Bezpečná kryptografická ochrana informací, nebo zkráceně SKZI, pro zajištění univerzální ochrany dat přenášených komunikačními linkami. K tomu je nutné provést autorizaci a ochranu elektronického podpisu, autentizaci přijímaných stran vybranými protokoly TLS a IPSec a případně i ochranu samotného kanálu.

V Rusku jsou tajemství kryptografické bezpečnosti na ochranu světa utajována, takže je pro ně k dispozici jen málo informací.

Metody, jak uvíznout na SKZI

• Autorizace dat a zajištění bezpečnosti jejich právního významu do hodiny přenosu a uložení. Pro které zastosovuyut algoritmy pro vytváření elektronických podpisů a yogo reverifications jsou platné až do zavedených předpisů RFC 4357 a obhájit certifikáty podle standardu X.509.
• Ochrana důvěrnosti dat a kontrola jejich integrity. Vikoristovuetsya asymetrické šifrování, které imitozakhist, tobto protidiya pіdminі danih. Dorimuetsya GOST R 34.12-2015.
• Zahista systémového a aplikovaného softwaru. Reakce na neoprávněné změny a nesprávné fungování.
• Řízení nejdůležitějších prvků systému v souladu s dodržováním přijatých předpisů.
• Autentizace stran jako vyměněných dat.
• Zahist z'ednannya za pomoc s protokolem TLS.
• Ochrana IP-s'ednan pro doplňkové protokoly IKE, ESP, AH.

Metody jsou podrobně popsány v následujících dokumentech: RFC 4357, RFC 4490, RFC 4491.

Mechanismy SKZI pro obranu informací

1. Ochrana důvěrnosti je uložena nebo přenášené informace podléhají dalším šifrovacím algoritmům.
2. V době instalace je identifikační hovor zabezpečen elektronickým podpisem v hodinu autentizační hodiny (pro doporučení X.509).
3. Zpracování digitálních dokumentů je také chráněno elektronickými podpisy v plném rozsahu před ochranou před uložením nebo opakováním, s nimiž se provádí kontrola spolehlivosti klíčů, jako by byly vítězné pro opětovné ověřování elektronických podpisů.
4. Integrita informací je zabezpečena digitálním podpisem.
5. Použití funkcí asymetrického šifrování umožňuje šifrování dat. Pro kontrolu integrity dat lze samozřejmě použít hashovací funkce nebo imitační algoritmy. Tyto metody však nezdůrazňují autorství dokumentu.
6. Ochranu ve formě opakování využívají kryptografické funkce elektronického podpisu k šifrování nebo napodobování. Současně je ke kožní relaci přidán jedinečný identifikátor, je mu přidělen dlouhý čas, aby bylo možné jej vypnout, a opětovné ověření je provedeno přijímající stranou.
7. Obhajoba typu komunikace, tedy pronikání odkazů ze strany, je zabezpečena elektronickým podpisem.
8. O druhého ochránce - proti záložkám, virům, úpravě operačního systému, se pak - starají různé kryptografické nástroje, bezpečnostní protokoly, antivirový software a organizační návštěvy.

Jak si pamatujete, algoritmy elektronického podpisu jsou hlavní součástí kryptografické ochrany informací. Ten smrad bude vidět níže.

Vimogi

SKZI je zaměřena na ochranu (ověření elektronického podpisu) dat v různých informačních systémech globálních vítězství a zabezpečení jejich důvěrnosti (ověření elektronického podpisu, imitace, šifrování, ověřování firemního hedgingu).

Osobní zasіb kryptografické ochrany vítězné pro ochranu osobních údajů koristuvach. Prote sledujte především proto, abyste viděli informace, které stojí za výsostnou záhadu. Podle zákona SKZI s ním můžete pracovat.

Důležité: před instalací SKZI musíme dále zkontrolovat samotný bezpečnostní balíček SKZI. První hrnec. Zpravidla se integrita instalačního balíčku kontroluje způsobem kontroly kontrolních součtů, hodnot pickeru.

Po instalaci bude další postup určen úrovní ohrožení, podle které je možné určit potřebné pro instalaci typu SKZD: software, hardware a hardware a software. Dále je nutné zajistit, aby organizace současného SKZI potřebovala zabezpečit distribuční soustavu.

Clay zahistu

Do nařízení Federální bezpečnostní služby Ruska ze dne 07.10.14 pod číslem 378, které upravuje ochranu kryptografických služeb pro ochranu informací a osobních údajů, bylo přiděleno šest tříd: KS1, KS2, KS3, KB1, KB2, KA1. Třída obrany tohoto systému je určena analýzou dat o modelu torpédoborce, aby bylo možné posoudit možné cesty zlého systému. Ochrana bude založena na softwarových a hardwarových nástrojích pro kryptografickou ochranu informací.

AU (skutečné hrozby), jak je vidět z tabulek, existují 3 typy:

1. Ohrozit první typ po'yazani nezdokumentovaných schopností systémového softwaru, který vítězí v informačním systému.
2. Ohrozit jiný typ aplikace s nezdokumentovanými možnostmi aplikovaného softwaru, který vítězí v informačním systému.
3. Hrozba třetího typu se nazývá Reshta.

Nezdokumentovaná schopnost - funkce a síla softwarového zabezpečení, které nejsou popsány v oficiální dokumentaci, nebo ji nepodporují. Jejich volba proto může zvýšit riziko ohrožení důvěrnosti a integrity informací.

Pro názornost se podívejme na modely podvratníků, pro jejich svržení je potřeba ještě jedna třída kryptografické ochrany:

• KS1 - požární hlásič pro volání, bez pomocníků uprostřed systému.
• KS2 je interní jistič, ale nemá přístup k SKZD.
• KS3 - vnitřní jistič, který je koristuvachy SKZD.
• KV1 - torpédoborec, který přidává zdroje třetích stran, například fakhivtsiv od SKZI.
• KV2 je vrak, za jehož činností stojí ústav či laboratoř, která pracuje na chodbě plantáže a rozvoje SKZD.
• KA1 - speciální služby mocností.

S touto hodností lze KS1 nazvat základní třídou zahistu. Zdá se, že více obránců třídy, pak méně fahivtsivů, budování jogínů, aby byli v bezpečí. Například v Rusku bylo pro poctu za rok 2013 pouze 6 organizací, které mohly získat certifikát od FSB a budov pro zabezpečení obrany třídy KA1.

Wikoristan algoritmy

Pojďme se podívat na hlavní algoritmy, které vítězí v kryptografické ochraně informací:

• GOST R 34.10-2001 a aktualizace GOST R 34.10-2012 - Algoritmy pro vytváření a opětovné ověřování elektronického podpisu.
• GOST R 34.11-94 a zbytek GOST R 34.11-2012 – algoritmy porovnávání hashovací funkce.
• GOST 28147-89 a nový GOST R 34.12-2015 - implementace algoritmů pro šifrování a imitaci dat.
• Přidané kryptografické algoritmy jsou zkontrolovány na RFC 4357.

Elektronický podpis

Je nemožné odhalit důležitost kryptografické ochrany informací bez použití algoritmů elektronického podpisu pro získání větší popularity.

Elektronický podpis je speciální část dokumentu, vytvořená kryptografickými transformacemi. Її hlavní úkoly є odhalení neoprávněné změny a přidělení autorství.

Certifikát elektronického podpisu je důležitý dokument, který sděluje platnost a platnost elektronického podpisu vašemu špionovi pro klíč. Vydání certifikátu určují střediska, která jsou certifikována.

Vlastníkem certifikátu elektronického podpisu je osoba, na kterou je certifikát evidován. Vіn pov'yazany іz dva klíče: vіdkritim a close. Uzavírací klíč umožňuje vytvořit elektronický podpis. Validační klíč pro ověření pravosti podpisu kryptografického spojení se soukromým klíčem.

Viz elektronický podpis

Podle federálního zákona č. 63 se elektronický podpis dělí na 3 formy:

• jednoduchý elektronický podpis;
• nekvalifikovaný elektronický podpis;
• kvalifikace elektronický podpis.

Jde jen o to, že EP je vytvořen pro účet hesel, překrytých na vіdkrittya a revizi dat nebo podobných výhod, které jsou podobné potvrzení vlasnik.

Za pomocí kryptografických transformací za pomocí soukromého klíče vzniká nekvalifikovaný SP. Zavdyaki, kterému můžete potvrdit osobu, která dokument podepsala, a prokázat skutečnost, že před těmito údaji byly provedeny neoprávněné změny.

Podpisy s kvalifikací a nekvalifikovaností berou v úvahu pouze ti, kteří v první fázi mohou certifikát pro EP certifikovat FSB prostřednictvím uznávacího centra.

Oblast oznamovatelů elektronického podpisu

V níže uvedené tabulce jsou sledovány sféry stagnace EP.

Při výměně dokumentů jsou využívány nejaktivnější technologie EP. V interním dokumentačním procesu EP vystupuje jako potvrzení dokumentů, takže jako zvláštní podpis chi druk. V době moderního dokumentu je přítomnost EP kritická a důkazy jsou právním potvrzením. Varto také znamená, že dokumenty, podepsané EP, budovy jsou uloženy na neomezeně dlouhou dobu a neztrácejí svůj právní význam prostřednictvím takových faktorů, jako jsou podpisy, zipy atd.

Zvіtnіst před kontrolními orgány - tse ještě jedna oblast, odmašťování elektronické zpracování dokumentů. Mnoho společností a organizací již ocenilo efektivitu práce v tomto formátu.

Podle práva Ruské federace může mít občan kůže právo sloužit jako EP s vítěznými vládními službami (například podepisování elektronické žádosti pro úřady).

Online bidding je další oblastí, kde se elektronické podpisy aktivně prosazují. Vaughn є pіdtverzhennyam o tom, že na aukci s osudem skutečné osoby, která її návrhy lze považovat za autentické. Tak důležití jsou ti, kteří, pokud existuje smlouva o pomoci EP, získávají právní moc.

Algoritmy elektronického podpisu

• Full Domain Hash (FDH) a Public Key Cryptography Standards (PKCS). Zůstaňte celou skupinou standardních algoritmů pro různé situace.
• DSA a ECDSA jsou americké standardy pro elektronický podpis.
• GOST R 34.10-2012 je norma EP pro Ruskou federaci. Tato norma, která nahradila GOST R 34.10-2001, byla oficiálně přijata po 31. prosinci 2017.
• Euroasijská unie je založena na standardech, které jsou podobné těm v Rusku.
• STB 34.101.45-2013 je běloruský standard pro digitální elektronický podpis.
• DSTU 4145-2002 - standard pro vytváření elektronického podpisu na Ukrajině a mnoho dalších.

Varto také znamená, že algoritmy pro vytvoření SP se mohou lišit podle rozpoznání tohoto čísla:

• Skupinový elektronický podpis.
• Jednorázový digitální podpis.
• EP schváleno.
• Kvalifikace a nekvalifikace přihlášení a přihlášení.

Bezpečnost kryptografické ochrany informací ve třídách ochrany KS2 a KS1 je jednoznačně na FSB Ruska, aby byla kontrolována skutečnými možnostmi útoků a metodami používanými k odvrácení útoků.

1. Skutečná možnost gerelových útoků

Nastavit kryptografickou ochranu informací (SKZI) třídy KS1 pro skutečné možnosti gerelových útoků a samostatně řídit tvorbu způsobů útoků, příprava a vedení útoků je pouze mimo hranice kontrolovaného pásma.

