицированного АРМД и специализированного программного обеспечения.

Совместное использование специализированного программного обеспечения для построения и управления закрытой программной средой является ключевым отличием СКЗИ класса КС3 от других типов программного обеспечения. Устойчивость к атакам, которая необходима при использовании СКЗИ класса КС1, необходима и при эксплуатации ППС класса КС2.

  1. Список лиц, имеющих право доступа в помещения
  2. Утвержденные правила доступа в помещения, в которых расположены ИСКЧ в рабочее и нерабочее время, а также в чрезвычайных ситуациях
  3. Доступ в контролируемую зону и помещения, в которых расположены персональные информационные системы (ПИС) и/или ИСКЧ, осуществляется в соответствии с системой контроля доступа
  4. Информация о мерах физической безопасности помещений, в которых расположены ИСКЧ, предоставляется в ограниченном объеме

Меры по противодействию атакам

При использовании уровня SCS KC1 необходимо принимать определенные меры предосторожности против атак, но не при использовании KS2 SCS.

  1. Список лиц, имеющих право доступа в помещение;
  2. Утвержденные правила доступа в помещение, где расположен ЖСК, в рабочее и нерабочее время, а также в чрезвычайных ситуациях;
  3. Доступ в контролируемую зону и помещения, где расположены персональные информационные системы (ПИС) и/или ЖСК, осуществляется в соответствии с системой контроля доступа;
  4. Информация о мерах физической защиты помещений, где расположены ЖСК, доступна в ограниченном объеме.

Выбор класса защиты компонентов криптошлюза и других скзи

.

Иногда мы получаем запросы относительно выбора компонентов CryptoShluse криптопримогата (даже если они также применяются к любым другим сертифицированным SKSI):

  1. Нужно ли использовать клиентские и серверные компоненты одного класса безопасности?
  2. Если шлюз — KS2/KS3, а клиент — KS1, будет ли безопасное соединение KS1?

Короткий ответ — нет. Давайте разберемся.

Обратимся к «Методическим рекомендациям ФСБ (от 31 марта 2022 года № 149/7/2/6-432) по разработке НПА, определяющих угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн…»: http://www.fsb.ru/files/PDF/Metodicheskie_recomendacii.pdf

Несмотря на название документа, как указано в самом документе, при разработке соответствующих нормативных актов необходимо руководствоваться рекомендациями из других источников.

В третьем разделе документа мы ищем следующее:

Оператор выбирает тип АСУ, если он определил, что она необходима для обеспечения безопасности ПДн в различных сегментах ISPN. В пределах одной ISPN могут использоваться различные классы ICS.

Класса защиты соединения» на самом деле не существует. В нашем случае компоненты сервера и клиента расположены в различных сегментах ISDN, и они могут быть отнесены к различным объектам защиты. Он определяется для каждого объекта в пределах одной ISDN.

В то же время это совершенно нормально, когда требования KS3 и K1 для клиента зафиксированы в модели злоумышленника для системы. Наибольшим примером в этом случае является EBS, в котором такие классы явно указаны. Поскольку на смартфоне iOS или Android нет ни одного, KS1 и KU2 необходимы как практически, так и в основном в случае физического доступа в злоумышленнике для ACS. Это требуется у шлюза, чтобы предотвратить подсчет всех чистящих средств в центре обработки данных как заслуживающих доверия людей. Тем не менее, пользователь KS1 достаточно бдительна, потому что он не позволит нарушителям использовать свой ноутбук или смартфон.

Развертывание на нем оборудования класса С3 влечет за собой «обеспечение криптографической защиты доступа к ресурсу класса КС3». Клиенты же подключаются к нему через компонент различных классов.


360 градусов информационной безопасности в Украине

Класс защиты кс2 и кс1, в чем разница?

В соответствии с требованиями ФСБ России, системные средства криптографической защиты информации классов КС2 и С1 различаются по реальным возможностям источников атак и используемым контрмерам.

Криптографические методы защиты информации класса KS1 используются в связи с текущими возможностями источников атак. В случаях, когда источники атак в настоящее время обладают соответствующими возможностями, используются криптографические методы защиты класса KS2:

  1. Самостоятельно создавать методы атак, готовить и осуществлять атаки только вне контролируемой зоны;
  2. Самостоятельно создавать методы атак, готовить и осуществлять атаки внутри контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и его среда (СФ).

Что касается нейтрализации фактической способности атаковать источники, независимо развивать векторы атаки и готовиться к атаке внутри контролируемой области, S CSI Class KC2 отличается от KC1.

Вариант 2, который является фундаментальным программным обеспечением SCSI, предлагающим класс защиты KS1.

