Sigurna kriptografska zaštita informacija, ili skraćeno SKZI, za osiguranje univerzalne zaštite podataka koji se prenose komunikacijskim linijama. Za to je potrebno napraviti autorizaciju i zaštitu elektroničkog potpisa, autentifikaciju primljenih strana od pobjeda TLS i IPSec protokola, kao i zaštitu samog kanala, ako je potrebno.
U Rusiji su tajne kriptografske sigurnosti za zaštitu svijeta tajne, pa im je malo dostupnih informacija.
Metode da se zaglavite u SKZI
- Autorizacija podataka i sigurnost sigurnosti njihovog pravnog značaja pod satom prijenosa i pohranjivanja. Za koje zastosovuyut algoritmi za izradu elektroničkog potpisa i yogo ponovnu provjeru je u skladu s utvrđenim RFC 4357 propisima i potvrditi certifikat za X.509 standard.
- Zaštita povjerljivosti podataka i kontrola njihova integriteta. Vikoristovuetsya asimetrično šifriranje koje imitozakhist, tobto protidiya pídminí danih. Dorimuetsya GOST R 34.12-2015.
- Zahist sistemskog i primijenjenog softvera. Reagiranje na neovlaštene promjene i neispravan rad.
- Upravljanje najvažnijim elementima sustava sukladno usklađenosti s donesenim propisima.
- Autentifikacija stranaka, kao razmijenjeni podaci.
- Zahist z'ednannya za pomoć protokol TLS.
- Zaštita IP-s'ednana za dodatne protokole IKE, ESP, AH.
Metode su detaljno opisane u sljedećim dokumentima: RFC 4357, RFC 4490, RFC 4491.
SKZI mehanizmi za informacijsku obranu
- Zaštita povjerljivosti se sprema ili se prenosi informacija podliježe dodatnim algoritmima šifriranja.
- U trenutku instalacije identifikacijski poziv je osiguran elektroničkim potpisom u sat vremena provjere autentičnosti (za preporuku X.509).
- Digitalna obrada dokumenata također je zaštićena elektroničkim potpisima u cijelosti od zaštite od nametanja ili ponavljanja, s kojima se vrši kontrola pouzdanosti ključeva, kao da su pobjednici ponovne provjere elektroničkih potpisa.
- Integritet informacija osiguran je digitalnim potpisom.
- Korištenje funkcija asimetrične enkripcije omogućuje šifriranje podataka. Naravno, za provjeru integriteta podataka mogu se koristiti funkcije raspršivanja ili imitacijski algoritmi. Međutim, ove metode ne naglašavaju autorstvo dokumenta.
- Zaštitu u obliku ponavljanja koriste kriptografske funkcije elektroničkog potpisa za šifriranje ili imitaciju. Istodobno, sesiji kože dodaje se jedinstveni identifikator, daje mu se dugo vremena da se može isključiti, a ponovnu provjeru provodi strana koja prima.
- Obrana vrste komunikacije, odnosno prodor linkova sa strane, osigurana je elektroničkim potpisom.
- Drugi branitelj - protiv knjižnih oznaka, virusa, modifikacija operacijskog sustava, zatim - pobrinite se za pomoć raznih kriptografskih alata, sigurnosnih protokola, antivirusnog softvera i organizacijskih posjeta.
Kao što se sjećate, algoritmi elektroničkog potpisa glavni su dio kriptografske zaštite informacija. Smrad će se vidjeti u nastavku.
Vimogi
SKZI je usmjeren na zaštitu (provjeru elektroničkog potpisa) podataka u različitim informacijskim sustavima globalnih pobjeda i sigurnost njihove povjerljivosti (provjera elektroničkog potpisa, imitacija, enkripcija, provjera korporativne zaštite).
Osobni zasíb kriptografska zaštita pobjednik za zaštitu osobnih podataka koristuvach. Prote se sanjkajte posebno da biste vidjeli informacije koje su vrijedne suverenog misterija. Iza zakona SKZI-a, možete buti vikoristano raditi s njim.
Važno: prije instaliranja SKZI-a, moramo sljedeće pregledati sam sigurnosni paket SKZI. Prvi lonac. U pravilu se integritet instalacijskog paketa provjerava provjeravanjem kontrolnih zbroja, vrijednosti birača.
Nakon instalacije, sljedeći korak će biti određen razinom prijetnje, ovisno o kojoj je moguće odrediti potrebne za instalaciju tipa SKZD: softver, hardver i hardver i softver. Također je potrebno osigurati da organizacija sadašnjeg SKZI-ja treba osigurati distribucijski sustav.
Glina zahistu
Sukladno tome, do naredbe FSB-a Rusije od 10.7.2014. pod brojem 378, koja regulira regulaciju kriptografskih sigurnosnih mjera za zaštitu informacija i osobnih podataka, dodijeljeno je šest klasa: KS1, KS2, KS3, KB1, KB2, KA1. Klasa obrane ovog sustava utvrđuje se analizom podataka o modelu razarača, tako da je moguće procijeniti moguće puteve zlog sustava. Zaštita će se temeljiti na softverskim i hardverskim alatima za kriptografsku zaštitu informacija.
AU (stvarne prijetnje), kao što se može vidjeti iz tablica, postoje 3 vrste:
- Ugroziti prvi tip po'yazani s nedokumentiranim sposobnostima softvera sustava, koji pobjeđuje u informacijskom sustavu.
- Ugroziti drugu vrstu aplikacije s nedokumentiranim mogućnostima primijenjenog softvera, koja pobjeđuje u informacijskom sustavu.
- Prijetnja trećeg tipa naziva se Reshta.
Nedokumentirana sposobnost - funkcije i moć softverske sigurnosti, koje nisu opisane u službenoj dokumentaciji, ili je ne podržavaju. Stoga njihov izbor može povećati rizik od ugrožavanja povjerljivosti i integriteta informacija.
Radi jasnoće, pogledajmo modele subverzivaca, za njihovo rušenje potrebna je još jedna klasa kriptografske zaštite:
- KS1 - javljač požara za pozive, bez pomoćnika u sredini sustava.
- KS2 je unutarnji prekidač, ali ne može pristupiti SKZD-u.
- KS3 - unutarnji prekidač, koji je koristuvachy SKZD.
- KV1 - razarač, koji dodaje resurse trećih strana, na primjer, fakhivtsiv iz SKZI.
- KV2 je olupina, iza čije djelatnosti stoji institut ili laboratorij, koji radi u hodniku plantaže i razvoja SKZD-a.
- KA1 - posebne službe ovlasti.
S ovim rangom KS1 se može nazvati osnovnom klasom zahistu. Očigledno, više klasnih branitelja, a zatim manje fahivtsiv, izgradnja jogija kako bi bili sigurni. Na primjer, u Rusiji je za počast za 2013. postojalo samo 6 organizacija koje su mogle dobiti certifikat od FSB-a i zgrada za osiguranje obrane klase KA1.
Wikoristan algoritmi
Pogledajmo glavne algoritme koji pobjeđuju u kriptografskoj zaštiti informacija:
- GOST R 34.10-2001 i ažuriranja GOST R 34.10-2012 - Algoritmi za stvaranje i ponovnu provjeru elektroničkog potpisa.
- GOST R 34.11-94 i ostatak GOST R 34.11-2012 – algoritmi za usklađivanje hash funkcija.
- GOST 28147-89 i novi GOST R 34.12-2015 - implementacija algoritama za šifriranje i imitaciju podataka.
- Dodani kriptografski algoritmi provjereni su za RFC 4357.
Elektronički potpis
Nemoguće je otkriti važnost kriptografske zaštite informacija bez korištenja algoritama elektroničkog potpisa za postizanje veće popularnosti.
Elektronički potpis je poseban dio dokumenta, nastao kriptografskim transformacijama. Njihovi glavni zadaci su otkrivanje neovlaštene promjene i dodjela autorstva.
Certifikat elektroničkog potpisa važan je dokument koji vašem špijunu za ključ priopćava valjanost i valjanost elektroničkog potpisa. Izdavanje certifikata određuju centri koji su certificirani.
Vlasnik potvrde elektroničkog potpisa je osoba na koju je certifikat registriran. Vín pov'yazany íz dva ključa: vídkritim i zatvoriti. Ključ za zatvaranje omogućuje stvaranje elektroničkog potpisa. Validacijski ključ za provjeru autentičnosti potpisa kriptografske veze s privatnim ključem.
Pogledajte elektronički potpis
Prema Saveznom zakonu br. 63, elektronički potpis je podijeljen u 3 vrste:
- jednostavan elektronički potpis;
- nekvalificirani elektronički potpis;
- kvalifikacije elektronički potpis.
Radi se samo o tome da je EP kreiran za račun lozinki, obloženih na vídkrittya i reviziju podataka, ili slične pogodnosti, koje su slične potvrđivanju vlasnika.
Nekvalificirani SP stvara se uz pomoć kriptografskih transformacija iza pomoći privatnog ključa. Zavdyaki kojem možete potvrditi osobu koja je potpisala dokument, te utvrditi činjenicu da su prije ovih podataka napravljene neovlaštene promjene.
Potpise o kvalifikacijama i nekvalifikacijama uzimaju u obzir samo oni kojima, u prvoj fazi, certifikat za EP može ovjeriti FSB od strane centra za priznavanje.
Područje zviždača s elektroničkim potpisom
U donjoj tablici gledaju se sfere stagnacije EP-a.
U razmjeni dokumenata koriste se najaktivnije tehnologije EP-a. U internom dokumentarnom procesu EP djeluje kao potvrda dokumenata, dakle kao poseban potpis chi druk. U vrijeme suvremenog dokumentarca prisutnost EP-a je kritična, a dokazi su pravna potvrda. Varto također znači da se dokumenti, potpisani EP-i, zgrade čuvaju neograničeno dugo vremena i ne gube svoj pravni značaj kroz faktore kao što su potpisi, patentni zatvarači papira itd.
Zvítníst pred kontrolnim tijelima - tse još jedno područje, odmašćivanje elektroničke obrade dokumenata. Mnoge tvrtke i organizacije već su cijenile učinkovitost rada u ovom formatu.
Prema zakonu Ruske Federacije, građanin kože može imati pravo služiti kao EP s pobjedničkim državnim uslugama (na primjer, potpisivanje elektroničke prijave za vlasti).
Online nadmetanje je još jedno područje u kojem se aktivno promiču elektronički potpisi. Vaughn ê pídtverzhennyam činjenice da na aukciji uzima sudbinu stvarne osobe da se njezini prijedlozi mogu smatrati autentičnim. Toliko su važni oni koji, ako postoji ugovor o pomoći EP-a, stječu pravnu snagu.
Algoritmi elektroničkog potpisa
- Hash pune domene (FDH) i standardi kriptografije javnog ključa (PKCS). Ostati cijela skupina standardnih algoritama za različite situacije.
- DSA i ECDSA su američki standardi elektroničkog potpisa.
- GOST R 34.10-2012 je EP standard za Rusku Federaciju. Ovaj standard, koji je zamijenio GOST R 34.10-2001, službeno je usvojen nakon 31. prosinca 2017.
- Euroazijska unija temelji se na standardima koji su slični onima u Rusiji.
- STB 34.101.45-2013 je bjeloruski standard za digitalni elektronički potpis.
- DSTU 4145-2002 - standard za izradu elektroničkog potpisa u Ukrajini i mnogi drugi.
Varto također znači da se algoritmi za kreiranje SP-a mogu razlikovati u prepoznavanju tog broja:
- Grupni elektronički potpis.
- Jednokratni digitalni potpis.