1. samostatně rozvíjet tvorbu útočných metod, přípravu a vedení útoků pouze mimo hranice kontrolovaného pásma;
2. samostatně navrhovat tvorbu způsobů útoku, přípravu a vedení útoků na hranicích kontrolovaného pásma i bez fyzického přístupu k hardwarovým zařízením, na kterých je implementace SKZI a střed jejich fungování (SF).

Tímto způsobem je třída SKZI KS2 uvažována v KS1 k neutralizaci skutečné možnosti gerelových útoků, k samostatnému řízení tvorby metod útoku, přípravy a vedení útoků na hranicích kontrolovaného pásma, avšak bez fyzického přístupu k hardwaru. zařízení, na kterých je SKF implementováno.

2. Varianty obrany třídy vikonannya SKZI KS3, KS2 a KS1

Varianta 1, založená na základním bezpečnostním softwaru SKZI, který zabezpečuje bezpečnostní třídu KS1.

Varianta 2 pro SKZI třídy KS2, která se skládá ze základní SKZI třídy KS1 spolu s certifikovaným hardwarově-softwarovým modulem důvěryhodné akvizice (APMDZ).

Varianta 3, pro SKZI třídy KS3, která je složená z SKZI třídy KS2 spolu se speciálním softwarem pro tvorbu a ovládání uzavřeného softwarového prostředí.

Tímto způsobem je softwarové zabezpečení pro SKZI třídy KS2 upgradováno na KS1 až po upgradu na SKZI třídy KS1 certifikované APMDZ. Vіdminnosti SKZI třídy KS3 vіd klasu KS1 - tse vikoristannya SKZІ třídy KS1 společně s certifikací APMDZ a speciálním softwarem pro vytváření a ovládání uzavřeného softwarového prostředí. І také vіdminnіst SKZІ třídy KS3 vіd klass KS2 - tse vikoristannya SKZІ třídy KS2 v kombinaci se speciálním softwarem pro vytváření a ovládání uzavřeného softwarového prostředí.

Software ViPNet SysLocker (1.0 ze dne 28.03.2016) je speciální software pro vytváření a ovládání uzavřeného softwarového prostředí.

3. Pojďte proti útokům

Třída SKZI KS2 se nemusí zastavit, pokud jde o protiútoky, jako by byla při provozu třídy SKZI KS1 viskózní, ale sama:

1. schválil převod osib, který může mít právo přístupu na místo;
2. převod osib byl schválen, jako by mohli mít právo přístupu do místa bydliště, odhlásit SKZI;
3. jsou schválena pravidla pro přístup do místa bydliště, odhlášení SKZI, pro pracovní a mimopracovní dobu i pro mimopracovní situace;
4. přístup do kontrolovaného pásma a místa určení, zbavení zdrojů informačního systému osobních údajů (ISPD) a (nebo) SKZI, zajišťuje až režim kontroly vstupu;
5. informace o fyzické, přejděte na obranu objektů, na některých místech ISPD, k dispozici obezzhenny sázku praktikujících;
6. Dokumentace pro SKZI je převzata od úředníka pro SKZI z kovového trezoru (shafі);
7. aplikace, ve které se vystavují doklady pro SKZI, SKZI a komponenty SF, vybavené vstupními dveřmi a zámky, zajišťujícími trvalé uzavření dveří
8. zástupci technických, servisních a dalších doplňkových služeb za hodinu práce na recepcích (regály), odklizení SKZI, a praktici, jaki ne є koristuvachové SKZІ, dokupují v těchto pohostinství méně za přítomnosti pracovníků z operace;
9. spіvrobіtniki, є є koristuvachami ІSPDN, ale ne є koristuvachami SKZІ, informovat o pravidlech práce v ІSPDN a vidpovidalnіst za podcenění pravidel pro bezpečnost informační bezpečnosti;
10. koristuvachi SKZI informoval o pravidlech práce v ІSPDn, pravidlech práce od SKZІ a nedodržování pravidel pro zajištění bezpečnosti informací;
11. zdijsnyuєtsya registrace a vzhled diy koristuvachiv s osobními údaji;
12. zdіysnyuєtsya ovládání tіlіsnosti zasobіv zakhistu.

Aby byla zajištěna bezpečnost informací, jsou při navrhování informačních systémů uvedeny značky, které charakterizují blokování bezpečnosti informací. Ten smrad byl jmenován různými činy regulátorů v oddělení informační bezpečnosti, zocrema - FSTEC a FSB Ruska. Taková třída ochrany je buvayut, jako, že vidíte ochranu, a také o uznání zprávy, je to uvedeno v článku.

Vstup

Výživová bezpečnost informační bezpečnosti je dnes předmětem velkého respektu, jádrem nových vážných problémů se stávají střípky technologií, které jsou všude zaváděny bez zabezpečení informační bezpečnosti.

Ruská FSB informuje o vážnosti situace: součet zbitkiv, který darovali zločinci po několik let po celém světě, se složil z 300 miliard dolarů na 1 bilion dolarů. Pro údaje předložené generálním prokurátorem Ruské federace pouze za první polovinu dubna 2017. v Rusku se počet zlořádů ve sféře špičkových technologií zvýšil šestkrát, celková částka zbitkiv přesáhla 18 milionů dolarů. označený v celém světě. Zokrema, v Rusku, nárůst počtu útoků do roku 2016 clave 22 %.

Informační technologie ustrnuly jako obrana proti vojensko-politickým, teroristickým účelům, pro začlenění do domácích autorit suverénních mocností, stejně jako pro zničení jiných zel. Rusko stojí za vytvořením systému mezinárodní informační bezpečnosti.

Na území Ukrajiny informační orgány a provozovatelé informačních systémů blokují neoprávněný přístup k informacím a trvale monitorují ochranu IT infrastruktury. V případě jakékoliv ochrany informací je bezpečný pro ubikace různých návštěv, včetně technických.

Postarat se o ochranu informací, respektive SZI zabezpečit ochranu informací v informačních systémech, což je ve skutečnosti úspora v databázích informací, informačních technologií, které zajišťují zpracování informací a té technické.

Pro dnešní informační systémy je typické používání různých hardwarových a softwarových platforem, teritoriální rozložení komponent a také vzájemná závislost s nejdůležitějšími prostředky přenosu dat.

Jak chránit informace pro takové mysli? Vіdpovіdnі vimogi pred'yavlyayut upovnovazhenі orgán, zokrema, FSTEK a FSB Ruska. V rámci článku si můžeme představit hlavní přístupy ke klasifikaci SZI se zlepšením významu regulátorů. Jiné metody pro popis klasifikace SZI, používané v regulačních dokumentech ruských úřadů, a pojmenování zahraničních organizací a agentur nepřekračují rámec stanov a nadálů.

Článek může být relevantní pro širokou veřejnost informační bezpečnost jako dzherelo strukturované informace o metodách klasifikace SZI na základě FSTEC Ruska (důležité) a stručně FSB Ruska.

Struktura, originální způsob a koordinace zabezpečení nekryptografických metod ІB, є FSTEC Ruska (dříve - Státní technická komise prezidenta Ruské federace, Derzhtekhkomіsiya).

Jako chitachev bylo možné bachiti Sovereign Register of Certificates of Protection of Information, forma ruského FSTEC, šíleně obrátil pozornost k popisu části uznání takových frází jako „třída RD SVT“, „řeka NDV“ a další. (obrázek 1).

Obrázek 1. Fragment certifikačního registru C3I

Klasifikace kryptografických prostředků obrany

FSB Ruska určila následující kryptografické třídy SZI: KS1, KS2, KS3, KV a KA.

K hlavním rysům třídy SZI KS1 je možné odolat útokům, které jsou prováděny zpoza mezikontrolované zóny. Když se snažíte vyhnout, že vytváření metod útoku, jejich příprava a vedení jsou prováděny bez účasti podvodníků v galuzi a analýzy kryptografických SZI. Uvádí se, že informace o systému, ve kterém je uloženo označení SZI, lze převzít ze vstupních dat.

Jako kryptografický SZI dokáže odolat útokům blokujícím třídu KS1 i provedeným na hranicích kontrolovaného pásma, takže SZI odolá třídě KS2. Pokud ano, je například povoleno, aby se při přípravě útoku mohly zpřístupnit informace o fyzickém přístupu k ochraně informačních systémů, zabezpečení kontrolovaného pásma a další.

Zároveň je možné odolat útokům pro samozřejmost fyzického přístupu k prostředkům výčtových technik s instalovaným kryptografickým SZI hovořit o platnosti takových prostředků do třídy KS3.

Aby odolali kryptografickým útokům, při jejich vzniku se fakhivtsi podíleli na výzkumu a analýze významu výsledků, včetně počtu vědecky nedávných center, možnosti provádět laboratorní vyšetřování obrany , pak jděte na třídu KV.

Ještě před vývojem metod útoku byly v galerii softwarového zabezpečení systému NDV nalezeny faksimile, byla k dispozici celá řada projektové dokumentace a přístup k libovolným hardwarovým komponentám kryptografických SZI, takové útoky mohou chránit bezpečnost třídy KA.

Klasifikace elektronického podpisu zabіv zahistu

Podpisy elektronických podpisů, v závislosti na vlastnostech, které jsou odolné vůči útokům, jsou přijímány s následujícími třídami: KS1, KS2, KS3, KB1, KB2 a KA1. Tsya klassifikatsiya je podobná těm, které zkoumaly jiné kryptografické SZI.

Višnovki

V článku byly zvažovány některé metody klasifikace SZI v Rusku, na jejichž základě se staly normativní základnou regulátorů v oblasti obrany. Zkoumané možnosti klasifikace a výběru. Protebe, že uvedené informace jsou uvedeny proto, aby Vám umožnily lepší orientaci klasu v bezpečnostní místnosti ZS.

Wimogové z FSB jsou pro bohaté fahivtsiva záhadou. Proč tak vіdbuvaetsya?

• Neobov'yazkove zastosuvannya zasobіv šifrování operátory.
• Skládací rozuminnya normativní základna.
• Vіdsutnіst roz'yasnen to dokumentіv іz straně regulátoru.
• Strach z operátorů v důsledku dodatečného opětovného ověření v případě zástupné kryptografie.

Але, незважаючи на всі труднощі, без криптографічного захисту не обійтися при передачі персональних даних незахищеним каналом зв'язку, сюди входить, наприклад, віддалена робота співробітників з базою даних клієнтів, обмін інформацією між філією та головним офісом, передача особистої інформації працівників третім особам. Pro někoho jiného jsou podobné úkoly prakticky přítomné v organizaci kůže.

Pojďme se podívat na normativní základ prvního jídla. Můžete vidět tři hlavní dokumenty o kryptografické ochraně osobních údajů v Ruské federaci:

1. Metodická doporučení, jak zajistit dodatečné kryptografické zabezpečení osobních údajů při zpracování v informačních systémech osobních údajů s nejlepší pomocí automatizace“, schváleno 8 Střediskem Federální bezpečnostní služby Ukrajiny dne 21.02.2008 č. 149
2. Типові вимоги щодо організації та забезпечення функціонування шифрувальних (криптографічних) засобів, призначених для захисту інформації, що не містить відомостей, що становлять державну таємницю, у разі їх використання для забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних«, затверджені керівництвом 8 Do Centra FSB Ruska 21.02.2008 č. 149/6/6-622 - Dokument nebyl oficiálně zveřejněn.
3. Rozkaz FSB č. 378 ze dne 10. dubna 2014 «Про затвердження складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних з використанням засобів криптографічного захисту інформації, необхідних для виконання встановлених Урядом Російської Федерації вимог до захисту персональних даних кожного з рівнів захищеності». Registrováno na ministerstvu spravedlnosti Ruska dne 18. dubna 2014.