Вариант 1 состоит из АСУ класса KS2, которая представляет собой сертифицированный программный пакет для проверки доступности, и модуля доверенной базовой загрузки (TBA).

Вариант 3 — это закрытая программа, сочетающая в себе KS3 CLA со специализированным программным обеспечением для развития и контроля.

В этом сценарии только наличие сертифицированной АСМДЗ отличает программное обеспечение класса КС2 от программного обеспечения класса Кс1. Программа замкнутого цикла составляется с использованием класса КС3, класса КС1 и сертифицированного АСМДЗ, специализированной программы.

В настоящее время существует бесплатная система для настройки и управления закрытой программной средой под названием Vipnet Syslocker (1.0 из 28.03.2022).

Классы защиты

Приказ ФСБ России от 10.07.14, под номером 378, определяет краткий перечень классов криптографических средств защиты информации и персональных данных. Формулировка защиты для конкретной системы основывается на анализе данных о модели нарушителя или на оценке возможных методов взлома. Для защиты криптографической информации используются аппаратные, программные и технические средства.

Существует три категории ИИ: непосредственные угрозы

  1. Угрозы первого типа связаны с недокументированными особенностями системного программного обеспечения, используемого в информационной системе.
  2. Угрозы второго типа связаны с недокументированными особенностями прикладного программного обеспечения, используемого в информационной системе.
  3. Угрозы третьего типа называются «все остальные».

Неудобные возможности — это функции и характеристики программного обеспечения, которые либо получены, либо не упоминаются в официальной документации. Другими словами, использование этих устройств повышает возможность скомпрометирования целостности информации или конфиденциальности.

Для наглядности мы рассмотрим примеры нарушителей, перехват которых требует применения конкретных видов криптографических средств защиты информации:

Первый уровень защиты — K S1. Чем меньше специалистов, которые ее оказывают, тем выше класс защиты. По данным 2022 года, в России 7,5 организаций имеют сертификат ФСБ и могут предлагать услуги класса К1.

Выбор класса защиты компонентов криптошлюза и других СКЗИ

Механизмы скзи для информационной защиты

  1. Конфиденциальность хранимой или передаваемой информации защищается алгоритмами шифрования.
  2. Идентификация с помощью электронной подписи обеспечивается установлением связи при ее использовании во время аутентификации (согласно Рекомендации X.509).
  3. Цифровой документооборот также защищен с помощью электронных подписей с защитой от принуждения или повторения, при этом проверяется действительность ключей, используемых для проверки электронных подписей.
  4. Целостность информации обеспечивается цифровыми подписями.
  5. Использование асимметричного шифрования помогает защитить данные. Кроме того, для проверки целостности данных могут использоваться хэш-функции или аналогичные алгоритмы защиты. Однако эти методы не поддерживают атрибуцию документов.
  6. Защита от копирования осуществляется с помощью функций криптографической подписи для шифрования или защиты от обезличивания. В этом случае к каждой сетевой сессии добавляется уникальный идентификатор, достаточно длинный, чтобы исключить случайное совпадение, а приемник выполняет проверку.
  7. Защита от навязывания, то есть от проникновения в коммуникацию извне, обеспечивается с помощью электронной подписи.
  8. Другие меры безопасности — против закладок, вирусов, изменений в операционной системе и т.д. — обеспечиваются различными криптографическими мерами, протоколами безопасности, антивирусным программным обеспечением и организационными мерами.

Выбор класса защиты компонентов криптошлюза и других СКЗИ

Алгоритмы электронной подписи, как уже было сказано, являются важнейшим компонентом средств, используемых для криптографической защиты информации. О них мы поговорим ниже.

Область использования электронной подписи

Области применения ES представлены в таблице ниже.

Выбор класса защиты компонентов криптошлюза и других СКЗИ

Наиболее частое использование технологии ES — обмен документами. ES служит утверждением документа во внутреннем потоке документов, то есть как печать или личная подпись. ES — это важная часть доказательств подлинности документа.

Еще одна область, где электронный документооборот хорошо зарекомендовал себя, — это отчетность для контролирующих органов. Удобство работы в таком формате уже оценили многие предприятия.

Каждый гражданин России имеет законное право использовать ЭП при пользовании государственными услугами (например, электронная подпись на заявлении для органов власти).

Еще один сектор, в котором активно используются электронные подписи, — онлайн-торги. Это демонстрирует, что участник торгов — реальное лицо и что к его заявкам можно относиться серьезно. Очень важно, чтобы любое соглашение, достигнутое с помощью электронной подписи, имело юридическую силу в суде.

Оцените статью
ЭЦП64
Добавить комментарий