- EP odobren.
- Kvalifikacije i nekvalifikacije prijavljeni i upisani.
Sigurnost kriptografske zaštite informacija u klasama zaštite KS2 i KS1 očito ovisi o sposobnosti FSB-a Rusije da kontrolira stvarne mogućnosti napada i dobro uhodanih pristupa suprotstavljanju napadima.
1. Stvarna mogućnost gerel napada
Postaviti kriptografsku zaštitu informacija (SKZI) klase KS1 za stvarne mogućnosti gerel napada, te samostalno kontrolirati kreiranje metoda napada, priprema i provođenje napada je samo izvan granica kontrolirane zone.
- samostalno razvijati stvaranje metoda napada, pripremu i provođenje napada samo izvan granica kontrolirane zone;
- samostalno upravljati kreiranjem metoda napada, pripremom i provođenjem napada na granicama kontrolirane zone, čak i bez fizičkog pristupa hardverskim objektima, na bilo kakvu implementaciju SKZI i sredini njihova funkcioniranja (SF).
Na taj način se u KS1 smatra da SKZI klasa KS2 neutralizira stvarnu mogućnost gerel napada, da samostalno upravlja kreiranjem metoda napada, pripremom i provođenjem napada na granicama kontrolirane zone, ali bez fizičkog pristupa hardverskim alatima. , na kojima se provode SKZF-ovi.
2. Varijante vikonannya SKZI klase obrane KS3, KS2 i KS1
Opcija 1, bazirana na osnovnom sigurnosnom softveru SKZI, koji osigurava KS1 sigurnosnu klasu.
Opcija 2 za SKZI klasu KS2, koja se sastoji od osnovne SKZI klase KS1 zajedno s certificiranim hardversko-softverskim modulom pouzdane akvizicije (APMDZ).
Opcija 3, za SKZI klasu KS3, koja se sastoji od SKZI klase KS2 zajedno sa posebnim softverom za kreiranje i kontrolu zatvorenog softverskog okruženja.
Na taj se način softverska sigurnost za SKZI klasu KS2 nadograđuje na KS1 tek nakon nadogradnje na SKZI klasu KS1 certificiranu od APMDZ. Vídminností SKZÍ klass KS3 víd klass KS1 - tse vikoristannya SKZÍ klass KS1 spílno s APMDZ certifikatom i posebnim softverom za stvaranje i kontrolu zatvorenog softverskog okruženja. I također vídminníst SKZÍ klase KS3 víd klass KS2 - tse vikoristannya SKZÍ klase KS2 u kombinaciji s posebnim softverom za stvaranje i kontrolu zatvorenog softverskog okruženja.
Softver ViPNet SysLocker (1.0 od 28.03.2016.) je poseban softver za kreiranje i kontrolu zatvorenog softverskog okruženja.
3. Javite se protiv napada
SKZI klasa KS2 ne mora stati kada je u pitanju suzbijanje napada, kao da je viskozna za pobjedu tijekom rada SKZI klase KS1, već sama:
- odobrio prijenos osiba, koji može imati pravo pristupa mjestu;
- odobren je prijenos osiba, kao da mogu imati pravo pristupa mjestu prebivališta, da odjave SKZI;
- odobrena su pravila za pristup mjestu prebivališta, odjavu SKZI, za radno i neradno vrijeme, kao i za neradne situacije;
- pristup kontroliranoj zoni i prostorijama, oduzimanje resursa informacijskog sustava osobnih podataka (ISPDn) i (ili) SKZI, sigurno do režima kontrole pristupa;
- informacije o fizičkom, ići na obranu objekata, na nekim lokacijama ISPD-a, dostupni obezzhenny udio praktičara;
- Dokumentacija za SKZI se preuzima od službenika za SKZI iz metalnog sefa (shafí);
- aplikacija, u kojoj se izdaju dokumenti za SKZI, SKZI i komponente SF, opremljene ulaznim vratima i bravama, koje osiguravaju trajno zatvaranje vrata
- predstavnici tehničkih, servisnih i drugih dodatnih usluga za sat vremena rada u prostorijama (stanicama), de-skladištenje SKZI-a i praktičari, yakí ne ê koristuvachs SKZÍ, prekupljuju na tim mjestima manje u prisustvu radnika od operacije;
- spívrobítniki, ê ê koristuvachami ÍSPDN, ali ne ê koristuvachami SKZÍ, informiran o pravilima rada u ÍSPDN i vidpovidalníst za podcjenjivanje pravila za sigurnost sigurnosti informacija;
- koristuvachi SKZI informirao o pravilima rada u ÍSPDn, pravilima rada iz SKZÍ i nepoštivanju pravila za osiguranje sigurnosti informacija;
- zdijsnyuêtsya registracija i izgled diy koristuvachiv s osobnim podacima;
- zdíysnyuêtsya kontrola tílísnosti zasobív zakhistu.
Kako bi se osigurala sigurnost informacija, pri projektiranju informacijskih sustava naznačeni su znakovi koji karakteriziraju blokiranje sigurnosti informacija. Smrad su odredili različiti akti regulatora u odjelu za informacijsku sigurnost, zocrema - FSTEC i FSB Rusije. Takva klasa zaštite je buvayut, tako, vidite zaštitu, a također i o priznavanju prijave, prikazano je u članku.
Ulazak
Danas je prehrambena sigurnost informacijske sigurnosti predmet velikog poštovanja, krhotine tehnologije, koje se posvuda uvode bez sigurnosti informacijske sigurnosti, postaju smetnja novim ozbiljnim problemima.
FSB Rusije izvještava o ozbiljnosti situacije: zbroj zbitkiva, koji su zlikovci davali nekoliko godina u cijelom svijetu, pao je sa 300 milijardi dolara na 1 bilijun dolara. Za podatke koje je iznio Glavni tužitelj Ruske Federacije, samo za prvu polovicu travnja 2017. u Rusiji se broj zlonamjernosti u sferi visokih tehnologija povećao šest puta, ukupni iznos zbitkiva premašio je 18 milijuna dolara. obilježen u cijelom svijetu. Zokrema, u Rusiji, porast broja napada do 2016. godine clave 22%.
Informacijske tehnologije postale su zastosovuvatysya kao zbroj za vojno-političke, terorističke svrhe, za uvođenje domaćih vlasti suverenih sila, kao i za uništavanje drugih zala. Rusija se zalaže za stvaranje sustava međunarodne informacijske sigurnosti.
Na teritoriju Ukrajine, informacijska tijela i operateri informacijskih sustava gušavost blokiraju neovlašteni pristup informacijama, kao i praćenje zaštite IT infrastrukture na trajnoj osnovi. U slučaju bilo kakve zaštite informacija, siguran je za stambene prostore raznih posjeta, uključujući i tehničke.
Voditi brigu o zaštiti informacija, odnosno SZI osigurati zaštitu informacija u informacijskim sustavima, što je, zapravo, ušteda u bazama podataka informacija, informacijske tehnologije, koje osiguravaju obradu informacija, i to tehničke.
Za današnje informacijske sustave tipično je korištenje različitih hardverskih i softverskih platformi, teritorijalne raspodjele komponenti, kao i međuovisnosti s različitim načinima prijenosa podataka.
Kako zaštititi informacije za takve umove? Vídpovídní vimogi pred'yavlyayut upovnovazhení orgulje, zokrema, FSTEK i FSB Rusije. U okviru članka možemo zamisliti glavne pristupe klasifikaciji SZI s poboljšanjem važnosti regulatora. Ostale metode za opisivanje klasifikacije SZI, koje se koriste u regulatornim dokumentima ruskih vlasti, i imenovanje stranih organizacija i agencija, ne izlaze izvan okvira statuta i nadala.
Članak može biti relevantan za opću javnu informacijsku sigurnost kao dzherelo strukturirane informacije o metodama razvrstavanja SZI na temelju FSTEC Rusije (što je važno) i, ukratko, FSB Rusije.
Struktura, izvorni način i koordinacija sigurnosti nekriptografskih metoda ÍB, ê FSTEC Rusije (ranije - Državna tehnička komisija predsjednika Ruske Federacije, Derzhtekhkomísiya).
Kao chitachev, bilo je moguće bachiti Državni registar potvrda o zaštiti informacija, oblik FSTEC Rusije, suludo skrećući pozornost na opisni dio prepoznavanja izraza kao što su "klasa RD SVT", "rijeka NDV-a” i dr. (slika 1) .
Slika 1. Ulomak registra C3I certifikata
Klasifikacija kriptografskih instrumenata obrane
FSB Rusije odredio je sljedeće kriptografske klase SZI: KS1, KS2, KS3, KV i KA.
Glavnim karakteristikama SZI klase KS1, moguće je oduprijeti se napadima koji se provode iza međukontrolirane zone. Kada se pokušava izbjeći, da se stvaranje metoda napada, njihova priprema i provođenje provode bez sudjelovanja lažnjaka u galuzi, te analize kriptografskih SZI. Izvještava se da se podaci o sustavu, u kojem je pohranjena oznaka SZI, mogu uzeti iz ulaznih podataka.
Kao kriptografski SZI može izdržati napade koji blokiraju klasu KS1, kao i izvođenje na granicama kontrolirane zone, pa je SZI sličan klasi KS2. Ako je tako, dopušteno je, primjerice, da tijekom pripreme napada mogu postati dostupne informacije o fizičkom pristupu zaštiti informacijskih sustava, sigurnosti kontrolirane zone i ostalo.
Istodobno, moguće je oduprijeti se napadima na očitost fizičkog pristupa sredstvima tehnika popisivanja s instaliranim kriptografskim SZI-jem kako bi se govorilo o valjanosti takvih sredstava za klasu KS3.
Kako bi izdržali kriptografske napade, kada su stvoreni, sudjelovali su fakhivtsi u području istraživanja i analize značaja rezultata, uključujući broj znanstveno-recentnih centara, mogućnost provođenja laboratorijskih istraživanja obrane. , zatim idite na sat KV.
I prije razvoja metoda napada, faksimili su pronađeni u hodniku softverske sigurnosti sustava NDV, bila je dostupna raznovrsna projektna dokumentacija i pristup bilo kojoj hardverskoj komponenti kriptografskog SZI-a, takvim napadima može se zaštititi sigurnost KA klase.
Klasifikacija zabív zahistu elektroničkog potpisa
Potpisi elektroničkog potpisa neispravni u smislu građevina za otpornost na napade prihvaćaju se za klase: KS1, KS2, KS3, KB1, KB2 i KA1. Tsya klassifikatsiya slična je onima koje su ispitane druge kriptografske SZI.
Visnovki
U članku su razmotrene neke metode klasifikacije SZI-a u Rusiji, osnova za koju će postati normativna baza regulatora u sferi obrane. Ispitane mogućnosti za klasifikaciju i odabir. Protebe, da su dane informacije predstavljene kako bi vam omogućili da se bolje orijentirate u IB sigurnosnoj sobi.
Wimogs iz FSB-a su misterij za bogate fahivtsive. Zašto tako vídbuvaetsya?
- Neobov'yazkove zastosuvannya zasobív šifriranje od strane operatera.
- Kompozitna rozuminnya normativna baza.
- Vídsutníst roz'yasnen na dokumentív íz stranu regulatora.
- Strah od operatera u viklikatim dodatkoví ponovnu provjeru u vikoristanny kriptografiji.
Ali, vodeći računa o svim poteškoćama, bez kriptografske zaštite ne dolazi do prijenosa osobnih podataka nezahtijenim kanalom veze, dolazi, na primjer, uklonjena radna djelatnost s osnovnim podacima korisnika, razlika između filologije i neiskorištenosti ureda, prijenos osobnih podataka radnika s kontaktima. Za nekog drugog, slični zadaci su praktički prisutni u organizaciji kože.