Dokument byl přijat spíše pro hodiny „starých“ dokumentů FSTEC („čtvrtá kniha“, 58 Nakazu, 781 Dekret řádu) a doplňoval je. Varto označují, že normativní dokument, který je v tento den považován, aniž by byl registrován na Ministerstvu spravedlnosti, za stav neznalosti. Shvidshe za všechno, na odkazu k zobrazení Řádu 378 Metodická doporučení ztratila svůj význam. Chci však dokument stručně shrnout, aby bylo jasné, jak se šifrovací systémy vyvíjely historicky.

Dokument Vymogi vyshchevazannogo (stejně jako další normativní akty v kryptografické ochraně PDN) se nevztahují na tyto tendence:

• zpracování osobních údajů bez nutnosti automatizované automatizace;
• Pracujte s osobními poctami, abyste stanovili suverénní tajemství;
• Vykoristannya tehnіchnіh zabіv, raztashovanih postoj Ruské federace.

Dokument říká, že pro dosažení kryptografické ochrany je nutné rozšířit model ohrožení za FSTEC a FSB (pro vzácné ospravedlnění). Operátoři si mohou modely hrozeb poskládat sami, nebo v případě potřeby získat licence od FSB. Všechny hrozby v dokumentu souvisejí s útoky a hrozby, které nejsou útoky, byly spuštěny s širšími hrozbami. Metodiku můžete použít jako důkazní materiál na hodinu psaní modelu pro novou nápovědu.

Model hrozeb vyšší úrovně definuje bezpečnostní charakteristiky PDN a dalších objektů. V podrobném modelu hrozby byly kryptoprotektorovi přiřazeny potřebné informace.

K modelu hrozeb jsou přidány různé faktory: porozumět vytvoření PDN, formě reprezentace PDN a bezpečnostním charakteristikám.

Krimia primárních charakteristik: integrita, důvěrnost a přístupnost jsou také chápány jako neviditelnost, vzhled, autenticita a přiměřenost.

Pažba modelu hrozeb vyšší úrovně:

1. Hrozba důvěrnosti osobních údajů.
2. Ohrožení integrity jednotlivých dat.
3. Hrozba dostupnosti osobních údajů.

Dokument zadání nemá sloužit pouze k vytvoření modelu ohrožení, ale k vlastnostem uspořádání adekvátního modelu torpédoborce. Všechny škody v Metodických doporučeních jsou rozděleny do dvou tříd: přímé a nepřímé poškození zabezpečení osobních údajů (hrozby, které používáte k obviňování přímých hrozeb). Existuje 6 hlavních typů dmychadel: H1, H2, H3, H4, H5, H6. Jako figura pak více příležitostí, dermální útok útočného typu poklesu frontální schopnosti. Operátor samostatně určuje čas na přípravu strážných, nástroje, které má k dispozici, a na provedení uvolnění hovoru. Dokument obsahuje hlavní charakteristiky dermálního typu pesticidu. Také bylo přiděleno 6 stejných krypto-ochranců: KC1, KC2, KC3, KB1, KB2, KA1 a 6 tříd krypto s podobnými názvy, pro které se plánem nic neměnilo. ІSPD jsou také rozděleny do 6 tříd, spadajících do největší kategorie svítilen. AK1-yakscha naivishcha kategorie H1, AK2-yakscho H2, AK3 - yaksho H3, AK4 - yaksho H4, AK5 - yaksho H5, AK6 - yaksho H6. Vіdpovіdno rozpodіlenі zabі kryptozahistu: AK1 - KS1, AK2 - KS2, AK3 - KS3, AK4 - KB1, AK5 - KB2, AK6 - KA1.

Druhy pomoci

Typická doporučení byla sepsána ve stejném období jako metodická doporučení, která k dnešnímu dni nebyla evidována na Ministerstvu spravedlnosti, jejich stav je nepřiměřený. Dokumenty podle mého názoru mají potřebné informace pro prezentaci. Zpráva popisuje obov'yazki koristuvachіv kryptozaobіv, určila pro ně hlavní pravidla:

• neumožňují kopírování klíčových informací;
• nevyslovujte informace o klíčích;
• nezapisujte si na klíče informace třetích stran.

Je popsán proces redukce klíče, hlavní způsoby jeho přijetí a prezentace typických forem časopisů. Na základě informací obsažených v dokumentu můžete být vyzváni k poskytnutí správných pokynů.

Objednávka 378

Vykhodu 378 Řád byl ražen veškerým profesionálním kapitálem a osa, nareshti, vin nabuv rytířství. V tento den je hlavním dokumentem v kryptografické ochraně osobních údajů a je rozšířen na všechny ІSPDn, ve kterých je uznáván jako ochrana kryptografického SZI. Rozkazem byl jmenován nejen do kryptografické ochrany, ale také do režimu bezpečnosti, zabezpečení ubytování, postupu při záchraně informací a další organizace, vstupují do provozu za stejné bezpečnosti systému. Okremo jmenován, scho k operátorovi sled vikoristovuvaty SZI, yakі prošel hodnocením vidpovidnosti - certifikace pro bezpečnost. Zahisnі přijít popsané již údajně, zapněte okna k vybavení prostor (zámky, stosuvannya pro těsnění, mříže na oknech, atd.). Na vіdmіnu vіd polozhenie Metodická doporučení na Nakazi 378, třída SKZІ vychayatsya shdo rovnající se ochraně skutečného typu hrozeb. Mozhlivostі zlovisnika vrakhovuyutsya pouze schodo třídy SKZI pro 4 úrovně ochrany.

Tabulka 1. Třída SKZI

Chyba z hlediska ochrany proti tomuto typu hrozeb je zřejmá a operátor si ve skutečnosti může vybrat třídu SKZI z mnoha možností.

Dokument se řídí jasnou logikou viklad — stačí znát úroveň ochrany vlastního systému — kromě ISPD úrovně kůže je uveden v kroměih oddílech. Varto znamenají, že zpravidla klesají z nižších řad na nejvyšší, ІSPDn 1. stupně ochrany může být potvrzen ІSPDn 2., 3. a 4. rivnіv. Podle mě růže s pomocí nového.

Šíleně v jednom krátkém článku nelze vyjmenovat všechny nuance kryptografické ochrany osobních údajů a co je nutné? Zde jsme analyzovali hlavní body, pochopili logiku dokumentů, vyřešili detaily, abyste se mohli učit samostatně. A v pátém díle se podíváme na neméně důležité jídlo: na člověka, který dokázal ochránit osobní data do systému a rozhodl se je získat.

Vidpovіdno až do části 5 článku 8 federálního zákona ze dne 6. dubna 2011. N 63-FZ "O elektronickém podpisu" 1 potrestat ztvrdnout:

Wimogi předložit elektronický podpis (dodatek č. 1);
Vymogi do zasobіv zasvіdchuvalnogo centra (dodatek N 2).

Ředitel A. Bortnikov

1 Bulletin Nejvyšší rady Ukrajiny, 2011, č. 15, s. 2036; č. 27, čl. 3880.

Wimogi před objednáním elektronického podpisu

I. Pozice vichřice

3) klíč SP - jedinečná sekvence symbolů, uznávaná pro vytvoření SP;

4) EP reverification key - jedinečná sekvence symbolů, jednoznačně spojená s EP klíčem, která je rozpoznána pro opětovné ověření platnosti EP (dále - EP reverification);

5) EP kódy - šifrovací (kryptografické) kódy, které se používají k implementaci jedné nebo více z následujících funkcí - klíč EP, dozvuk EP, klíč EP a klíč EP reverb;

6) Certifikát slučovacího klíče EP – elektronický dokument nebo dokument na papírovém nosu, který vidí CA nebo důvěryhodná speciální CA a který potvrzuje platnost klíče pro sesouhlasení EP vlastníkovi certifikátu klíče pro sesouhlasení EP.

3. Qi vimogi vytvořit strukturu a zmіst vimog na zasobіv EP.

4. Дані Вимоги призначені для замовників і розробників засобів, що розробляються (модернізуються) ЕП при їх взаємодії між собою, з організаціями, що проводять криптографічні, інженерно-криптографічні та спеціальні дослідження засобів ЕП, ФСБ Росії, що здійснює підтвердження відповідності засобів ЕП цим Вимогам .

5. Cі Vymogy poshiryuyutsya koshtom EP, uznán jako vítězný na území Ruské federace, v tamních provozovnách Ruské federace a na místě změny kordonu v Kremlu pіdrozdіlakh juridical, utpovіdno před legislativou Ruské federace .

6. Před Up-bastem, část prutů, Vobronitvva, realizovaná Extraitae, rozmary rosobky, Vobritni a realat šifry (kryptografické), svazky vláken, divoká 2005 r . R. č. 66 1 (se změnami provedenými nařízením Federální bezpečnostní služby Ruska ze dne 12. dubna 2010 č. 173 2) pro šifrovací (kryptografickou) ochranu informací s výměnným přístupem, aby nedošlo k pomstě za informace, ke zřízení státu tajný.

7. Kromě technologie skládání (formování) a předimenzování EP pro dodatečnou podporu EP je objednáno u takticko-technického vedoucího nebo technického dozoru provedení finálních konstrukčních prací nebo skladové části. přípravných projektových prací pro distribuci (modernizace EP) rozrobku (modernizatsiyu) zasobu EP).

II. Wimogi do zasobiv EP

8. Když je EP uzavřeno, EP je splatné:

Ukažte osobu, která podepisuje elektronický dokument, shromažďuje informace, podepisuje podpis3;
- vytvořit EP pouze po zvláštním potvrzení, jako je podpis elektronického dokumentu, operace po vytvoření EP3;
- jednoznačně prokázat, že EP je vytvořen 3 .

9. Při převodu EP jsou náklady na EP splatné:

Ukažte kopii elektronického dokumentu podepsaného EP 3;
- zobrazit informaci o zavedení změn do podepsaného ES elektronického dokumentu 3 ;
- sdělit dané osobě pomocí volby klíče EP, že elektronické dokumenty byly podepsány 3 .

10. Možnost odstavců 8 a 9 tsikh Vymogi není zastosovuyutsya před sobіv TS, scho vykoristovuyutsya pro automatické párování a (nebo) automatické opětovné ověření TS v informačním systému.
11. Odpovědností EP je odolávat hrozbám, které jsou zaměřeny na zacílení hardwarových a (nebo) softwarových nástrojů způsobem poškozování bezpečnosti informací, které EP chrání, nebo metodou mind-setting pro ostatní (nebo útok).

12. Údolí v podobě zdіbnosti k odolání útokům obrany EP se dělí do třídy 4.
13. Umožněte třídě EP KS1 odolat útokům, s kombinací metod, přípravy a vedení takových vítězství, následující možnosti:
13.1. Seberozvoj metod útoků, příprava a vedení útoků.
13.2. Podії různé fáze životního cyklu Koshti EP 5 .
13.3. Provedení útoku již není dostatek prostoru, uprostřed kterého je kontrola nad přesuny a speciálními silami a (nebo) transportními zařízeními (dále - zóna 6 je řízena).

13.4. Provádí se ve fázích vývoje, válčení, konzervace, přepravy zařízení EP a ve fázi uvádění zařízení EP do provozu (zahajovací operace) útočných útoků:

Zavádění neoprávněných změn do zasib EP a (nebo) součástí SF, včetně některých nejkritičtějších programů;
- provádění neoprávněných změn v dokumentaci pro požadavky EP a pro součásti SF.

13.5. Provádění útoků na následující objekty:

Dokumentace o nákladech EP a o složkách SF;

- informace o klíči, autentizaci a hesle pro EP;
- softwarové a hardwarové komponenty zasіb EP a jógy;
- hardwarová zařízení, která mohou být zařazena před SF, včetně mikroobvodů z mikrokódu BIOS, které lze použít k inicializaci těchto zařízení (dále jen - hardwarové součásti SF);
- Softwarové součásti Rady federace;

- aplikace, ve které je soubor softwarových a technických prvků systémů zpracování dat, funkce budovy samostatně nebo na skladě jiných systémů (dále - SVT), na kterých jsou implementace EP a SF;
- další objekty útoků, v případě potřeby jsou uvedeny v TOR pro rozvoj (modernizaci) EP se zlepšením vítězství v informačním systému, informačních technologiích, hardwarových vlastnostech (dále jen AS) a zabezpečení softwaru ( dále jen PZ).

13.6. Z těchto informací:

Obecné informace o informačním systému, ve kterém se EP uděluje (jmenování, sklad, provozovatel, objekty, v libovolném rozložení zdrojů informačního systému);
- informace o informačních technologiích, databázích, AS, PZ, které vítězí v informačním systému odděleně od EP;
- informace o fyzickém, přejděte na obranu objektů, ve kterých je EP umístěn;
- informace o zabezpečení kontrolovaného pásma objektů informačního systému za účelem získání úspěchu EP;
- informace o tom, jak získat přístup k ubytování, ve kterém se nachází SVT, ve kterém jsou implementovány EP a SF;
- změna dokumentace, která je volně přístupná, k hardwarovým a softwarovým komponentám EP a SF;
- výrazná prohlášení o informacích, které jsou chráněny, že vítězí v procesu využívání EP;

- informace o komunikačních linkách, kterými se informace přenášejí a které jsou chráněny EP;
- informace o veškeré komunikaci na komunikačních kanálech, nechráněné před neoprávněným přístupem k informacím organizačními a technickými návštěvami, porušení pravidel pro provozování kabelu EP a UV;
- informace o veškeré komunikaci na komunikačních kanálech, nechráněné před neoprávněným přístupem k informacím organizačními a technickými hovory, poruchami a poruchami hardwarových komponent napájení a UV;
- informace získané z výsledků analýzy jakýchkoli signálů z hardwarových komponent pro EP a UV, protože mohou změnit alarm.

13.7. Vítězství:

které jsou volně přístupné nebo se nacházejí mimo hranice kontrolovaného pásma AS a PZ, včetně hardwarových a softwarových součástí EP a UV;

13.8. Vikoristannya jako prostředek přenosu od subjektu k objektu (od objektu k subjektu) kutilství útoku, což je hodina přípravy a (nebo) útoku (dále - kanál útoku):

Není chráněn před neoprávněným přístupem k informacím organizačními a technickými přístupy ke komunikačním kanálům (jako v kontrolovaném pásmu, tak uprostřed), pro které jsou přenášeny informace chráněné EP;
- kanály pro rozšíření signálů, které podporují fungování EP a UV funkcí.

13.9. Provádění útoků z informačních a telekomunikačních opatření, přístup do jakéhokoli neokolí s malým podílem osib.

13.10. Vykoristannya AU a PZ zі sklad zasobіv іnformatsіynoї ї scho vikoristovuyutsya na mіstsyakh ekspluatatsії zabu SP (dále - pravidelné zasobi) a scho znahoditsya za hranicemi kontrolovaného pásma.

14. Koshti EP třída KS2 odolávat útokům s vývojem metod, příprav a prováděním takových vítězných schopností, uvedených v pododstavcích 13.1 - 13.10 Vimog cich, a takových dalších schopností:

14.1. Provedení útoku v přítomnosti obou pozic mezi hranicemi a v hranicích kontrolovaného pásma.

14.2. Vykoristannya zaměstnanci zasobіv, zamezhene vstup, implementace v informačním systému, v yakіy vikoristovuєtsya zasіb EP, že směřování k zapobіgannya, že pripinennya nepovolené činnosti.

15. Koshti EP class KS3 odolávat útokům pomocí metod, příprav a provádění takových vítězných schopností, uvedených v pododstavcích 13.1 - 13.10, 14.1, 14.2 Vimog, a takové další schopnosti:

15.1. Přístup k SVT, na kterém jsou implementovány zasіb EP a SF.

15.2. Možnost roztashovuvaty hardwarových komponent zahod EP a UF obsyagom, pokles vіd zakhodіv, zakhodіh v zabіgannja a pripinennya nepovolené činnosti, implementace informačního systému, de vikoristovuєtsya zasіb EP.

16. Koshti EP třída KV1 odolat útokům s pomocí metod, příprav a provádění takových vítězných schopností, uvedených v pododstavcích 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2

16.1. Vytvoření metod útoků, příprava a provedení útoků z ozářených fahivtsiv, yakі mayut razrobka a analýzy SP, včetně fahivtsiv na chodbě analýzy signálů, které doprovázejí fungování SP a UV.

16.2. Provádění laboratorních šetření EP, ve kterém vítězí pozice kontrolovaného pásma, za účelem ležení ve vchodech, nasměrování k prevenci a uplatňování neoprávněných činností, implementované v informačním systému, v yakіy vikoristovuєєє zasіb EP .

17. Umožněte třídě EP KV2 odolat útokům při kombinování metod, přípravě a provádění takových vítězných schopností, uvedených v pododstavcích 13.1 – 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2 těchto dodatků.

17.1. Vytváření metod útoku, příprava a provádění útoků z falzifikátorů, které mohou umožnit vývoj a analýzu SP, včetně faksimilií v galerii pro provádění útoků schopností aplikačního softwaru, které nejsou popsány v dokumentaci na aplikačním softwaru.

17.2. Vyjádření robotů pro tvorbu metod a metod útoků na vědecká a pokročilá centra, která se specializují na oblast vývoje a analýzy prostředků EP a UV.

17.3. Možnost roztashovuvaty vyhіdnym textem aplikovaného softwaru, který by měl být zařazen do Rady federace.

18. Umožněte třídě EP KA1 odolat útokům, v případě kombinace metod, příprav a provedení takových vítězných schopností, renovaci v pododstavcích 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2, 17.

18.1. Vytváření metod útoků, příprava a provádění útoků z falzifikátů, které mohou umožnit vývoj a analýzu SP, včetně faksimilií v galerii pro realizaci útoků schopností systémového softwaru, nepopsaných v dokumentaci na systémovém softwaru.

18.2. Možnost matce veškeré dokumentace k hardwarovým a softwarovým komponentám SF.

18.3. Možnost matky všech hardwarových komponent pro EP a SF.

19. Čas si uvědomil podvod převodů EP elektronického dokumentu na Vikoristanni Certifikáty Kodexu Kodexu Realizai Viclikiti mohou být přeloženy EP elektronického dokumentu bez překladu Cloudu Stavu EP Abo ve službách Certifi.

20. Při vývoji EP je třeba klást vinu na kryptografické algoritmy, které jsou schváleny jako státní standardy, nebo má ruská FSB kladné stanovisko k výsledkům svých expertních kryptografických studií 7 .

21. Inženýrská a kryptografická obrana EP zodpovídá za vypínání pododdělení, která vedou k možnosti provedení úspěšných útoků v myslích na možné poruchy nebo poruchy hardwarové složky EP nebo hardwarové složky SVT, na kterém je implementován software EP.

22. Pro vývojáře SP je možné implementovat méně úkolů pro TK pro vývoj (modernizaci) nástroje SP, algoritmy pro fungování nástroje SP.

23. Softwarová složka je odpovědná za EP (v případě dostupnosti softwarové složky pro EP) odpovídá za následující:

Objektivní (prozkoumávací) kód softwarové komponenty pro jediný účel EP může být v souladu s vizuálním textem;
- za softwarovou komponentu odpovídá SP za implementaci SP, která již není popsána v dokumentaci funkce softwarového prostředí, ve kterém SP funguje;
- у вихідних текстах програмного компонента засобу ЕП повинні бути відсутні можливості, що дозволяють модифікувати або спотворювати алгоритм роботи засобу ЕП у процесі його використання, модифікувати або спотворювати інформаційні або керуючі потоки та процеси, пов'язані з функціонуванням засобу ЕП, і отримувати порушникам доступ до jasně viditelný klíč, identifikující a (nebo) ověřující informace o identitě UE;
- hodnoty vstupních a vnitřních parametrů, stejně jako hodnoty parametrů softwarové komponenty, nezodpovídají za negativní ovlivnění její funkce.

24. V době plánování umístění EP na místech, ve kterých jsou akustické a vizuální informace, které mají pomstít vzduch, ustanovit státní tajemství, že (nebo) instalované AU a systémy pro příjem, vysílání, zpracování , ukládání a začleňování informací vіdomosti, sklady státního tajemníka, AS zahraniční výroby, které vstupují do skladu dodávek EP, jsou z důvodu opětovného ověření hospodářských budov uznány za tajné odstraňování informací.

V době plánování umístění zařízení EP v prostorách je v některých případech akustická a vizuální informace akustická, aby se pomstilo vzduchu, aby se stanovilo státní tajemství, které není instalováno.

Rozhodnutí o provedení překontrolování AS zahraniční výroby, který vstupuje do skladu objektů EP tříd KS1, KS2, KS3, KV1 a KV2, přijímá organizace, která zajišťuje bezpečnost provozu. provoz těchto zařízení EP;
- Opětovné ověření AS zahraniční výroby, které vstupuje na sklad dodávek třídy EP KA1, se provádí v obecné jazykové objednávce.

25. Odpovědností EP je provést autentizaci subjektu přístupu (možnosti, procesy) k celému procesu, navíc:

V případě omezeného přístupu k zabezpečení SP lze autentizaci subjektu přístupu provést na klasu prvního funkčního modulu pro zabezpečení EP;
- Autentizační mechanismy se provinily tím, že blokují přístup těchto subjektů k funkcím EP pro negativní výsledek autentizace.

26. Odpovědností EP je provést ověření osib, aby byl umožněn místní přístup k bezpečnosti EP.

27. Potřeba autentizace procesů prováděných výlučným vlastníkem EP, které umožní místní nebo vzdálený (merezhevy) přístup k privatizaci EP, je přiřazena Zadatelům pro distribuci (modernizaci) privatizace EP.

28. U jakéhokoli mechanismu autentizace, který je obsažen v EP zasib, je třeba vinit zavedení mechanismů výměny počtu postupujících pokusů o autentizaci jednoho subjektu přístupu, počet nevinných je větší než 10. k přístupu stanovené hraniční hodnoty, může být přístup subjektu k zabezpečení SP zablokován na úkolech z TK na rozvoj (modernizaci) zabezpečení EP na hodinu.

29. EP může mít mechanismus (postup) pro monitorování integrity EP a SF.

Kontrola násilí může být použita:

Na klasu práce ze speciálního SP před přechodem SVT, pro který byl implementován zasib SP, na pracovním táboře (např. před zajetím operačního systému SVT);
- v průběhu regulačních kontrol získat SP v době provozu (regulační kontrola);
- v automatickém režimu je proces fungování chráněn SP (dynamické řízení).