Pogledajmo normativnu bazu prve hrane. Možete vidjeti tri glavna dokumenta o kriptografskoj zaštiti osobnih podataka u Ruskoj Federaciji:
- Metodološke preporuke o tome kako osigurati dodatnu kriptografsku sigurnost osobnih podataka tijekom obrade u informacijskim sustavima osobnih podataka uz najbolju automatizaciju", odobrio je 8. Centar FSB Ukrajine 21.02.2008. br. 149
- Tipični zahtjevi u vezi s organizacijom i osiguravanjem funkcioniranja šifriranih (kriptografskih) sredstava, namijenjenih za zaštitu informacija, koji ne sadrže podatke, koji stanuju državnu tačku, u slučaju njihove upotrebe za osiguranje osobnih podataka u njihovim obradama u informacijskim sustavima osobnih podataka", potvrđenim upraviteljem 8 Centru FSB Rusije 21.02.2008. br. 149/6/6-622 - Dokument nije službeno objavljen.
- Naredba FSB-a br. 378 od 10. travnja 2014 «Za potvrdu u skladu sa sadržajem organizacijskih i tehničkih mjera za osiguranje osobnih podataka u njihovim obradama u informacijskim sustavima osobnih podataka s korištenjem sredstava kriptografske zaštite informacija, potrebnih za izvršenje postavljenih Urâdom Ruske Federacije zahtijevaju zaštitu osobnih podataka svih razina sigurnosti». Registriran u Ministarstvu pravosuđa Rusije 18. travnja 2014.
Dokument je usvojen više za sate „starih” dokumenata FSTEC-a („četvrta knjiga”, 58 Nakazu, 781 Uredba o narudžbi) i dopunjen ih. Varto označava da je normativni dokument koji se razmatra, a da nije registriran u Ministarstvu pravosuđa, na današnji dan status neznanja. Shvidshe za sve, na poveznici za vidjeti Red 378 Metodičke preporuke su izgubile svoju relevantnost. Međutim, želim ukratko sažeti dokument, kako bi postalo jasno kako su se sustavi šifriranja povijesno razvijali.
Vymogi vyshchevazannogo dokument (kao i drugi normativni akti u kriptografskoj zaštiti PDN) ne proširuju se na takve tendencije:
- obrada osobnih podataka bez potrebe za automatiziranom automatizacijom;
- Radite s osobnim priznanjima kako biste uspostavili suverenu tajnu;
- Vykoristannya tehníchníh zabív, raztashovanih držanje Ruske Federacije.
Dokument kaže da je za postizanje kriptografske zaštite potrebno proširiti model prijetnje iza FSTEC-a i FSB-a (za rijetku opravdanost). Operateri mogu sami preklopiti modele prijetnji ili, ako je potrebno, dobiti dozvole od FSB-a. Sve prijetnje u dokumentu odnose se na napade, a prijetnje, koje nisu napadi, pokrenute su širim prijetnjama. Metodologiju možete koristiti kao dokazni materijal za sat pisanja modela za novu pomoć.
Model prijetnje gornje razine definira sigurnosne karakteristike PDN-a i drugih objekata. U detaljnom modelu prijetnje potrebne su informacije dodijeljene kripto-zaštitniku.
Modelu prijetnje dodaju se različiti čimbenici: razumjeti stvaranje PDN-a, oblik PDN reprezentacije i sigurnosne karakteristike.
Krimi primarnih karakteristika: integritet, povjerljivost i pristupačnost također se vide kao nevidljivost, izgled, autentičnost i adekvatnost.
Kundak modela prijetnji više razine:
- Prijetnja povjerljivosti osobnih podataka.
- Prijetnja integritetu pojedinačnih podataka.
- Prijetnja dostupnosti osobnih podataka.
Dokument o zadacima ne služi samo za formiranje modela prijetnje, već i za značajke naručivanja primjerenog modela razarača. Sve štete u Metodološkim preporukama podijeljene su u dvije klase: izravne i neizravne štete po sigurnost osobnih podataka (prijetnje kojima se okrivljuju izravne prijetnje). Postoji 6 glavnih tipova puhala: H1, H2, H3, H4, H5, H6. Kao brojka, onda više prilika, kožni napad ofenzivnog tipa opadanja frontalnih sposobnosti. Operater samostalno određuje vrijeme za pripremu štitnika, raspoloživi alat i rad dozvole za kretanje. Dokument sadrži glavne karakteristike dermalnog tipa pesticida. Također, dodijeljeno je 6 jednakih kripto-protektora: KC1, KC2, KC3, KB1, KB2, KA1 i 6 klasa kriptovaluta sličnih naziva, za koje plan nije ništa mijenjao. ÍSPD su također podijeljeni u 6 klasa, upalo u najvećoj kategoriji baklje. AK1-yakscha naivishcha kategorija H1, AK2-yakscho H2, AK3 - yaksho H3, AK4 - yaksho H4, AK5 - yaksho H5, AK6 - yaksho H6. Vídpovídno rozpodílení zabí kryptozahistu: AK1 - KS1, AK2 - KS2, AK3 - KS3, AK4 - KB1, AK5 - KB2, AK6 - KA1.
Vrste pomoći
Tipični primjeri napisani su u istom razdoblju kao i Metodološke preporuke, koje nisu registrirane u Ministarstvu pravosuđa, od danas njihov status je nerazuman. Po mom mišljenju, dokumenti imaju potrebne podatke za prezentaciju. Izvješće opisuje obov'yazki koristuvachív kryptozaobív, identificira glavna pravila za njih:
- ne dopuštaju kopiranje ključnih informacija;
- ne izgovarajte informacije o ključevima;
- nemojte zapisivati informacije trećih strana na ključeve.
Opisan je proces redukcije ključa, glavni načini prihvaćanja i predstavljanje tipičnih oblika časopisa. Na temelju informacija koje su uključene u dokument, od vas će se možda tražiti da date točne upute.
Red 378
Vykhodu 378 Red je kovao sav profesionalni kapital i axis, nareshti, vin nabuv viteštvo. Na današnji dan je glavni dokument u kriptografskoj zaštiti osobnih podataka, a proširen je na sve ÍSPDn, u kojima je prepoznat kao zaštita kriptografskog SZI. Naredbom je određen ne samo za kriptografsku zaštitu, već i za režim sigurnosti, sigurnost smještaja, postupak pohranjivanja informacija i druge organizacije, ulaze, padaju uz prisutnost jednake sigurnosti sustava. Okremo imenovan, scho za operatera sanjke vikoristovuvaty SZI, yakí prošao ocjenu vidpovidnosti - certificiranje za sigurnost. Zahisní dolaze u opisano već navodno, uključite prozore na opremu prostorija (brave, stosuvannya za brtvljenje, rešetke na prozorima, itd.). Na vídmínu víd polozhenie Metodičke preporuke na Nakazi 378, klasa SKZÍ vychayatsya shdo jednaka zaštiti stvarne vrste prijetnji. Mozhlivostí zlovisnika vrakhovuyutsya samo schodo klase SKZI za 4 razine zaštite.
Tablica 1. SKZI razred
Pogrešivost u pogledu zaštite od te vrste prijetnji je očigledna i, zapravo, operater može odabrati klasu SKZI između brojnih opcija.
Dokument slijedi jasnu logiku viklada — dovoljno je poznavati razinu zaštite vlastitog sustava — uz ISPD razine kože, prikazan je u okremih podjela. Varto označava da, u pravilu, opadaju s nižih rangova na najviše, ÍSPDn 1. stupnja zaštite može potvrditi ÍSPDn 2., 3. i 4. rivníva. Po mom mišljenju, ruža uz pomoć novog.
Suludo, u jednom kratkom članku nemoguće je navesti sve nijanse kriptografske zaštite osobnih podataka i što je potrebno? Ovdje smo analizirali glavne točke, razumjeli logiku dokumenata, riješili detalje, tako da možete samostalno učiti. A u petom dijelu bit će osvrt na ništa manje važna hrana: osoba koja je uspjela zaštititi osobne podatke u sustav i odlučiti ih dobiti.
Vídpovídno do 5. dijela članka 8. Saveznog zakona od 6. travnja 2011. N 63-FZ "O elektroničkom potpisu" 1 kazniti stvrdnuti:
Wimogi dostaviti elektronički potpis (dodatak br. 1);
Vymogi do zasobív zasvídchuvalnogo centra (dodatak N 2).
Ravnatelj A. Bortnikov
1 Bilten Vrhovne Rade Ukrajine, 2011., br. 15, str. 2036; br. 27, čl. 3880.
Wimogi prije naručivanja elektroničkog potpisa
I. Gale položaji
3) ključ SP-a - jedinstveni niz simbola, prepoznat za stvaranje SP-a;
4) EP reverifikacijski ključ - jedinstveni niz simbola, jedinstveno povezan s EP ključem, koji se prepoznaje za ponovnu provjeru valjanosti EP (u daljnjem tekstu - EP reverifikacija);
5) EP kodovi - enkripcijski (kriptografski) kodovi koji se hakiraju radi implementacije jedne ili više od sljedećih funkcija - EP folding, EP re-verification, EP key folding i EP re-verification key;
6) potvrda ključa EP usklađivanja - elektronički dokument ili dokument na papirnatom nosu, koji vidi CA ili povjerljivi poseban CA koji potvrđuje valjanost EP ključa za pomirenje nositelju certifikata EP ključa pomirenja.
3. Qi vimogi uspostaviti strukturu i zmíst vimog da zasobív EP.
4. Dani Vimogi namijenjeni su za naručitelje i proizvođače sredstava, koji se razvijaju (moderni) EP u njihovoj interakciji između sebe, organizacijama, eografskom kriptografijom, inženjersko-kripti i specijalnim istraživanjima sredstava EP-a, FSB Rusije, koji dovršavaju odgovornost sredstava EP tim Vimogima .
5. Cí Vymogy poshiryuyutsya koshtom EP, priznat kao pobjednik na teritoriju Ruske Federacije, u tamošnjim ustanovama Ruske Federacije i na mjestu promjene preko kordona u Kremlju pídrozdílakh pravni, utpovídno pred zakonodavstvom Ruske Federacije .
6. Prije Up-basta, dio šipki, Vobronitvva, ostvaren Extraitae, hirovi rosobka, Vobritni, i realat šifre (kriptografski), grozdovi vlakna, žestoki 2005 r. . R. br. 66 1 (s promjenama učinjenim naredbom Federalne službe sigurnosti Rusije od 12. travnja 2010. br. 173 2) za šifriranje (kriptografsku) zaštitu informacija s pristupom razmjeni, kako se ne bi osvetila informacija, uspostaviti državu tajna.
7. Uz tehnologiju preklapanja (formiranja) i dimenzioniranja EP-a za dodatnu potporu EP-a, od taktičko-tehničkog voditelja ili tehničkog nadzornika nalaže se izvođenje završnog projektiranja odnosno skladišnog dijela. idejnog projekta za distribuciju (modernizacija EP) rozrobku (modernizatsiyu) zasobu EP).
II. Wimogi zasobiv EP
8. Kada je EP zatvoren, EP dospijeva:
Pokažite osobu koja potpisuje elektronički dokument, prikuplja podatke, potpisuje potpis3;
- izraditi EP tek nakon posebne potvrde, poput potpisivanja elektroničkog dokumenta, operacije nakon izrade EP3;
- nedvosmisleno pokazati da je EP stvoren 3 .