Kontrola pevnosti může být provedena na klasu a ze speciálního EP.

Mechanismus pro rutinní kontrolu integrity může vstoupit do skladu zásob EP.

30. Pro aplikaci EP tříd KS1 a KS2 je z TK pro distribuci (modernizaci) zakázky EP přidělena nutnost předložit jej před kontrolou přístupu a vymazáním paměti a také їх зміст.

31. Do skladu EP třídy KS3, KV1, KV2 a KA1 nebo SF jsou zařazeny komponenty, které zajišťují:

Řízení přístupu k submaru komponentou (abolo) tsilovikh podporují šrouby Ep UV na základě parametrů, úkoly správce dceřiné společnosti šroubu binge (vimogi k uspořádané složce, organizované tělo je obýváno , a rozkvět květu Wimogam);
- vyčištění operační a staré paměti, vikoristovuvany samostatně SP pro ukládání informací, které jsou chráněny, když zvіlnennі (perezpodіlі) paměť se způsobem záznamu maskuyuchoї іnformatsії (vipadkovoї nebo psevdovipadkovіn) st

32. Do skladu dodávek třídy EP KV2 a KA1 nebo SF jsou zařazeny komponenty, které zajišťují nouzové vymazání přístupu, který je chráněn. Vymogi před provedením onoho povrchního výmazu jsou od TK požádáni o vývoj (modernizaci) EP.

33. U přihlášek EP tříd KS1 a KS2 je nutnost předložení podkladů před zápisem a jejich poplatky přidělena TK za distribuci (modernizaci) EP.

34. Před uložením EP tříd KSZ, KV1, KV2 a KA1 je modul odpovědný za provedení fixace v elektronickém deníku evidence pododdělení EP a UV, souvisejících s EP jejich účelových funkcí.

Vimogy do určeného modulu, že přeregistraci pododdílů určuje a brání organizace, aby provedla návaznost na registraci EP se způsobem vyhodnocení platnosti registrace EP cim Vimogam.

35. Deník registrace podіy může být přístupný pouze osobám jmenovaným provozovatelem informačního systému, které vyhrály EP, nebo osobám jím schváleným. V případě přístupu k registračnímu deníku je podia vinna zdiisnyuvatisya pouze za kontrolu záznamů a přesunutí místo do registračního deníku podia do archivů.

36. Termín opětovného ověření klíče EP není vinen tím, že by se znovu prověřil termín klíče EP po dobu více než 15 let.

37. Kromě mechanismu kontroly termínu použití klíče ES, který blokuje robota ES ES v době pokusu o použití klíče do daného termínu, prodejce přidělí ES organizaci, aby provedla návaznost na registraci ES se způsobem posouzení závislosti licence.

38. Kryptografické protokoly, které zabezpečují operace s klíčovými informacemi v EP, mohou být implementovány bez prostředníka v EP.

39. Hodnocení výkonu EP s metodou hodnocení výkonu EP cum Vimogam zavinění se provádí s pomocí FSB Ruska, číselná hodnota parametrů a charakteristik implementace mechanismů EP pro ochranu hardwarových a softwarových komponent SF 8.

1 Registrace Ministerstva spravedlnosti Ruska ze dne 3. února 2005, registrační číslo 6382.

3 Je implementován mimo jiné s různými hardwarovými a softwarovými funkcemi, kromě běžného fungování EP a jako budovy může být integrován do vikonannya a EP by mohl celkově představovat střední fungování EP (dále UV).
4 Požadovaná třída nasazeného (modernizovaného) EP je určena jako náhrada (maloobchodník) za EP cestou návrhu schopnosti vytvářet způsoby útoku, připravovat a provádět útoky na základě bodů 13 - 18, Wimog a vstupovat T3 pro distribuci (modernizace EP.)
5 Před fázemi životního cyklu má EP vypracovat (modernizovat) označení zařízení, jejich výrobu, úsporu, dopravu, uvedení do provozu (spouštěcí práce), provoz.
6 Kordonově kontrolovaná zóna může být: obvod chráněného území podniku (souboru), který bude chránit stavby chráněného života, části života, které jsou chráněny, viděného ubytování. .
7 Pododstavec 25 odstavce 9 Předpisů o Federální bezpečnostní službě Ruské federace, schváleného výnosem prezidenta Ruské federace ze dne 11. září 2003 č. 960 (Sbírka zákonů Ruské federace, 2003, č. 33, čl. 3254; 2004 č. 28, čl. 2883; 2005, č. 36, čl. 3665, č. 49, čl. 5200; 2006 , č. 25, čl. 2699; č. 49, články 6133, č. 53, články 6554, 2008, č. 36, články 4087, č. 43, články 4921; čl. 2435; 2011, čl. 2 267, č. 9, čl. o FSB Ruska).
8 Pododstavec 47 odstavce 9 Předpisů o FSB Ruska.

Dodatek N 2

Wimogi na pomoc pečovatelskému centru

I. Pozice vichřice

1. Tsі Vimogi razroblenі vіdpovіdno k federálnímu právu vіd 6 kvіtnya 2011 str. N 63-FZ "O elektronickém podpisu" (dále - federální zákon).

2. Následující hlavní pojmy jsou zahrnuty do zákonů Wimogah, které jsou přiřazeny k článku 2 federálního zákona:

1) Elektronický pidpis (Dali - EP) - INFORMACE v elektronové formě, Yaka Pro, k Inshoi INFORMACE v Elektrony Formi (Pidpisuvanoi іnformatics) jsou stejné od jaka vicoristy.

3) EP kódy - šifrovací (kryptografické) kódy, které se používají k implementaci jedné nebo více z následujících funkcí - EP klíč, EP dozvuk, EP klíč a EP reverb klíč;

4) klíč SP - jedinečná sekvence symbolů, uznávaná pro vytvoření SP;

5) EP revalidační klíč - jedinečná sekvence symbolů, jednoznačně spojená s EP klíčem, která je rozpoznána pro revalidaci EP (dále jen EP revalidace);

6) Certifikát ověřovacího klíče EP - elektronický dokument nebo dokument na papírovém nosu, viděný CA nebo důvěryhodnou speciální CA, který potvrzuje platnost ověřovacího klíče ES držiteli certifikátu ověřovacího klíče ES;

7) kvalifikační certifikát reverifikačního klíče EP (dále jen kvalifikační certifikát) - certifikát reverifikačního klíče EP, který je buď akreditován CA nebo důvěryhodný zvláštním akreditovaným CA nebo federálním orgánem vlády vikonavchoi, schváleným rozsah voleb do EP (dále - federální schvalovací orgán);

8) držitel certifikátu reverifikačního klíče EP - osoba, která v souladu s postupem stanoveným federálním zákonem viděla certifikát reverifikačního klíče EP;

9) akreditace CA - potvrzení federálním orgánem o akreditaci CA v souladu s federálním zákonem;

10) zařízení CA - hardwarové a (nebo) softwarové zařízení, které se používá k implementaci funkcí CA;

11) účastníci elektronické souhry - usnadnit výměnu informací v elektronické podobě státními orgány, organizacemi samoregulace, organizacemi a občany.

3. Qi Vimogi vytvořit strukturu a zmіst vimog zasobіv CA.

4. Дані Вимоги призначені для замовників і розробників засобів, що розробляються (модернізуються) УЦ при їх взаємодії між собою, з організаціями, що проводять криптографічні, інженерно-криптографічні та спеціальні дослідження засобів УЦ, ФСБ Росії, що здійснює підтвердження відповідності коштів УЦ цим Вимогам .

5. Počty jsou rozšířeny o CA uznané pro výběr na území Ruské federace.

6. Před prohlubní, Části části Rosrobes, Vobronitvva, Realizované věže Poskytují holmogy, laici o rosobce, Vobritni, realista sekvence (kryptografický) divoký 2005 r. R. č. 66 1 (se změnami provedenými příkazem Federální bezpečnostní služby Ruska ze dne 12. dubna 2010 č. 173 2), pro šifrovací (kryptografické) nástroje pro ochranu informací (dále - SKZI) s zprostředkovatelským přístupem, tzv. jako nemstít se za informace, nastolit suverénní stát

II. Vymogi do zaobiv UTs

7. Náklady CA jsou způsobeny odoláváním hrozbám, které směřují ke stanovení cílů pro použití hardwarových a (nebo) softwarových nástrojů se způsobem zničení inženýrského a technického zabezpečení a kryptografického zabezpečení zařízení CA, nebo s metoda nastavení mysli pro ostatní (nebo útok).

8. Úhor ve formě zdіbnosti odolávat útokům Koshti UC se dělí do třídy 3.

9. Koshti UC class KS1 odolávat útokům, s kombinací metod, přípravy a vedení takových vítězství, následující možnosti:

9.1. Příprava a provádění útoků vyžaduje prostor, v jehož středu je kontrola nad přesuny a akcemi speciálních sil a (nebo) dopravních služeb (dále - zóna je řízena).
9.2. Příprava a provádění útoků bez vítězného přístupu k funkčním možnostem softwarových a hardwarových nástrojů v interakci s CA.

9.3. Vlastní vývoj metod útoků, příprava a vedení útoků na tyto objekty:

Dokumentace UT;
- elektronické dokumenty, které jsou chráněny;
- informace o klíči, autentizaci a hesle;
- má na starosti CA, její softwarové a hardwarové komponenty;
- data, která jsou přenášena kanály;
- aplikace, ve které je umístěn hardware (dále jen AS), ve které jsou implementována zařízení CA a další prostředky informačního systému, které jsou chráněny.

9.4. Představeno ve fázích vývoje, výroby, ukládání, přepravy a uvádění do provozu zařízení CA:

Negativní funkční schopnost CA, včetně těch nejobtížnějších programů;
- Neoprávněné změny před dokumentací ze strany CA.

9.5. Z těchto informací:

Obecné informace o informačním systému, ve kterém se nachází zařízení CA (schůzka, sklad, objekty, ve kterých jsou umístěny zdroje informačního systému);
- informace o informačních technologiích, databázích, AS, softwarové bezpečnosti (dále - PZ), které vítězí v informačním systému pomocí CA;
- informace o fyzickém, návštěva zahistu objektů, u kterých jsou UC kočky umístěny;
- informace o vstupu do bezpečnostní zóny kontrolovaného pásma objektů informačního systému, kde se nachází objekty CO;
- informace o tom, jak získat přístup k ubytování, na kterých místech se UT nacházejí;
- Technická dokumentace Utrimannya, která je překupována za bezplatného přístupu, na náklady CA;
- відомостей про інформацію, що захищається, що використовується в процесі експлуатації засобів УЦ (види інформації, що захищається: службова інформація, парольна та аутентифікуюча інформація, конфігураційна інформація, керуюча інформація, інформація в електронних журналах реєстрації; загальні відомості про зміст кожного виду інформації, co je chráněno, charakteristiky bezpečnosti pro informace o vzhledu pokožky, co je chráněno);
- všechna možná data, která jsou předávána otevřené osobě komunikačními kanály, které nejsou chráněny před neoprávněným přístupem (dále NSD) k informacím organizačními a technickými hovory;
- informace o komunikačních linkách, kterými jsou přenášeny informace, které jsou chráněny před vítězstvími CA;
- informace o veškeré komunikaci na komunikačních kanálech, nechráněné před neoprávněným přístupem k informacím organizačními a technickými hovory, porušení pravidel pro provoz kabelů CA;
- informace o všech voláních na komunikačních kanálech, které nejsou chráněny před neoprávněným přístupem k informacím organizačními a technickými voláními, poruchami a výpadky UT;
- informace převzaté z výsledků analýzy, zda jsou signály hardwarových komponent UT dostupné pro konverzi.