9. Prilikom pretvorbe EP-a plaća se trošak EP-a:
Pokažite kopiju elektroničkog dokumenta s potpisom EP 3;
- prikazati podatke o uvođenju izmjena u potpisani ES elektroničkog dokumenta 3 ;
- označiti osobi, odabirom ključa EP-a da su elektronički dokumenti potpisani 3 .
10. Mogućnost stavaka 8 i 9 tsikh Vymogi ne zastosovuyutsya prije sobív TS, scho pobijediti za automatsko podudaranje i (ili) automatsku ponovnu provjeru TS-a u informacijskom sustavu.
11. Odgovornost EP-a je oduprijeti se prijetnjama koje su usmjerene na ciljanje hardverskih i (ili) softverskih alata metodom narušavanja sigurnosti informacija, koje štiti EP, ili metodom razmišljanja za druge. (ili napad).
12. Ugari u obliku zdíbnosti za odupiranje napadima obrane EP dijele se na 4. razred.
13. Omogućiti EP klase KS1 da izdrži napade, uz kombinaciju metoda, pripreme i izvođenja takvih pobjeda, sljedeće mogućnosti:
13.1. Samorazvoj metoda napada, priprema i izvođenje napada.
13.2. Podíí̈ različite faze životnog ciklusa Koshti EP 5 .
13.3. Izvođenje napada više nije dovoljno prostora, usred kojeg postoji kontrola nad transferima i specijalnim snagama i (ili) transportnim objektima (dalje - kontrolira se zona 6).
13.4. Provodi se u fazama razvoja, ratovanja, konzervacije, transporta EP objekata i fazi puštanja u pogon EP objekata (pokretanje operacija) ofenzivnih napada:
Uvođenje neovlaštenih promjena u zasib EP i (ili) komponente SF-a, uključujući neke od najkritičnijih programa;
- neovlaštene izmjene dokumentacije za zahtjeve EP-a i za sastavnice SF-a.
13.5. Izvođenje napada na sljedeće objekte:
Dokumentacija o trošku EP-a i o komponentama SF-a;
- informacije o ključu, autentifikaciji i lozinki za EP;
- zasíb EP i yoga softverske i hardverske komponente;
- hardverske uređaje koji se mogu uključiti prije SF-a, uključujući mikro krugove iz BIOS mikrokoda koji se mogu koristiti za inicijalizaciju ovih uređaja (u daljnjem tekstu - hardverske komponente SF-a);
- Softverske komponente Vijeća Federacije;
- aplikacija, u kojoj se nalazi skup softverskih i tehničkih elemenata sustava za obradu podataka, zgrada funkcionira samostalno ili u skladištu drugih sustava (dalje - SVT), na kojoj se implementiraju EP i SF;
- drugi objekti napada, ako je potrebno, navedeni su u TOR-u za razvoj (modernizaciju) EP-a uz poboljšanje pobjeda u informacijskom sustavu, informacijskim tehnologijama, hardverskim značajkama (u daljnjem tekstu AS) i sigurnosti softvera ( u daljnjem tekstu PZ).
13.6. Iz ove informacije:
Opći podaci o informacijskom sustavu u kojem se dodjeljuje EP (imenovanje, skladište, operater, objekti, u svakoj raspodjeli resursa informacijskog sustava);
- informacije o informacijskim tehnologijama, bazama podataka, AS, PZ, koji su pobjednici u informacijskom sustavu odvojeno od EP-a;
- informacije o fizičkom, ići na obranu objekata, u kojima se nalazi EP;
- informacije o sigurnosti kontrolirane zone objekata informacijskog sustava, u cilju osvajanja uspjeha EP-a;
- informacije o načinu pristupa smještaju u kojem se nalazi SVT, u kojem se implementiraju EP i SF;
- promjena dokumentacije koja je dostupna za slobodan pristup o hardverskim i softverskim komponentama EP i SF;
- visokoprofilne izjave o informacijama koje se štite, da su pobjednici u procesu iskorištavanja EP-a;
- informacije o komunikacijskim linijama kojima se informacije prenose, a koje su zaštićene EP-om;
- informacije o svim komunikacijama na komunikacijskim kanalima, koji nisu zaštićeni od neovlaštenog pristupa informacijama organizacijskim i tehničkim posjetama, kršenjem pravila rada kabela EP i UV;
- informacije o svim komunikacijama na komunikacijskim kanalima, koji nisu zaštićeni od neovlaštenog pristupa informacijama organizacijskim i tehničkim pozivima, kvarovima i kvarovima hardverskih komponenti napajanja i UV;
- informacije dobivene iz rezultata analize bilo kakvih signala iz hardverskih komponenti za EP i UV, jer mogu promijeniti alarm.
13.7. Pobjeda:
koji su u slobodnom pristupu ili se nalaze izvan granica kontrolirane zone AS i PZ, uključujući hardverske i softverske komponente EP i UV;
13.8. Vikoristannya kao medij prijenosa sa subjekta na objekt (s objekta na subjekt) napada diy, što je sat pripreme i (ili) napada (dalje - kanal napada):
Nije zaštićen od neovlaštenog pristupa informacijama organizacijskim i tehničkim pristupima komunikacijskim kanalima (kao u kontroliranoj zoni, dakle u sredini), za koje se prenose informacije koje su zaštićene EP-om;
- kanali za širenje signala koji podržavaju funkcioniranje EP i UV funkcija.
13.9. Provođenje napada iz informacijskih i telekomunikacijskih mjera, pristup bilo kakvom neokruženju s malim udjelom osib.
13.10. Vykoristannya AU i PZ zí skladište zasobív ínformatsíynoí̈ í̈ scho vikoristovuyutsya na místsyakh ekspluatatsíí̈ zabu SP (dalje - redoviti zasobi) i scho znahoditsya izvan granica kontrolirane zone.
14. Koshti EP klase KS2 odolijevaju napadima, stvaranjem metoda, priprema i izvođenja takvih pobjedničkih sposobnosti, navedenih u podstavcima 13.1 - 13.10 Vimog cicha, i takvim dodatnim sposobnostima:
14.1. Izvođenje napada u prisutnosti oba položaja između granica, te u granicama kontrolirane zone.
14.2. Vykoristannya osoblja zasobív, zamezhene ulazak, implementacija u informacijskom sustavu, u yakíy vikoristovuêtsya zasíb EP, da usmjeravanje na zapobígannya da pripinennya nedozvoljene aktivnosti.
15. Koshti EP klase KS3 odolijeva napadima, uz pomoć metoda, priprema i izvođenja takvih pobjedničkih sposobnosti, navedenih u podstavcima 13.1 - 13.10, 14.1, 14.2 Vimoga, i takvim dodatnim sposobnostima:
15.1. Pristup SVT-u, na kojem su implementirani zasíb EP i SF.
15.2. Mogućnost roztashovuvaty hardverske komponente zahod EP i UV obsyagom, pada u víd zakhodív, zakhodíh zahobígannja i pripinennya nedozvoljene aktivnosti, implementacija informacijskog sustava, de vikoristovuêtsya zasíb EP.
16. Koshti EP klase KV1 da izdrži napade, uz pomoć metoda, priprema i izvođenja takvih pobjedničkih sposobnosti, navedenih u podstavcima 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2
16.1. Izrada metoda napada, priprema i izvođenje napada od ozračenih fahivtsiv, yakí mayut razrobka i analiza SP, uključujući fahivtsiv u hodniku analizu signala koji prate funkcioniranje SP i UV.
16.2. Provođenje laboratorijskih istraživanja za EP, kako osvojiti držanje kontrolirane zone, u promatranju, kako ležati na ulazima, usmjeravati na sprječavanje i primjenu neovlaštenih radnji, implementiranih u informacijski sustav, na način osvajanje EP-a.
17. Omogućite EP klasi KV2 da izdrži napade, pri kombiniranju metoda, pripremanju i provođenju takvih pobjedničkih sposobnosti, navedenih u podstavcima 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16. ovog dodatka.
17.1. Izrada metoda napada, priprema i izvođenje napada od napada lažnjaka, koji mogu omogućiti razvoj i analizu sredstava EP-a, uključujući i lažne u galeriji za provedbu napada na mogućnosti primijenjenog softvera, koji nisu opisani u dokumentaciji o softverskoj aplikaciji.
17.2. Izjava o robotima za izradu metoda i metoda napada u znanstvenim i naprednim centrima specijaliziranim za područje razvoja i analize sredstava EP i UV.
17.3. Mogućnost roztashovuvaty vyhídnym tekstova primijenjenog softvera, koji bi trebao biti uključen u Vijeće Federacije.
18. Dopustiti da EP klasa KA1 izdrži napade, u slučaju kombinacije metoda, priprema i izvođenja takvih pobjedničkih sposobnosti, obnove u podstavcima 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 17.
18.1. Izrada metoda napada, priprema i izvođenje napada od lažnih napada, koji mogu omogućiti razvoj i analizu SP-a, uključujući i lažne napade u galeriji za provedbu napada na mogućnosti softvera sustava, koji nisu opisani u dokumentaciji o softveru sustava.
18.2. Mogućnost matične sve dokumentacije o hardverskim i softverskim komponentama SF-a.
18.3. Mogućnost majke svih hardverskih komponenti za EP i SF.
19. Vrijeme je shvatilo prijevaru prijenosa EP-a elektroničkog dokumenta na Vikoristanni Certifikati Kodeksa Kodeksa Realizai Viclikiti može se prevesti EP-om elektroničkog dokumenta bez prevođenja Oblaka uvjeta EP Abo na usluzi Certifi.
20. Prilikom izrade EP-a krivi se kriptografski algoritmi koji su odobreni kao državni standardi ili FSB Rusije ima pozitivno mišljenje o rezultatima stručnih kriptografskih studija 7 .
21. Inženjerska i kriptografska obrana EP-a odgovorna je za isključivanje podjela, koji dovode do mogućnosti izvođenja uspješnih napada u vidu mogućih kvarova ili kvarova hardverske komponente EP-a ili hardverske komponente SVT-a, na kojem je implementiran EP softver.
22. Za programera SP-a moguće je implementirati manje zadataka za TK za razvoj (modernizaciju) SP alata, algoritama za funkcioniranje SP alata.
23. Softverska komponenta odgovorna je za EP (u slučaju dostupnosti softverske komponente za EP) odgovorna je za sljedeće:
Objektivni (istraživački) kod softverske komponente za jedinu svrhu EP-a može biti u skladu s vizualnim tekstom;
- za programsku komponentu, SP je odgovoran za implementaciju SP-a, koji više nije opisan u dokumentaciji funkcije softverskog okruženja, u kojem SP funkcionira;
- u programskoj komponenti za korištenje korištenih tekstova Moraju biti uključene mogućnosti, da se može modificirati ili spojiti algoritm fiksirati EP u modifikaciji ili spojiti informacije ili keruiraju procese i procese, uključeni u funkcioniranje EP-a, i održavaju pokretačima dostupnim jasno vidljivi ključ, identificirajući i (ili) provjeravajuću informaciju o identitetu UE;
- vrijednosti ulaznih i internih parametara, kao i vrijednosti parametara softverske komponente, nisu odgovorne za negativan utjecaj na njezino funkcioniranje.
24. U vrijeme planiranja postavljanja EP-ova na mjestima, u kojima se nalaze akustične i vizualne informacije, koje se osvete zraku, utvrditi državna tajna, da (ili) instaliraju AU i sustave za prijem, prijenos, obradu , spremanje i uključivanje informacija vídomosti, skladišta države taêmnitsyu, AS inozemne proizvodnje, koji ulazi u skladište zaliha EP, zbog buti piddaní ponovne provjere prisutnosti gospodarskih zgrada, priznat za neizgovoreno uklanjanje informacija.