9.6. Vítězství:

scho být ve volném přístupu nebo mimo hranice kontrolovaného pásma AU a PZ, včetně softwarových a hardwarových komponent CA;
- speciálně rozroblenih AS a PZ.

9.7. Vykoristannya, jako kanál útoků nechráněný před NSD k informacím, organizačními a technickými přístupy kanálů do spojení (jako pozice kontrolované zóny, tedy v її hranicích), kterým jsou přenášeny informace, které jsou zpracovávány UT .

10. Koshti UC třída KS2 odolat útokům, při kombinaci metod, příprav a vedení takových vítězství jsou možné následující možnosti:

10.1. Možnost, uvedená v pododstavcích 9.3 - 9.7 cich Vimog.

10.2. Příprava a provádění útoků z kontrolovaného pásma.

10.3. Příprava a provádění útoků bez přístupu vikoristannya do AU, na jakoukoli implementaci CA.

10.4. Vykoristannya zaměstnanci zasobіv іnformatsіynoї ї, zaměstnanci de vikoristany uts.

11. Koshti UC class KSZ odolávat útokům, při kombinaci metod, příprav a vedení takových vítězství jsou možné následující možnosti:

11.1. Možnost, uvedená v pododstavcích 10.1, 10.4 cich Vimog.

11.2. Příprava a provedení útoků z důvodu mezikontrolované zóny s rozdílným přístupem k funkčním možnostem softwarových a hardwarových zařízení ve spolupráci s CA na základě zákonné autorizace autentizačních informací, případně příprava a vedení útoků z kontrolované zóny s přístupem k hostitelům that have access to правами особи, яка не є членом групи фізичних осіб, уповноважених проводити інсталяцію, конфігурування та експлуатацію засобів УЦ, конфігурування профілю та параметрів журналу аудиту (функції системного адміністратора), архівування, резервне копіювання та відновлення інформації після збоїв (функції оператора) , створення та анулювання certifikace klíče opětovné ověření EP (funkce správce certifikátu), revize a odevzdání do protokolu auditu (funkce správce auditu) (dále - skupina správců CA náklady) stejné složky BÚ.

11.3. Volodinnya AS UC v obsyazі, scho uložit ve formě realizovannykh zakhodіv, spramovavanih na pobobіgannya pripinennya nepovolené činnosti.

12. Koshti UC třída KV1 odolat útokům, při kombinaci metod, příprav a vedení takových vítězství jsou možné následující možnosti:

12.1. Možnost, uvedená v pododstavcích 11.1 - 11.3 cich Vimog.

12.2. Vytvoření metod a příprava útoků ze záření faksimilií, které mohou umožnit vývoj a analýzu kryptografických informací CA (včetně faksimilií na chodbě, analýzy signálů v linkovém přenosu a signálů strany elektromagnetické rušení a navádění).

12.3. Provádění laboratorních šetření výsledků UC, které vítězí nad postavením kontrolovaného pásma v průzkumu, které by měly být deponovány formou realizovaných vjezdů, směřujících k zamoření neoprávněnými činnostmi.

13. Koshti UC třída KV2 odolat útokům, při kombinaci metod, příprav a vedení takových vítězství jsou možné následující možnosti:

13.1. Možnost, uvedená v pododstavcích 12.1 - 12.3 cich Vimog.

13.2. Navržená tvorba metod a příprava útoků z ozářených faksimilií na galerii vikoristánnya pro provádění útoků nedeklarovaných schopností aplikovaného a systémového softwaru.

13.3. Vyjádření robotů pro tvorbu metod a metod útoků na vědecká a pokročilá centra, která se specializují na oblast výzkumu a analýzy metod CA.

13.4. Volodinnya použil texty aplikovaného softwaru, které jsou uloženy v informačním systému, ve kterém jsou zapsány vlastní dokumenty CA, tedy dokumentaci, která je volně přístupná.

14. Koshti UC třída KA1 odolávat útokům, při kombinaci metod, příprav a vedení takových vítězství jsou možné následující možnosti:

14.1. Možnost, uvedená v pododstavcích 13.1 - 13.4 cich Vimog.

14.2. Vývoj metod a příprava útoků z výzkumných a vývojových center, která se specializují na vývoj a analýzu SKZI a v galerii vikoristannya pro provádění útoků nedeklarovaných schopností aplikovaného a systémového softwaru.

14.3. Volodynnya veškerou dokumentaci k hardwarovým a softwarovým komponentám CA.

14.4. Mohou všechny hardwarové součásti zařízení CA.

15. Náklady CA jsou splatné v souladu s provozní dokumentací k poplatkům CA. Komplex organizačních a technických přístupů k zajištění bezpečného fungování zařízení CO může být určen v provozní dokumentaci na náklady CO.

16. Třída akreditací EP, které se udělují akreditaci CA, není na vině nadřazené akreditační třídy CA. Třída přidělení EP, která jsou udělována pracovníkům CA, může být přiřazena v operační dokumentaci pro kosti CA.

Třída SKZI, která vítězí v zařízeních CA, nemá na svědomí nižší třídu zařízení CA. Třída SKZI, které jsou vikoristovuyutsya v zařízeních CA, může být přiřazena v provozní dokumentaci pro kosti CA.

17. Skin je mocný, což je prezentováno před výhodami UC, ať už se jedná o třídu zločinu KA1, nebo je prezentováno před výhodami UC útočné třídy beze změn (v takovém případě by nemohlo být ukázaly výhody UC útočné třídy), jinak to bude možné (v tomto bodě přechodu bylo možné pro UT útočné třídy vyvolat zhorstke formule). Vymogi až k výhodám UC útočné třídy se může pomstít doplňkovému vimogi, který se nepřekrývá s výhodami UC útočné třídy.

18. Wimogi do PZ Koshtiv UTs:

18.1. Wimogi do Koshtiv UC třídy KS1:

Software zaměstnanců CA nenese odpovědnost za zaměstnance CA, kteří umožňují modifikovat nebo podporovat algoritmus robotického softwaru a AS CA.

18.2. Wimogi do Koshtiv UC třídy KS2:

Aplikovaný vývoj softwaru CA a SKZI, které jsou zapsány v CA, může být více než jen dokumentací funkcí systémového softwaru.

18.3. Wimogi do Koshtiv UTs třídy KS3:

Системне та прикладне ПЗ засобів УЦ повинно забезпечувати розмежування доступу системного адміністратора засобів УЦ, адміністратора сертифікації засобів УЦ та осіб, що забезпечуються системним адміністратором засобів УЦ ідентифікуючою та аутентифікуючою інформацією та не є адміністратором сертифікації засобів УЦ (далі - користувачі засобів УЦ) засобами УЦ, виходячи z pravidel oddělení přístupu, stanovených správcem systému CA;
- systém a aplikace PZ zasobіv UT mohou být platné 4 rovna kontrole přítomnosti nedeklarovaných schopností;
- systémové použití PZ zasobiv UC není vinno z pomsty za spor zveřejněný v nepřístupném džerelah;
- do skladu systému a (nebo) aplikovaného softwaru zasobіv CA je odpovědná za vstup do mechanismu, který zajišťuje čištění operační a externí paměti, která vítězí při sběru informací z přístupu.

18.4. Vymogi do třídy zabіv UT КВ1 zbіgayutsya z vіmogi koshtіv třídy UC КС3.

18.5. Wimogi do Koshtiv UC třídy KV2:

Vihіdnі texty systému a aplikované PZ zasobіv UT dluží projít revizí implementace v nich metod a metod obrany informací odolávat útokům, připravit a provést takové testy, možnosti jsou uvedeny v odstavcích 9 - 13 zákona. Vymog;
- verifikace textů systému a použitého softwaru musí být znovu ověřena pro platnost nedeklarovaných schopností;
- Systematický a aplikovaný software může být odolný vůči počítačovým útokům ze zahraničí.

18.6. Vymogi do zasobiv UC třídy KA1:

Povinností CA je projít formálním ověřením implementace metod a metod obrany informací v nich, aby odolali útokům, připravit a provést takové zástupné příležitosti, uvedené v odstavcích 9 - 14 z nich.

19. Vimogi do AS UC:

19.1. V době plánování rozmístění AS UT v prostorách, ve kterých jsou akustické a vizuální informace, které mají pomstít dům, ustanovit státní tajemství, že (nebo) technická podpora systému pro příjem, vysílání, processing, saving and generating energy, , що становлять державну таємницю, технічні засоби іноземного виробництва, що входять до складу коштів УЦ, повинні бути піддані перевіркам щодо виявлення пристроїв, призначених для негласного отримання інформації, а також дослідженням на відповідність вимогам щодо захисту від витоку інформації по каналах побічних електромагнітних випромінювань та наведень způsobilé pro kategorii pozorovaného cíle.

19.2. Wimogi do Koshtiv UC třídy KS1:

Opětovné ověření výkonu implementace klíčových funkcí CA se provádí se zlepšením testovacího systému AS CA.

19.3. Vymogi to koshtіv UC třídy KS2, KS3, KV1, KV2 zbіgayutsya z vimogi koshtіv UC třídy KS1.

19.4. Vymogi do zasobiv UC třídy KA1:

provedení speciální reverifikace technického zařízení zahraniční výroby, která vstupuje do skladu AS UC, se způsobem odhalování přístavků, znamení pro utajené odstranění informací;
- Provedení nové verifikace AS (spolu s analýzou kódu programu BIOS), na kterém jsou implementovány vlastnosti CA, s metodou vyloučení negativních funkčních schopností.

20. Wimogi před oddělením rolí:

20.1. Aby bylo zajištěno fungování funkcí CA, může CA zachovat role oddělení členů skupiny administrátorů CA.

20.2. Wimogi do Koshtiv UC třídy KS1:

Vinný buti přidělil změnu rolí a rozpodіl obov'yazkіv mizh rolí;
- seznam rolí a rozpodіl obov'yazkіv mizh role mohou být přiřazeny v provozní dokumentaci za náklady CA.

20.3. Vymogami na zaobіv UT třídy KS2 zbіgayutsya z vimogami pro zaobіv UT třídy KS1.

20.4. Wimogi do Koshtiv UTs třídy KS3:

Náklady na UC jsou odpovědné za udržování stejných jazykových rolí:

1) správce systému s hlavním instalačním jazykem, konfigurace a úprava funkcí CA, tvorba a úprava profilů členů skupiny správců provozu CA, konfigurace profilu a parametrů v CA. protokol auditu;

2) správce certifikátu s hlavními vazbami: schválení a zrušení certifikátů klíčů ověření EP;

Zaměstnanci CA mohou implementovat mechanismus, který znemožňuje zmocnit jednoho člena ze skupiny správců CA k různým rolím.

20.5. Vymogy na zabiv UTs třídy KB1:

Koshti CA je odpovědná za zajištění přítomnosti jazykové role operátora s hlavními povinnostmi pro zálohování a obnovu.