U vrijeme planiranja smještaja objekata EP-a u prostoriji, u pojedinim slučajevima, akustična i vizualna informacija je akustična, za osvetu zraka, za utvrđivanje državne tajne koja nije postavljena.suvereni misterij:
Odluku o provođenju ponovne provjere AS inozemne proizvodnje, koji ulazi u skladište objekata EP klasa KS1, KS2, KS3, KV1 i KV2, prihvaća organizacija koja osigurava sigurnost rad ovih objekata EP-a;
- Ponovna provjera AS inozemne proizvodnje, koji ulazi u skladište zaliha EP klase KA1, provodi se općim jezičnim redom.
25. Odgovornost EP-a je provesti provjeru autentičnosti subjekta pristupa (opcija, procesa) cijelom procesu, štoviše:
U slučaju ograničenog pristupa sigurnosti SP-a, autentikacija subjekta za pristup može se provesti na klipu prvog funkcionalnog modula za osiguranje EP-a;
- Mehanizmi provjere autentičnosti su krivi za blokiranje pristupa ovih subjekata funkcijama EP-a za negativan rezultat autentifikacije.
26. Odgovornost EP-a je provesti autentifikaciju osiba, kako bi se omogućio lokalni pristup sigurnosti EP-a.
27. Potreba za provjerom autentičnosti procesa koje provodi pojedinačno vlasništvo EP-a, a koji će omogućiti lokalni ili udaljeni (mereževi) pristup privatizaciji EP-a, pripisuje se ToR-u za distribuciju (modernizaciju) privatizacije EP-a.
28. Za svaki mehanizam autentikacije, koji je uključen u EP zasib, okrivljuje se implementacija mehanizama razmjene broja naprednih pokušaja autentifikacije jednog subjekta pristupa, broj nekrivih je veći od 10 pristupu postavljene granične vrijednosti, pristup subjektu sigurnosti SP-a može biti blokiran na zadacima iz TK za razvoj (modernizaciju) sigurnosti EP-a na sat vremena.
29. EP može imati mehanizam (postupak) za praćenje integriteta EP-a i SF-a.
Kontrola nasilja se može primijeniti:
Na klipu rada iz posebnog SP-a prije tranzicije SVT-a, za koji je implementiran zasib SP-a, na radnom kampu (npr. prije zauzimanja operativnog sustava SVT);
- tijekom regulatornih ponovnih provjera dobiti SP u vrijeme rada (regulatorna kontrola);
- u automatskom načinu rada, proces funkcioniranja je zaštićen SP (dinamičko upravljanje).
Kontrola čvrstoće može se provoditi na klipu rada i iz posebnog EP-a.
Mehanizam za rutinsku kontrolu integriteta može ući u skladište EP zaliha.
30. Za primjenu EP klasa KS1 i KS2, iz TK-a se dodjeljuju potreba za njegovim prikazom prije kontrole pristupa i brisanja memorije, kao i njihov sadržaj za distribuciju (modernizaciju) narudžbe EP.
31. U skladište EP klase KS3, KV1, KV2 i KA1 ili SF uključene su komponente koje osiguravaju:
Upravljanje pristupom submaru po komponentama (abolo) tsilovikh hraniteljskim vijcima Ep UV-a na osnovama parametra, zadaci administratora podružnice vijaka binge (vimogi na uređenu komponentu, organizirano tijelo je naseljeno , i cvat cvatu Wimogam);
- čišćenje operativne i stare memorije, pobjednik s posebnim EP-om za pohranu zaštićenih informacija, kada se memorija usput izbriše (zamijeni), maskirajuća informacija se snima
32. U skladište zaliha EP klase KV2 i KA1 ili SF uključene su komponente koje osiguravaju hitno brisanje pristupa koji je zaštićen. Vymogi prije provedbe tog površnog brisanja traže se od TK-a za razvoj (modernizaciju) EP-a.
33. Za prijave EP klasa KS1 i KS2, potreba za predočenjem dokumenata prije registracije i njihove naknade dodjeljuje se TK za distribuciju (modernizaciju) EP.
34. Za pohranu EP-ova klase KSZ, KV1, KV2 i KA1, modul je odgovoran za fiksiranje u elektronički dnevnik registracije podrazreda EP-a i UV-a, vezanih za EP-ove namjenskih funkcija.
Vymogy određenom modulu i prijenos registracije pododjela dodjeljuje i ometa organizacija, kako bi se izvršilo praćenje EP metodom ocjenjivanja valjanosti EP cim Vimogam.
35. Dnevnik registracije podíy može biti dostupan samo osobama koje je imenovao operater informacijskog sustava, a koje su osvojile EP, ili osobama koje je on odobrio. U slučaju pristupa registracijskom dnevniku, podija je kriva za zdiisnyuvatisya samo za pregled zapisa i premještanje umjesto upisnog dnevnika podije u arhiv.
36. Rok trajanja ključa reverifikacije EP-a nije kriv za reviziju trajanja ključa EP-a za više od 15 godina.
37. Osim mehanizma za kontrolu termina korištenja ključa ES-a, koji blokira robota ES-a ES-a u trenutku pokušaja s korištenja ključa do zadanog termina, trgovac će dodijeliti ES organizaciji, kako bi izvršio praćenje registracije ES-a metodom procjene ovisnosti licence.
38. Kriptografski protokoli koji osiguravaju operacije s ključnim informacijama u EP-u, mogu se implementirati bez posrednika u EP-u.
39. Evaluacija EP bodovanja metodom procjene EP spontanosti krivnje EP cim Wimogam provodi se uz opravdanje FSB-a Rusije brojčanih vrijednosti parametara i karakteristika implementacije EP mehanizama za zaštita hardverskih i softverskih komponenti SF 8.
1 Registracija Ministarstva pravosuđa Rusije od 3. veljače 2005., registracijski broj 6382.
3 Implementiran je, između ostalog, s nizom hardverskih i softverskih značajki, osim redovitog funkcioniranja EP-a i kao zgrada, može se integrirati u vikonannya i EP bi u cjelini mogao predstavljati sredinu funkcioniranja EP (dalje - UV).
4 Zahtjevnu klasu raspoređenog (moderniziranog) EP-a određuje zamjenik (trgovac) za EP na način da se osmisli mogućnosti kreiranja metoda napada, pripreme i izvođenja napada na temelju točaka 13. - 18., Wimog i unosa T3 za distribuciju (modernizacija EP.)
5 Prije faza životnog ciklusa, EP treba razviti (modernizirati) oznaku objekata, njihovu proizvodnju, spremanje, transport, puštanje u rad (puštanje u rad), pogon.
6 Kordonom kontrolirana zona može biti: obod zaštićenog područja poduzeća (kompleta), koji će štititi građevine života koji se štiti, dijelove života koji se štiti, viđenog smještaja. .
7 Podstavka 25, stavka 9 Pravilnika o Federalnoj službi sigurnosti Ruske Federacije, odobrene dekretom predsjednika Ruske Federacije od 11. travnja 2003. br. 960 (Zbirka zakonodavstva Ruske Federacije, 2003., br. 33, čl. 3254; 2004. br. 28, čl. 2883; 2005., br. 36, čl. 3665, br. 49, čl. 5200; 200 25, članak 2699, broj 49, članak 6133, broj 53, članak 6554, 2008, broj 36, članak 4087, broj 43, članak 4921, članak 2435, članak 2011, broj 2, članak 267 ; br. 9, članak 1222) o FSB-u Rusije).
8 Podstav 47 stavka 9 Pravilnika o FSB-u Rusije.
Dodatak N 2
Wimogi za pomoć centru za njegu
I. Gale položaji
1. Tsí Vimogi razroblení vídpovídno na savezni zakon od 6. mjeseca 2011. str. N 63-FZ "O elektroničkom potpisu" (u daljnjem tekstu - Savezni zakon).
2. Sljedeći glavni koncepti uključeni su u Wimogah zakone, koji su dodijeljeni članku 2. Saveznog zakona:
1) Elektronički Pidpis (Dali - EP) - Informacije u elektronskom obliku, Yaka Pro, do Inshoi INFORMACIJA u Elektrony Formi (Pidpisuvanoi ínformatics) je isto od jaka vicorista.
3) EP kodovi - kriptografski (kriptografski) kodovi koji se koriste za implementaciju jedne ili više od sljedećih funkcija - EP folding, EP re-verification, EP key folding i EP re-verification key;
4) ključ SP-a - jedinstveni niz simbola, prepoznat za stvaranje SP-a;
5) ključ za provjeru valjanosti EP - jedinstveni slijed simbola, jedinstveno povezan s EP ključem i priznat za produljenje EP (u daljnjem tekstu - EP revalidation);
6) EP verifikacijski ključ certifikat - elektronički dokument ili dokument na papirnatom nosu, koji vidi CA ili povjerljivi poseban CA koji potvrđuje valjanost ES verifikacijskog ključa za nositelja certifikata ES verifikacijskog ključa;
7) kvalifikacijska potvrda ključa za ponovnu provjeru EP (u daljnjem tekstu - kvalifikacijska potvrda) - potvrda o EP ključu za ponovnu provjeru, koji je ili akreditiran od strane CA ili povjerljiv od strane posebnog akreditiranog CA ili saveznog tijela vlade vikonavchoi, odobren od opseg izbora za EP (u daljnjem tekstu - savezno tijelo za odobravanje);
8) nositelj potvrde ključa za reverifikaciju EP - osoba koja je, u skladu s postupkom utvrđenim federalnim zakonom, vidjela potvrdu o ključu za reverifikaciju EP;
9) akreditacija CA - potvrda saveznog tijela o akreditaciji CA prema saveznom zakonu;
10) CA objekti - hardverski i (ili) softverski objekti koji se koriste za provedbu funkcija CA;
11) sudionici elektroničke međuigre - olakšavaju razmjenu informacija u elektroničkom obliku od strane državnih tijela, samoregulacijskih organizacija, organizacija i građana.
3. Qi Vimogi uspostaviti strukturu i zmíst vimog da zasobív CA.
4. Dani Vimogi namijenjeni su za naručitelje i proizvođače sredstava, koji se razvijaju (moderni) UC u njihovoj interakciji između samih sebe, s organizacijama, se ekografiraju kriptografijom, inženjersko-kripti i specijalnim istraživanjima UC, FSB Rusije, što rezultira odgovornošću sredstava UC tim Vimogom .
5. Brojevi se proširuju tako da uključuju CA priznate za odabir na teritoriju Ruske Federacije.
6. Prije šupljine, Dijelovi dijela Rosrobes, Vobronitvva, Realized Towers Provide the Holmogs, laysas o rosobku, Vobritni, realist sekvence (kriptografski) žestoka 2005. r. R. br. 66 1 (s promjenama učinjenim naredbom Federalne službe sigurnosti Rusije od 12. travnja 2010. br. 173 2), za šifriranje (kriptografske) alate za zaštitu informacija (dalje - SKZI) s posredničkim pristupom, tj. da se ne osveti informacija, da se uspostavi suverena država
II. Vymogi zaobiv UTs
7. Troškovi CA-a su krivi za odupiranje prijetnjama koje imaju za cilj uspostavljanje ciljeva za korištenje hardverskih i (ili) softverskih alata metodom uništavanja inženjersko-tehničke sigurnosti i kriptografske sigurnosti objekata CA-a, odnosno s metoda razmišljanja za druge (ili napada).
8. Ugar u obliku zdíbnosti odolijeva napadima Koshti UC se dijeli na klasu 3.
9. Koshti UC klase KS1 odolijeva napadima, kombinacijom metoda, priprema i izvođenja ovakvih pobjeda, sljedeće mogućnosti:
9.1. Priprema i izvođenje napada zahtijeva prostor u čijem se središtu nalazi kontrola transfera i specijalnih snaga i (ili) transportne pogodnosti (dalje - kontrolira se zona).
9.2. Priprema i provođenje napada bez pobjedničkog pristupa funkcionalnim mogućnostima softverskih i hardverskih alata u interakciji s CA.
9.3. Samorazvoj metoda napada, priprema i provođenje napada na takve objekte:
Dokumentacija od strane UT-a;
- elektronički dokumenti koji su zaštićeni;
- informacije o ključu, autentifikaciji i lozinki;
- zadužen za CA, njegove softverske i hardverske komponente;
- podatke koji se prenose kanalima;
- aplikacija u kojoj se nalazi hardver (u daljnjem tekstu AS), u kojoj su implementirani objekti CA, kao i drugi resursi informacijskog sustava koji se štite.
9.4. Uvedeno u fazama razvoja, proizvodnje, spremanja, transporta i puštanja u pogon objekata CA:
Negativna funkcionalna sposobnost CA, uključujući one najtežih programa;
- Neovlaštene promjene prije dokumentacije od strane CA.
9.5. Iz ove informacije:
Opći podaci o informacijskom sustavu, u kojem su objekti CA (naziv, skladište, objekti, u kojima se nalaze resursi informacijskog sustava);
- informacije o informacijskim tehnologijama, bazama podataka, AS-u, softverskoj sigurnosti (u daljnjem tekstu - PZ) koje pobjeđuju u informacijskom sustavu uz pomoć CA;
- informacije o fizičkoj, posjeti zahistu objekata, na kojima su smještene UC mačke;
- podatke o načinu ulaska u sigurnosnu zonu kontrolirane zone objekata informacijskog sustava u kojoj se nalaze objekti UA;
- informacije o tome kako doći do smještaja, na koja mjesta se nalaze UT-ovi;
- Utrimannya tehničku dokumentaciju, koja se ponovno otkupljuje u slobodnom pristupu, o trošku CA;
- informacije o informacijama, koje se čuvaju, koje se koriste u procesima korištenja sredstava UC (vidi informacije, koje se čuvaju: službeni podaci, lozinka i autentifikacijski podaci, konfiguracijski podaci, podaci o keručiću, u elektroničkim časopisima registracije; opće informacije o sadržaju svih informacija, što je zaštićeno, karakteristike sigurnosti informacija o izgledu kože, što je zaštićeno);
- sve moguće podatke, koji se slobodoumnoj osobi prenose komunikacijskim kanalima koji nisu zaštićeni od neovlaštenog pristupa (dalje - NSD) informacijama organizacijskim i tehničkim pozivima;
- informacije o komunikacijskim linijama kojima se informacije prenose, a koje su zaštićene od pobjeda CA;
- informacije o svim komunikacijama na komunikacijskim kanalima, koji nisu zaštićeni od neovlaštenog pristupa informacijama organizacijskim i tehničkim pozivima, kršenje pravila upravljanja kabelima CA;
- informacije o svim pozivima na komunikacijskim kanalima, koji nisu zaštićeni od neovlaštenog pristupa informacijama organizacijskim i tehničkim pozivima, kvarovima i kvarovima UT-a;
- informacije, preuzete iz rezultata analize, jesu li signali hardverskih komponenti UT-ova dostupni za pretvorbu.
9.6. Pobjeda:
scho biti u slobodnom pristupu ili izvan granica kontrolirane zone AU i PZ, uključujući softverske i hardverske komponente CA;
- posebno rozroblenih AS i PZ.
9.7. Vykoristannya kao kanal napada koji nije zaštićen od NSD-a na informacije organizacijskim i tehničkim kanalima kanala u vezu (poput položaja u kontroliranoj zoni, dakle u granicama), kojim se prenose informacije, koje obrađuju UT-ovi.
10. Koshti UC klase KS2 da izdrži napade, kada se kombiniraju metode, pripreme i vođenje takvih pobjeda, moguće su sljedeće mogućnosti:
10.1. Mogućnost, navedena u podstavcima 9.3 - 9.7 cich Vimog.
10.2. Priprema i izvođenje napada iz kontrolirane zone.
10.3. Priprema i provođenje napada bez pristupa vikoristannya AU, na bilo koju provedbu CA.
10.4. Vykoristannya osoblje zasobív ínformatsíynoí̈ í̈, de vikoristany uts zaposlenika.
11. Koshti UC klase KSZ za odupiranje napadima, kada se kombiniraju metode, pripreme i vođenje ovakvih pobjeda, moguće su sljedeće mogućnosti:
11.1. Mogućnost, navedena u podstavcima 10.1, 10.4 cich Vimog.
11.2. Priprema i izvođenje napada zbog međunadzirane zone s različitim pristupom funkcionalnim mogućnostima softverskih i hardverskih uređaja u suradnji s CA na temelju zakonske autorizacije autentifikacijskih informacija, odnosno priprema i provođenje napada iz kontrolirane zone s pristupom na pristupne stanice su prava, koja nije član grupe osoba fizičkih osoba, usklađenih provođenja instalacija, konfiguracija i izvođenje sredstava UC, konfiguracija profila i parametara časopisa za audiciju (funkcije sistemskog administratora), arhiviranje, rezervno kopiranje i obnavljanje informacija nakon izbora (funkcije operatora) , stvaranje i anuliranje certificiranje ključeva ponovne provjere EP (funkcije administratora certifikata), revizija i dostavljanje u dnevnik revizije (funkcije administratora revizije) (u daljnjem tekstu - grupa administratora troškovi CA) iste komponente CA.
11.3. Volodinnya AS UC u obsyazí, scho za depozit u obliku realiziranih zakhodív, spramovavanih na pobobígannya pripinennya nedozvoljene aktivnosti.
12. Koshti UC klase KV1 da izdrži napade, kada se kombiniraju metode, pripreme i vođenje takvih pobjeda, moguće su sljedeće mogućnosti:
12.1. Mogućnost, navedena u podstavcima 11.1 - 11.3 cich Vimog.
12.2. Izrada metoda i priprema napada od zračenja faksimila, koji mogu omogućiti razvoj i analizu kriptografskih informacija CA (uključujući faksimile u hodniku, analizu signala u linijskom prijenosu i signale CA). bočne elektromagnetske smetnje i vođenje).
12.3. Provođenje laboratorijskih istraživanja rezultata UC-a koji pobjeđuju u kontroliranom području u izvidu, koji se deponiraju u obliku realiziranih ulaza, usmjeravajući na zarazu neovlaštenih aktivnosti.
13. Koshti UC klase KV2 da izdrži napade, kada se kombiniraju metode, pripreme i vođenje takvih pobjeda, moguće su sljedeće mogućnosti:
13.1. Mogućnost, navedena u podstavcima 12.1 - 12.3 cich Vimog.
13.2. Dizajnirano stvaranje metoda i priprema napada iz ozračenih faksimila na galeriji vikoristannya za provedbu napada nedeklariranih sposobnosti primijenjenog i sistemskog softvera.
13.3. Izjava o robotima za izradu metoda i metoda napada u znanstvenim i naprednim centrima specijaliziranim za područje istraživanja i analize metoda CA.
13.4. Volodinnya je koristio tekstove primijenjenog softvera koji su pohranjeni u informacijskom sustavu, u kojem su upisani vlastiti dokumenti CA, tu dokumentaciju koja je dostupna za slobodan pristup.
14. Koshti UC klase KA1 za odupiranje napadima, kada se kombiniraju metode, pripreme i vođenje takvih pobjeda, moguće su sljedeće mogućnosti:
14.1. Mogućnost, navedena u podstavcima 13.1 - 13.4 cich Vimog.
14.2. Razvoj metoda i priprema napada iz centara za istraživanje i razvoj koji su specijalizirani za razvoj i analizu SKZI-a iu galeriji vikoristannya za provedbu napada nedeklariranih sposobnosti primijenjenog i sistemskog softvera.
14.3. Volodynnya svu dokumentaciju o hardverskim i softverskim komponentama CA.
14.4. Svi hardverski dijelovi CA-ovih objekata.
15. Troškovi CA moraju se obavljati u skladu s operativnom dokumentacijom za naknade CA. Kompleks organizacijskih i tehničkih pristupa za osiguranje sigurnog funkcioniranja objekata CA može se odrediti u operativnoj dokumentaciji za troškove CA.
16. Klasa EP akreditacija, koja se dodjeljuje CA akreditaciji, nije kriva za superiornu CA akreditacijsku klasu. Razred EP zadataka, koji se dodjeljuje osoblju CA, može se dodijeliti u operativnoj dokumentaciji za kosti CA.
Klasa SKZI, koja pobjeđuje u objektima CA, nije kriva za nižu klasu objekata CA. Klasa SKZI, koji se koriste u objektima CA, može se dodijeliti u operativnoj dokumentaciji za kosti CA.
17. Koža je moćna, koja se prikazuje prije prednosti UC-a, bilo da se radi o klasi zločina KA1, ili je prikazana prije prednosti UC-a uvredljive klase bez promjene (u tom slučaju ne može biti prikazano na prednosti UC ofenzivne klase), inače će biti moguće (u ovom trenutku tranzicije bilo je moguće da UT-ovi napadačke klase induciraju zhorstke formulu). Vymogi do prednosti UC ofenzivne klase može se osvetiti dopunskom vimogiju, koji se ne preklapa s prednostima UC-a napadačke klase.
18. Wimogi za PZ Koshtiv UTs:
18.1. Wimogi do Koshtiv UC klasa KS1:
Softver zaposlenika CA nije kriv za odgovornost zaposlenika CA, koji dopuštaju modificiranje ili podršku algoritma robotskog softvera i AS-a CA.
18.2. Wimogi do Koshtiv UC klasa KS2:
Razvoj primijenjenog softvera CA i SKZI, koji su napisani u CA, može biti više od dokumentiranja funkcija softvera sustava.
18.3. Wimogi do Koshtiv UTs klase KS3:
Sustavne i prikladne PZ sredstva UC moraju osigurati razmjenjivanje pristupa sustavu administratorskih sredstava UC, administratora sertifikacijskih sredstava UC i osoba, koji osiguravaju sustav administratorskih sredstava UC identificiraju i autentifikuju podatke i ne predstavljaju sredstva za sertifikaciju administratora UC (dodatno - sredstva korisnika UC) koriste UC, prijenos iz pravila odvajanja pristupa, koja postavlja administrator sustava CA;
- sustav i primjena PZ zasobív UTs može biti valjana 4 jednaka kontroli prisutnosti nedeklariranih sposobnosti;
- sustavna primjena PZ zasobiv UC-a nije kriv za osvetu nad sukobima objavljenim u nepristupačnom džerelahu;
- u skladište sustava i (ili) primijenjenog softvera zasobív CA je odgovoran za ulazak u mehanizam koji osigurava čišćenje operativne i vanjske memorije, koji je pobjednički za prikupljanje informacija iz pristupa.