20.6. Vymogi to zabіv UT třídy KV2 zbіgayutsya z vіmogi koshtіv UT třídy KB1.

20.7. Vymogi do zasobiv UC třídy KA1:

Koshti UT jsou odpovědné za zajištění viditelnosti obov'yazkovoї role správce auditu s hlavními ob'ov'yazkami: revize a podpora auditního deníku;
- správce systému není odpovědný za možnost provádět změny v protokolu auditu.

21. Vymogi na integritu nákladů na UC:

21.1. Koshti UC je zodpovědná za mechanismus kontroly nepovolené deprese a (nebo) neznalosti (změn, úprav) a (nebo) zničení informací, softwarových nástrojů a AS CA (dále jen mechanismus pro sledování integrity).

21.2. Wimogi do Koshtiv UC třídy KS1:

Vymogi do mechanismu kontroly pevnosti může být přiděleno TK pro distribuci (modernizaci) boxů CA;
- Může být přiděleno období kontroly integrity softwaru a AS CA a označení v provozní dokumentaci za náklady CA;
- kontrola integrity softwaru a AS UC odpovídá za přetížení operačního systému (dále jen OS);
- vděčíme buti za obnovení integrity koček UC.

21.3. Vymogami na zaobіv UT třídy KS2 zbіgayutsya z vimogami pro zaobіv UT třídy KS1.

21.4. Wimogi do Koshtiv UTs třídy KS3:
- Kontrola integrity je odpovědná za vikonuvatisya ne méně než 1krát za sklizeň.

21.5. Vymogy na zabiv UTs třídy KB1:
- Kontrola integrity je odpovědností vikonuvatisya, dokud OS nepřevezme CA.

21.6. Vymogi to zabіv UT třídy KV2 zbіgayutsya z vіmogi koshtіv UT třídy KB1.

21.7. Vymogi do zasobiv UC třídy KA1:
- Kontrola integrity odpovídá za dynamické fungování během fungování zařízení CA.

22. Wimogi pro řízení přístupu:

22.1. Koshti UT mohou zabezpečit přístup.

22.2. Wimogi do Koshtiv UC třídy KS1:
- může být jmenován do řízení přístupu a přidělen CK pro distribuci (modernizaci) CA.

22.3. Vymogami na zaobіv UT třídy KS2 zbіgayutsya z vimogami pro zaobіv UT třídy KS1.

22.4. Wimogi do Koshtiv UTs třídy KS3:
- CA je odpovědná za diskreční princip řízení přístupu.

22.5. Vymogi do třídy zabіv UT КВ1 zbіgayutsya z vіmogi koshtіv třídy UC КС3.

22.6. Wimogi do Koshtiv UC třídy KV2:
- může zajistit vytvoření uzavřeného pracovního prostředí 4 sobіv UT.

22.7. Vymogi do zasobiv UC třídy KA1:
- v CA je možné zajistit povinný princip kontroly přístupu; pro zavedení klíče ES správce certifikátu jsou zapotřebí alespoň dvě důvěryhodné osoby 5 .

23. Wimogi před identifikací a autentizací:

23.1. Identifikace a autentizace zahrnuje rozpoznání zaměstnance CA, člena skupiny administrátorů CA nebo proces ověření jejich pravosti. Autentizační mechanismus se provinil tím, že těmto subjektům zablokoval přístup k funkcím CA pro negativní výsledek autentizace.

23.2. V zařízeních CA, zda je či není implementována autentizační procedura, mohou existovat blokovací mechanismy pro výměnu velkého počtu postupujících pokusů o autentizaci jednoho subjektu k přístupu, jejichž počet není na vině více než tři. Při překročení počtu nadcházejících pokusů o autentizaci jednoho subjektu pro přístup instalované hraniční hodnoty může být tomuto subjektu zablokován přístup k zařízením CA na hodinu, což je indikováno CK pro distribuci (modernizace ) nákladů CA.

23.3. Wimogi do Koshtiv UC třídy KS1:

Popis postupu evidence účtů BÚ (zavedení údajů do evidence účtů BÚ) může být v provozní dokumentaci k účtům BÚ;
- u všech systémů, které umožňují přístup k zařízením CA, může být provedena autentizace. Pokud ano, je povoleno používat pro autentizaci pouze symbolické heslo, které se pravidelně mění, s minimálně 8 znaky, s abecedním napětím minimálně 36 znaků. Doba změny hesla není zodpovědná za změnu 6 měsíců.

23.4. Wimogi do Koshtiv UC třídy KS2:

Nezbytnost předložení koristuvannye koshtіv pіd CA je hodina jógové registrace dokumentů, které osvědčují osobu, mohou být zahrnuty do provozní dokumentace pro koshtі UT;
- všechny CA mohou měnit mechanismy pro vzdálenou autentizaci. Speciální charakteristiky mechanismů pro autentizaci na dálku z důvodu potvrzení ověření platnosti majetku CA a předmětů informatizace, jako je zprostředkovanost sčítání, CIM Wimogam;
- v případě lokálního přístupu ke službám CA má být autentizace členů skupiny správců CA ukončena před přechodem na pracovní stanici služeb CA (např. do převzetí základního OS).

23.5. Wimogi do Koshtiv UTs třídy KS3:

Pracovníci CA mohou mít implementován mechanismus autentizace místních koristuancí, který může umožnit přístup pracovníkům CA, ale nevstupovat do skladu skupiny administrátorů CA.

23.6. Vymogy na zabiv UTs třídy KB1:

Při vzdáleném přístupu k zařízením CA lze změnit pouze symbolické heslo, za ověření jsou odpovědné autentizační mechanismy založené na kryptografických protokolech.

23.7. Vymogi to zabіv UT třídy KV2 zbіgayutsya z vіmogi koshtіv UT třídy KB1.

23.8. Vymogi do zasobiv UC třídy KA1:

V zařízeních CA je možné pro jakýkoli implementovaný autentizační mechanismus implementovat možnost nastavení maximálního přípustného počtu postupujících pokusů o autentizaci jednoho subjektu pro přístup, který blokuje přístup ke službám CA v oblasti provozu.

24. Wimogi to zahistu danikh, scho to come (export) do (h) UC:

24.1. CA je odpovědná za to, že bude zadán certifikát ověřovacího klíče EP s vlastním podpisem.

24.2. Wimogi do Koshtiv UC třídy KS1:

Náklady CA jsou zodpovědné za zajištění přenosu dat, který má chránit informace vyměňované pro přístup, které se mohou dostat k CA a být exportovány z CA, způsobem odcizením z NRS;
- v kancelářích CO lze realizovat postup obhajoby prohlášení hybných poděkování 6;
- Kromě toho jsou před postupem pro zahistu vіd nav'yazuvannya khibnykh povіdomlen přiděleny TK pro distribuci (modernizaci) souprav CA.

24.3. Wimogi do Koshtiv UC třídy KS2:

Náklady CA jsou odpovědné za zajištění primárního poplatku za certifikát reverifikačního klíče EP;
- pokud je CA odpovědná za přijímání informací, které jsou zásadní pro fungování CA, není to podepsáno EP.

24.4. Wimogi do Koshtiv UTs třídy KS3:

Zaměstnanci CA mohou mít implementaci mechanismu ochrany daňových poplatníků na základě vítězství EP, takže si odnesli potvrzení o způsobilosti EP k udělení ceny EP.

24.5. Vymogy na zabiv UTs třídy KB1:

Zařízení UT mohou implementovat mechanismus ochrany dat pro přenos dat mezi fyzicky oddělenými komponentami s vylepšením systému ochrany kryptografických informací.

24.6. Vymogi to zabіv UT třídy KV2 a KA1 zbіgayutsya z vimogi koshtіv UT třídy KB1.

25. Wimogi před registrací:

25.1. Základní OS zasobіv UTs může pіdtrimuvati vedennya log audit systému podіy.

25.2. Wimogi do Koshtiv UC třídy KS1:

Zaměstnanci CA mohou mít mechanismus pro implementaci vibrační registrace kontrolních záznamů časopisu souvisejících s výkonem funkcí CA;
- seznam pododdělení, které jsou evidovány, odpovídá za provozní dokumentaci CA.

25.3. Vymogami na zaobіv UT třídy KS2 zbіgayutsya z vimogami pro zaobіv UT třídy KS1.

25.4. Wimogi do Koshtiv UTs třídy KS3:

Přijďte prosím do žurnálu auditu a odhalte neoprávněné změny v žurnálu auditu provedené členy personálu CA, pokud nejsou členy skupiny administrátorů CA.

25.5. Vymogi do třídy zabіv UT КВ1 zbіgayutsya z vіmogi koshtіv třídy UC КС3.

25.6. Wimogi do Koshtiv UC třídy KV2:

Vraťte se, abyste viděli neoprávněné změny v záznamu vzhledu v protokolu auditu.

25.7. Vymogi do zasobiv UC třídy KA1:

Protokol auditu může být dostupný pouze administrátorovi auditu, který lze pouze kontrolovat, kopírovat a mazat. Po vymazání prvního záznamu v deníku je audit automaticky zodpovědný za skutečnost vymazání od stanoveného data, hodiny a informace o osobě, jak byla operace provedena.

26. Vymogi schodo spolehlivost a stabilita fungování vlastností CA:

26.1. Byli jmenováni viníci za spolehlivost a stabilitu fungování pracovníků CA a jmenování TK pro rozvoj (modernizaci) pracovníků CA.

26.2. Wimogi do Koshtiv UC třídy KS1:

Provedeno šetření odstranění poruch a nefunkčnosti AS CA, s cílem způsobit výpadky CA jejích funkcí.

26.3. Wimogi do Koshtiv UC třídy KS2:

Je potřeba otestovat stabilitu fungování UC.

26.4. Wimogi do Koshtiv UTs třídy KS3:

Vinný buti jmenován v nejbližším možném čase k aktualizaci nákladů na UC po poruše a přidělen TK k distribuci (modernizaci) nákladů na UT;

Přijďte a pomozte zvýšit spolehlivost a stabilitu fungování zdrojů UC díky mechanismu kotace zdrojů nákladů UC.

26.5. Vymogy na zabiv UTs třídy KB1:

Imovirnіst izboїv a poruchy AS UT, které vedou k nevikonnannya UT jeho funkcí, není vinen přehodnocením analogické variability pro vítězství SKZІ.

26.6. Vymogi to zabіv UT třídy KV2 a KA1 zbіgayutsya z vimogi koshtіv UT třídy KB1.

27. Wimogi ke klíčovým informacím:

27.1. Pořadí tvorby, výběru, výběru a zkracování klíčových informací je stanoveno v závislosti na provozní dokumentaci pro EP a další SKZI, kterou zadává CA.

27.2. Termín dії klíč EP je kvůli EP, který vyhraje CA, může být potvrzen úřady, nainstalujeme ho před EP.

27.3. Wimogi do Koshtiv UC třídy KS1:

Není dovoleno kopírovat informace klíčových dokumentů (kryptografické klíče, včetně klíčů EP) na nos (například pevný disk), pokud ne na nosy klíčů, bez dopředného šifrování (protože je možné použít SKZI funkce). Kopie klíčových dokumentů mohou být požadovány pouze před provozní dokumentací o vítězném záznamu SKZI;

Klíč, Vikoristovoye Vikoristovoy pro Pidpis Certifikativ Klovyv Perekhvyv Tu Poslouchejte Numyvyv Certifіtіtіtіv Klovyv Transliv, Diyki, v okamžiku zpěvu Bula, Pilled Uts to Zachinchennya (Dali - seznam anulů certifikátu), nevinen

Termíny pro všechny klíče mohou být v provozní dokumentaci označeny kódem CA.