18.4. Vymogi to zabív UT klase KV1 zbígayutsya z vímogi koshtív UC klase KS3.
18.5. Wimogi do Koshtiv UC klasa KV2:
Vihídní tekstovi sustava i primijenjeni PZ zasobív UT dužni su proći kroz ponovnu provjeru implementacije u njima metoda i metoda obrane informacija kako bi se oduprli napadima, za pripremu i provođenje takvih testova, mogućnosti su navedene u stavcima 9 - 13. Vymog;
- provjera tekstova sustava i primijenjenog softvera ponovno se provjerava radi ispravnosti nedeklariranih sposobnosti;
- Sustavni i primijenjeni softver može biti otporan na računalne napade iz stranih zemalja.
18.6. Vymogi do zasobiv UC klase KA1:
Odgovornost CA je da prođe formalnu provjeru implementacije metoda i metoda obrane informacija u njima kako bi se oduprla napadima, da pripremi i provede takve zamjenske mogućnosti, navedene u stavcima 9. - 14. ovih
19. Vimogi u AS UC:
19.1. U vrijeme planiranja postavljanja AS UT-a u prostore, u kojima se nalaze akustične i vizualne informacije, kojima se kuća osveti, utvrđuje državna tajna, da (ili) tehnička podrška sustava za prijem, prijenos, preradu, uštedu i generiranje energije, koja postaje državna jedinica, tehnička sredstva stranog proizvodnje, koja ulazi u skladu s UC, moraju biti poddani provjerama u vezi s otkrivanjem uređaja, namijenjenih za nenaglašeno dobivanje informacija, a također i istraživanjem sukladnosti zahtjeva za zaštitu od informacija po kanalima pobočnih elektromagnitnih vipromínûvanʹ i navedenʹ eligable to the category of sighted destination.
19.2. Wimogi do Koshtiv UC klasa KS1:
Provodi se ponovna provjera izvedbe implementacije ključnih funkcija CA uz poboljšanje AS test sustava CA.
19.3. Vymogi to koshtív UC klase KS2, KS3, KV1, KV2 zbígayutsya z vimogi koshtív UC klase KS1.
19.4. Vymogi do zasobiv UC klase KA1:
provođenje posebne ponovne provjere tehničke opreme strane proizvodnje koja ulazi u skladište AS UC, metodom otkrivanja gospodarskih zgrada, znakova za tajno uklanjanje podataka;
- Provođenje nove verifikacije AS-a (uz analizu programskog koda BIOS-a), na kojem su implementirane CA značajke, uz metodu isključenja negativnih funkcionalnih sposobnosti.
20. Wimogi prije razdvajanja uloga:
20.1. Kako bi se osiguralo funkcioniranje funkcija CA, CA može zadržati uloge razdvajanja članova grupe administratora CA.
20.2. Wimogi do Koshtiv UC klasa KS1:
Kriv buti dodijeljena promjena uloga i rozpodíl obov'yazkív mizh uloge;
- popis uloga i rozpodíl obov'yazkív mizh uloga može se dodijeliti u operativnoj dokumentaciji za trošak CA.
20.3. Vymogami za zaobív UT klase KS2 zbígayutsya z vimogami za zaobív UT klase KS1.
20.4. Wimogi do Koshtiv UTs klase KS3:
Troškovi UC-a odgovorni su za održavanje istih jezičnih uloga:
1) administrator sustava s glavnim instalacijskim jezikom, konfiguracijom i prilagodbom funkcija CA, izradom i prilagodbom profila članova administratorske grupe CA administracije, konfiguracijom profila i parametrima u dnevniku revizije;
2) administrator certifikata s glavnim vezama: odobrenje i poništenje potvrda ključeva ovjere EP-a;
Osoblje CA može implementirati mehanizam koji onemogućuje ovlastiti jednog člana iz grupe CA administratora da igra različite uloge.
20.5. Vymogy do zabiv UTs klase KB1:
Koshti CA je odgovoran za osiguravanje prisutnosti jezične uloge operatera s glavnim obvezama za sigurnosno kopiranje i obnavljanje.
20.6. Vymogi to zabív UT klase KV2 zbígayutsya z vímogi koshtív UT klase KB1.
20.7. Vymogi do zasobiv UC klase KA1:
Koshti UTs odgovorni su za osiguravanje vidljivosti uloge obov'yazkovoí̈ administratora revizije s glavnim ob'ov'yazkami: revizija i podrška časopisu revizije;
- administrator sustava nije odgovoran za mogućnost izmjene dnevnika revizije.
21. Vymogi na cjelovitost troškova UC-a:
21.1. Koshti UC odgovoran je za mehanizam kontrole nedopuštene depresije i (ili) nesvjesnosti (promjene, modifikacije) i (ili) uništavanja informacija, softverskih alata i AS CA (u daljnjem tekstu - mehanizam za praćenje integriteta).
21.2. Wimogi do Koshtiv UC klasa KS1:
Vymogi mehanizmu kontrole snage može se dodijeliti TK za distribuciju (modernizaciju) kutija CA;
- Može se dodijeliti razdoblje kontrole nad integritetom softvera i AS-a CA i oznake u operativnoj dokumentaciji za trošak CA;
- kontrola integriteta softvera i AS-a UC-a odgovorna je za preopterećenje operativnog sustava (u daljnjem tekstu OS);
- dugujemo buti za obnovu integriteta UC-ovih mačaka.
21.3. Vymogami za zaobív UT klase KS2 zbígayutsya z vimogami za zaobív UT klase KS1.
21.4. Wimogi do Koshtiv UTs klase KS3:
- Kontrola integriteta je odgovoran za vikonuvatisya ne manje od 1 puta po žetvi.
21.5. Vymogy do zabiv UTs klase KB1:
- Kontrola integriteta je odgovornost vikonuvatisya dok OS ne preuzme CA.
21.6. Vymogi to zabív UT klase KV2 zbígayutsya z vímogi koshtív UT klase KB1.
21.7. Vymogi do zasobiv UC klase KA1:
- Kontrola integriteta odgovorna je za dinamičko funkcioniranje tijekom rada objekata CA.
22. Wimogi za kontrolu pristupa:
22.1. Koshti UT-ovi mogu osigurati pristup.
22.2. Wimogi do Koshtiv UC klasa KS1:
- može biti imenovan u kontrolu pristupa i dodijeljen TK-u za distribuciju (modernizaciju) CA.
22.3. Vymogami za zaobív UT klase KS2 zbígayutsya z vimogami za zaobív UT klase KS1.
22.4. Wimogi do Koshtiv UTs klase KS3:
- CA je odgovoran za diskrecijsko načelo kontrole pristupa.
22.5. Vymogi to zabív UT klase KV1 zbígayutsya z vímogi koshtív UC klase KS3.
22.6. Wimogi do Koshtiv UC klasa KV2:
- može buti osigurati stvaranje zatvorenog radnog okruženja 4 sobív UTs.
22.7. Vymogi do zasobiv UC klase KA1:
- u CA je moguće osigurati obvezno načelo kontrole pristupa; za uvođenje ES ključa administratora certifikata potrebne su najmanje dvije osobe od povjerenja 5 .
23. Wimogi prije identifikacije i provjere autentičnosti:
23.1. Identifikacija i provjera autentičnosti uključuju prepoznavanje člana osoblja CA, člana grupe administratora CA ili postupak provjere njihove autentičnosti. Mehanizam provjere autentičnosti je kriv za blokiranje pristupa ovih subjekata funkcijama CA zbog negativnog rezultata provjere autentičnosti.
23.2. U mogućnostima CA-a o tome hoće li se postupak provjere autentičnosti provoditi ili ne, mogu postojati mehanizmi blokiranja za razmjenu velikog broja naprednih pokušaja provjere autentičnosti jednog subjekta za pristup, čiji broj nije kriv za više od tri. Ako se prekorači broj nadolazećih pokušaja autentifikacije jednog subjekta za pristup instaliranoj graničnoj vrijednosti, pristup tom subjektu pristupu CA objektima može biti blokiran na sat vremena, što je naznačeno TK za proširenje (modernizacija ) troška CA.
23.3. Wimogi do Koshtiv UC klasa KS1:
Opis postupka registracije računa CA (unošenje podataka u registar računa CA) može biti u operativnoj dokumentaciji za račune CA;
- za sve sustave koji dopuštaju pristup objektima CA, može se provesti autentifikacija. Ako je tako, dopušteno je koristiti samo simboličku lozinku za provjeru autentičnosti, koja se povremeno mijenja, s najmanje 8 znakova, s abecednim naponom od najmanje 36 znakova. Razdoblje promjene lozinke nije odgovorno za promjenu 6 mjeseci.
23.4. Wimogi do Koshtiv UC klasa KS2:
Potreba za predstavljanjem corystuvannye trošak CA pod satom prve registracije dokumenata koji potvrđuju osobu, može biti uključena u operativnu dokumentaciju za trošak CA;
- svim CA-ovima je dopušteno mijenjati mehanizme za daljinsku provjeru autentičnosti. Posebna obilježja mehanizama za autentifikaciju na daljinu zbog potvrde akreditacije u okviru ponovne provjere valjanosti imovine CA i objekata informatizacije, kao što su posredništvo popisa, cim Wimogam;
- u slučaju lokalnog pristupa CA uslugama, provjera autentičnosti članova grupe administratora CA treba biti prekinuta prije prijelaza na radnu stanicu CA usluga (npr. do preuzimanja osnovnog OS-a).
23.5. Wimogi do Koshtiv UTs klase KS3:
Osoblje CA može imati implementaciju mehanizma provjere autentičnosti lokalnih dopuna, koji može omogućiti pristup osoblju CA, ali ne može ući u skladište administratorske grupe CA.
23.6. Vymogy do zabiv UTs klase KB1:
S udaljenim pristupom CA objektima može se mijenjati samo simbolička lozinka, za to su krivi mehanizmi provjere autentičnosti temeljeni na kriptografskim protokolima.
23.7. Vymogi to zabív UT klase KV2 zbígayutsya z vímogi koshtív UT klase KB1.
23.8. Vymogi do zasobiv UC klase KA1:
U CA objektima, za bilo koji implementirani mehanizam provjere autentičnosti, moguće je implementirati mogućnost postavljanja maksimalnog dopuštenog broja naprednih pokušaja autentifikacije jednog subjekta za pristup u to vrijeme blokirajući pristup CA uslugama u području rada.
24. Wimogi to zahistu danikh, scho to come (izvoz) u (h) UC:
24.1. CA je odgovoran za unošenje samopotpisanog certifikata EP ključa za provjeru.
24.2. Wimogi do Koshtiv UC klasa KS1:
Troškovi CA odgovorni su za osiguranje prijenosa podataka radi zaštite informacija razmijenjenih za pristup, koji mogu doći do CA i izvoze se iz CA, korištenjem metoda krađe iz NRS-a;
- u uredima UA može se provesti postupak obrane deklaracije o priznanjima hibrida 6;
- prije postupka zahistu víd nav'yazuvannya khibnykh podomlen su dodijeljeni TK-u za distribuciju (modernizaciju) kompleta CA.
24.3. Wimogi do Koshtiv UC klasa KS2:
Troškovi CA odgovorni su za osiguranje primarne naknade za potvrdu EP ključa za ponovnu provjeru;
- ako je CA odgovoran za prihvaćanje informacija koje su kritične za funkcioniranje CA, to ne potpisuje EP.
24.4. Wimogi do Koshtiv UTs klase KS3:
Osoblje CA može imati implementaciju mehanizma zaštite poreznih obveznika na temelju pobjede EP-a, pa su oduzeli potvrdu o sposobnosti EP-a za dodjelu EP-a.
24.5. Vymogy do zabiv UTs klase KB1:
Sredstva CA mogu implementirati mehanizam za zaštitu podataka za prijenos podataka između fizički odvojenih komponenti uz poboljšanje kriptografskog sustava zaštite informacija.