27.4. Pravomoci pro pořízení UC tříd KS2 a CC3 jsou kombinovány s dostatkem pro pořízení CA třídy KS1.

27.5. Vymogy na zabiv UTs třídy KB1:

Je na vás, abyste se spojili s těmi organizačními a technickými, abyste zabránili kompromitaci klíče EP, abyste vyhráli za podpis certifikátů v klíčích ověření EP a seznamy zrušených certifikátů, v případě kompromitace klíčová informace, jedna dostupná.

27.6. Wimogi do Koshtiv UC třídy KV2:

Klíč EP, který vítězí při podepisování certifikátů pro ověřovací klíče EP a seznamy anulovaných certifikátů, je odpovědný za generování, ukládání, viktorizaci a upisování EP. Je povoleno získat pouze povinnosti EP, pokud odebrali potvrzení o statutárních pravomocích, které se předkládají obhajobě EP podle federálního zákona;
- dluží odpovědnost organizačním a technickým návštěvám zabránit kompromitaci klíče ES, vyhrát za podpis certifikátů v klíčích ověření ES a seznamy zrušených certifikátů, pokud jsou informace o klíči kompromitovány, k dispozici dvěma lidem.

27.7. Vymogi do zasobiv UC třídy KA1:

Je nutné se spojit s organizačními a technickými, aby nedošlo ke kompromitaci klíče EP, vyhrát za podepisování certifikátů v klíčích ověření EP a seznamech zrušených certifikátů, v případě kompromitace informací klíče, k dispozici pro tři osoby.

28. Chcete-li zálohovat a aktualizovat náklady CA:

28.1. Koshti CA je odpovědná za implementaci funkcí záložního kopírování a aktualizace v různých časech AS a (nebo) informací, které CA zpracovává. Během procesu zálohování lze deaktivovat možnost kopírování kryptografických klíčů.

28.2. Wimogi do Koshtiv UC třídy KS1:

Data, úspora v případě zálohy, dlužná, ale dostatečná pro obnovení fungování souborů UC tábora, oprava v době kopírování.

28.3. Pravomoci pro pořízení UC tříd KS2 a CC3 jsou kombinovány s dostatkem pro pořízení CA třídy KS1.

28.4. Vymogy na zabiv UTs třídy KB1:

Vinen, ale naživu, přijďte za odhalení neoprávněných změn v ukládání dat;
- z důvodu domluvy v nejbližším možném termínu byli jmenováni do CK pro distribuci (modernizaci) boxů CA a v provozní dokumentaci k boxům CA.

28.5. Wimogi do Koshtiv UC třídy KV2:

Informace, které se ukládají při zálohování, mají být uloženy pouze v zašifrované podobě.

28.6. Vymogi to zasobіv UT třídy KA1 zbіgayutsya z vimogi koshtіv UT třídy KV2.

29. Vymogi před vytvořením a zrušením certifikátů klíčů ověření EP:

29.1. Protokoly pro vytváření a rušení certifikátů ověřovacích klíčů EP mohou být popsány v provozní dokumentaci pro CA.

29.2. Tvorba CA certifikátů ověřovacích klíčů EP a seznamů anulovaných certifikátů viny v souladu s mezinárodními doporučeními ITU-T X.509 7 (dále jen doporučení X.509). Všechna pole a doplňky, které mají být zahrnuty před certifikátem klíče pro revalidaci EP, a seznam zneplatněných certifikátů, které musí být znovu ověřeny před doporučením X.509. V případě volby alternativních formátů certifikátů v klíčích reverifikace EP může být možné je označit do doby, než budou protokoly o vytvoření a zrušení certifikátů v klíčích reverifikace EP a přiděleny CK pro distribuce (modernizace) CA.

29.3. Pokud CA může implementovat protokol pro zneplatnění certifikátu ověřovacího klíče EP z různých seznamů zneplatněných certifikátů.

29.4. Je povoleno implementovat stornovací protokoly bez nutnosti měnit seznamy zrušených certifikátů, ačkoli mohou být přiděleny CK pro distribuci (modernizaci) nákladů CA.

29.5. Wimogi do Koshtiv UC třídy KS1:

Na provozovnách CA lze implementovat funkci přípravy certifikátu reverifikačního klíče SP na papírovém nosu. Postup při vydávání certifikátu srovnávacího klíče ES na papírovém nosiči, stejně jako postup při sledování platnosti certifikátu srovnávacího klíče ES v elektronické podobě na papírovém nosiči, má být stanoven v provozní dokumentaci. podle nákladů na CA;

Na provozovnách CA je možné implementovat mechanismus reverifikace jedinečnosti reverifikačního klíče EP a ověřování reverifikačního klíče EP.

29.6. Vymogami na zaobіv UT třídy KS2 zbіgayutsya z vimogami pro zaobіv UT třídy KS1.

29.7. Wimogi do Koshtiv UTs třídy KS3:

Změna hodnoty hodiny v certifikátech opětovného ověření klíče EP a seznamech anulovaných certifikátů nezodpovídá za revizi 10 minut.

29.8. Vymogy na zabiv UTs třídy KB1:

Změna hodnoty hodiny v certifikátech opětovného ověření klíče EP a seznamech anulovaných certifikátů nezodpovídá za revizi 5 minut.

29.9. Vymogi to zabіv UT třídy KV2 a KA1 zbіgayutsya z vimogi koshtіv UT třídy KB 1.

30. Nápověda ke struktuře certifikátu ověřovacího klíče EP a seznamu zneplatněných certifikátů:

30.1. Wimogi do Koshtiv UC třídy KS1:

Přípustnou strukturu certifikátu reverifikačního klíče EP a seznamu anulovaných certifikátů lze proplatit v provozní dokumentaci na náklady CA;
- CA je odpovědná za implementaci mechanismu pro sledování platnosti vytvoření certifikátů v klíčích opětovného ověření EP a seznamech zrušení certifikátů ve struktuře úkolů;
- ve struktuře certifikátu reverifikačního klíče EP bylo přeneseno pole, které pro kontrolu informace o třídě služeb CA, ze které byl vytvořen správný certifikát reverifikačního klíče EP, pole, které má vymazat informace o třídě ES certifikátu klíče pro opětovné ověření ES.

30.2. Pravomoci pro pořízení UC tříd KS2 a CC3 jsou kombinovány s dostatkem pro pořízení CA třídy KS1.

30.3. Vymogy do zasobiv UTs třídy KV1:

CA mohou implementovat mechanismus pro správce systému k nastavení sady platných dodatků k certifikátu ověřovacího klíče EP a k seznamu zrušených certifikátů.

30.4. Vymogi to zabіv UT třídy KV2 a KA1 zbіgayutsya z vimogi koshtіv UT třídy KB1.

31. Pomoc k registru certifikátů klíčů ověření EP a zabezpečení přístupu k novému:

31.1. Wimogi do Koshtiv UC třídy KS1:

Na provozovnách CA je možné zavést mechanismus pro zabezpečení a prošetření všech vytvořených certifikátů revalidačních klíčů EP a seznamů zrušení certifikátů v registru, jakož i přístupu do registru.

31.2. Vymogami na zaobіv UT třídy KS2 zbіgayutsya z vimogami pro zaobіv UT třídy KS1.

31.3. Wimogi do Koshtiv UTs třídy KS3:

CA je odpovědná za implementaci mechanismu vyhledávání certifikátů EP revalidačních klíčů a seznamu anulovaných certifikátů z registru certifikátů EP revalidačních klíčů pro různé atributy;
- všechny změny v rejstříku certifikátů klíčů pro opětovné ověření EP mají být zapsány do protokolu auditu.

31.4. Vymogi až po zabіv UT třídy KB1, KV2 a KA1 zbіgayutsya z vimogi koshtіv UC třídy KS3.
32. Před opětovným ověřením EP osvědčení o klíči opětovného ověření EP:

32.1. Na vině je mechanismus opětovného ověření podpisu certifikátu klíče opětovného ověření EP na žádost účastníka elektronické výměny označení v provozní dokumentaci ke kartě CA.

32.2. CA je odpovědná za implementaci mechanismu reverifikace UR SP v certifikátech klíčů ověřování UR, které vidí.

32.3. Opětovné ověření ES na certifikátu klíče pro opětovné ověření ES podléhá doporučením X.509, včetně závazného opětovného ověření všech kritických doplňků.

32.4. V závislosti na specifikách provozu zařízení CA je však povoleno zvolit alternativní formáty v certifikátu reconciliation key certifikátu EP, dále pak mechanismus pro opětovné ověření podpisu certifikátu certifikátu EP reverification key a přiřazení TK pro na vině je distribuce (modernizace) odsouhlasení CA.

33. Za účelem výměny příležitostí k podpoře kanálů útoků na zabezpečení CA je odpovědností kanálů komunikovat se zprostředkující ochranou obrazovky.

34. Viníci byli přiděleni, aby pomáhali chránit CA před počítačovými viry a počítačovými útoky a byli přiděleni TK pro distribuci (modernizaci) stavebnic CA.

35. Pokud je CA připojena k informačním a telekomunikačním zařízením, není přístup k síti omezen hlavním počtem osib, označení CA může být nezbytné pro podporu třídy CA KV2 chi KA1.

36. Posouzení výkonu UC za účelem potvrzení platnosti ztrát UC se provádí s pomocí Federální bezpečnostní služby Ruska, které se vyvíjejí, číselné hodnoty parametrů a charakteristik obrany mechanismy, které jsou implementovány v postupech UC 8 .

1 Registrace ministerstvem spravedlnosti Ruska dne 3. února 2005, registrační číslo 6382.
2 Registrace ministerstvem spravedlnosti Ruska dne 25. května 2010, registrační číslo 17350.
3 Nehlavní třída ohnisek (modernizace) se nasazuje na vanned páteří (vnější tyč) odstranění nativní z konjugace zdraví hloubky kapacity útoků, připojení suterén 9-14 cis v takticko-technickém ohřívači projekční práce nebo skladová část představebních prací z rozvodu (modernizace) boxů UT (dále - T3 pro rozvod (modernizaci) boxů UT).
4 Softwarové médium jako by umožňovalo menší pevnou množinu předmětů (programů, procesů).
5 Jednotlivci, kteří jsou členy skupiny správců UC a nejsou porušovateli.
6 Nav'yazuvannya hibnogo podomlennya є dієyu, přijaté účastníky elektronické interakce nebo prostřednictvím CA, jako převod práva oznámení způsobem, budeme chránit typ NSD.
7 Doporučení ITU-T X.509. Technologické informace - Propojení otevřených systémů - Adresář: Rámce certifikátů veřejného klíče a atributů. 2008. http://www.itu.int/rec/T-REC-X.509-200811-i.
8 Pododstavec 47 odst. 9 Předpisů o Federální bezpečnostní službě Ruské federace, schváleného výnosem prezidenta Ruské federace ze dne 11. dubna 2003 č. 960 (Sbírka zákonů Ukrajiny, 2003, č. 33, čl. 3254; 2004, č. 28, čl. 2883; 2005, č. 36, čl. 3665, č. 49, čl. 5200; 2006 č. 25, čl. 2699; č. 49, článek 6133; č. 53, článek 6554; 2008, č. 36, článek 4087; č. 43, článek 4921; č. 47, článek 2435; 2011, č. 2 , článek 267; č. 9, čl. 1222).

prohlížeče