24.6. Vymogi to zabív UT klase KV2 i KA1 zbígayutsya z vimogi koshtív UT klase KB1.
25. Wimogi prije registracije:
25.1. Osnovni OS zasobív UTs može pídtrimuvati vednya sustav revizije časopisa podíy.
25.2. Wimogi do Koshtiv UC klasa KS1:
Osoblje CA može imati mehanizam za provedbu vibracijske registracije revizorskih izvješća časopisa koja se odnose na obavljanje njegovih funkcija CA;
- popis pododsjeka koji su registrirani je odgovoran za operativnu dokumentaciju CA.
25.3. Vymogami za zaobív UT klase KS2 zbígayutsya z vimogami za zaobív UT klase KS1.
25.4. Wimogi do Koshtiv UTs klase KS3:
Molimo dođite u revizorski dnevnik kako biste otkrili neovlaštene promjene u dnevniku revizije od strane članova osoblja CA, ako nisu članovi grupe administratora CA.
25.5. Vymogi to zabív UT klase KV1 zbígayutsya z vímogi koshtív UC klase KS3.
25.6. Wimogi do Koshtiv UC klasa KV2:
Vratite se da vidite neovlaštene promjene u zapisu kože u zapisniku revizije.
25.7. Vymogi do zasobiv UC klase KA1:
Zapisnik revizije može biti dostupan samo administratoru revizije, koji se može samo pregledavati, kopirati i brisati. Nakon brisanja prvog unosa u dnevnik, revizija je automatski odgovorna za činjenicu brisanja od zadanog datuma, sata i podatke o osobi, kako je operacija obavljena.
26. Vymogi schodo pouzdanost i stabilnost funkcioniranja CA značajke:
26.1. Imenovani su krivci za pouzdanost i stabilnost funkcioniranja osoblja UA i imenovanje TK za razvoj (modernizaciju) osoblja CA.
26.2. Wimogi do Koshtiv UC klasa KS1:
Provedena istraga otklanjanja kvarova i kvarova AS CA, kako bi CA prouzročio otkaz njegovih funkcija.
26.3. Wimogi do Koshtiv UC klasa KS2:
Potrebno je ispitati stabilnost funkcioniranja UC.
26.4. Wimogi do Koshtiv UTs klase KS3:
Krivi buti imenovani u najranije moguće vrijeme za ažuriranje troškova UC-a nakon kvara i dodijeljeni TK-u za raspodjelu (modernizaciju) troškova UT-a;
Dođite i pomozite povećati pouzdanost i stabilnost funkcioniranja resursa UC-a zbog mehanizma citiranja resursa troškova UC-a.
26.5. Vymogy do zabiv UTs klase KB1:
Imovirníst izboí̈v i kvarovi AS UT-a, koji dovode do nevikonnannya UT-ova njegovih funkcija, nije kriv za ponovno razmatranje analogne varijabilnosti za pobjede SKZÍ.
26.6. Vymogi to zabív UT klase KV2 i KA1 zbígayutsya z vimogi koshtív UT klase KB1.
27. Omogućuje do ključnih informacija:
27.1. Redoslijed izrade, odabira, prikupljanja i skraćenja ključnih informacija utvrđuje se ovisno o operativnoj dokumentaciji za EP i druge SKZI, koje dodjeljuje CA.
27.2. Izraz díí̈ ključ EP-a je zbog EP-a, koji osvaja CA, može biti potvrđen od strane nadležnih tijela, mi ćemo ga instalirati prije EP-a.
27.3. Wimogi do Koshtiv UC klasa KS1:
Nije dopušteno kopirati informacije ključnih dokumenata (kriptografskih ključeva, uključujući EP ključeve) na nos (na primjer, tvrdi disk), ako ne na ključeve, bez naprijed enkripcije (jer je možda moguće koristiti SKZI funkcija). Preslike ključnih dokumenata mogu se uredno dostavljati samo operativnoj dokumentaciji na pobjedničkom rekordu SKZI;
Ključ, Vikoristovoye Vikoristovoy za Pidpis CertifiTív Klovyv Perekhvyv Tu Slušaj Noníkaliv Numifítív Klovyv Perekhvyv, Diyki, u trenutku pjevanja bule, ukraden je iz Termini DII (Dali - popis Anulovye certifikata), a ne gu
Pojmovi za sve ključeve mogu biti označeni u operativnoj dokumentaciji CA kodom.
27.4. Ovlasti za stjecanje UC klasa KS2 i CC3 kombinirane su s dovoljnošću za stjecanje CA klase KS1.
27.5. Vymogy do zabiv UTs klase KB1:
Na vama je da stupite u kontakt s organizacijskim i tehničkim kako biste spriječili kompromitaciju EP ključa, osvojili potpisivanje certifikata u ključevima EP verifikacije i listama poništenih certifikata, u slučaju kompromitacije ključa informacija, dostupna jedna.
27.6. Wimogi do Koshtiv UC klasa KV2:
EP ključ, koji je pobjednički za potpisivanje certifikata za EP verifikacijske ključeve i popise poništenih potvrda, odgovoran je za generiranje, spremanje, pobjedu i potpisivanje EP-a. Dopušteno je osvojiti samo odgovornosti EP-a, ako su oduzeli potvrdu statutarnih ovlasti, koje su prezentirane prije nego što su odgovornosti EP-a u skladu sa saveznim zakonom;
- dužni su organizacijske i tehničke posjete spriječiti kompromitaciju ES ključa, osvojiti za potpisivanje certifikata u ključevima provjere ES-a i popisima otkazanih certifikata, kada su ključne informacije ugrožene, dostupne na dvije osobe.
27.7. Vymogi do zasobiv UC klase KA1:
Potrebno je stupiti u kontakt s organizacijskim i tehničkim kako bi se spriječilo kompromitiranje EP ključa, osvojiti za potpisivanje certifikata u ključevima EP verifikacije i listama poništenih certifikata, u slučaju kompromitacije ključnih informacija, dostupan za tri osobe.
28. Kako biste napravili sigurnosnu kopiju i ažurirali troškove CA:
28.1. Koshti CA odgovoran je za implementaciju funkcija sigurnosnog kopiranja i ažuriranja u različito vrijeme AS-a i (ili) informacija koje obrađuje CA. Tijekom postupka sigurnosnog kopiranja, mogućnost kopiranja kriptografskih ključeva može se onemogućiti.
28.2. Wimogi do Koshtiv UC klasa KS1:
Podaci, uštede u slučaju sigurnosnog kopiranja, duge ali dovoljne za obnovu rada kartoteka UC kampa, popravka u trenutku kopiranja.
28.3. Ovlasti za stjecanje UC klasa KS2 i CC3 kombinirane su s dovoljnošću za stjecanje CA klase KS1.
28.4. Vymogy do zabiv UTs klase KB1:
Kriv, ali živ, javite se zbog otkrivanja neovlaštenih promjena u spremanju podataka;
- zahvaljujući buti imenovanim u najkraćem mogućem roku imenovani su u TK za distribuciju (modernizaciju) kutija CA i u operativnoj dokumentaciji za kutije TC-a.
28.5. Wimogi do Koshtiv UC klasa KV2:
Informacije koje se spremaju prilikom izrade sigurnosne kopije samo se spremaju u šifriranom obliku.
28.6. Vymogi do zasobív UT klase KA1 zbígayutsya z vimogi koshtív UT klase KV2.
29. Vymogi prije stvaranja i poništenja certifikata ključeva provjere EP-a:
29.1. Protokoli za izradu i poništenje potvrda EP verifikacijskih ključeva mogu se opisati u operativnoj dokumentaciji za CA.
29.2. Izrada CA potvrda EP reverifikacijskih ključeva i popisa poništenih potvrda o krivnji u skladu s međunarodnim preporukama ITU-T X.509 7 (u daljnjem tekstu preporuke X.509). Sva polja i dodaci koji se moraju uključiti prije EP certifikata ključa za provjeru valjanosti i popisa opozvanih certifikata koji se moraju ponovno potvrditi prije preporuke X.509. U slučaju odabira alternativnih formata certifikata u ključevima ponovne provjere EP-a, moguće ih je odrediti do protokola za izradu i poništenje certifikata u ključevima reverifikacije EP-a i dodijeljenim TK-u za distribucija (modernizacija) CA.
29.3. Ako CA može implementirati protokol za poništenje certifikata ključa EP reverifikacije s različitih popisa poništenih certifikata.
29.4. Dopušteno je implementirati protokole otkazivanja bez potrebe mijenjanja popisa otkazanih certifikata, iako se oni mogu dodijeliti TK-u za raspodjelu (modernizaciju) troškova CA.
29.5. Wimogi do Koshtiv UC klasa KS1:
U objektima CA-a može se implementirati funkcija pripreme potvrde ključa za provjeru SP-a na papirnatom nosu. Postupak izdavanja potvrde ES ključa za usklađivanje na papirnatom nosu, kao i postupak praćenja valjanosti potvrde ES ključa za usklađivanje u elektroničkom obliku na papirnatom nosu, treba naznačiti u operativnoj dokumentaciji. po trošku CA;
U objektima CA moguće je implementirati mehanizam za ponovnu provjeru jedinstvenosti EP reverifikacijskog ključa i provjeru EP reverifikacijskog ključa.
29.6. Vymogami za zaobív UT klase KS2 zbígayutsya z vimogami za zaobív UT klase KS1.
29.7. Wimogi do Koshtiv UTs klase KS3:
Promjena vrijednosti sata u potvrdama ponovne provjere ključa EP-a i listama poništenih potvrda ne odgovara za ponovno pregledavanje 10 minuta.
29.8. Vymogy do zabiv UTs klase KB1:
Promjena vrijednosti sata u potvrdama ponovne provjere ključa EP-a i listama poništenih potvrda ne odgovara za ponovno pregledavanje 5 minuta.
29.9. Vymogi to zabív UT klase KV2 i KA1 zbígayutsya z vimogi koshtív UT klase KB 1.
30. Pomoć za strukturu certifikata EP ključa za ponovnu provjeru i popis nevažećih certifikata:
30.1. Wimogi do Koshtiv UC klasa KS1:
Dopuštena struktura potvrde EP reverifikacijskog ključa i popisa poništenih potvrda mogu se otplatiti u operativnoj dokumentaciji za troškove CA;
- CA je odgovoran za implementaciju mehanizma praćenja valjanosti izrade certifikata u ključevima ponovne provjere EP-a i listama poništenja certifikata u strukturi zadataka;
- u strukturi potvrde EP reverifikacijskog ključa preneseno je polje kojim se provjeravaju podaci o klasi usluga CA iz koje je kreiran ispravan certifikat ključa EP reverifikacije, polje koje treba brisanje informacija o klasi ES certifikata ključa ES reverifikacije.
30.2. Ovlasti za stjecanje UC klasa KS2 i CC3 kombinirane su s dovoljnošću za stjecanje CA klase KS1.
30.3. Vymogy do zasobiv UTs klase KV1:
CA-ovi mogu implementirati mehanizam da administrator sustava postavi skup valjanih dodataka certifikatu EP ključa za ponovnu provjeru i popisu otkazanih certifikata.
30.4. Vymogi to zabív UT klase KV2 i KA1 zbígayutsya z vimogi koshtív UT klase KB1.
31. Pomoć registru potvrda ključeva ovjere EP-a i sigurnost pristupa novom:
31.1. Wimogi do Koshtiv UC klasa KS1:
U pogonima CA moguće je implementirati mehanizam za zaštitu i ispitivanje svih kreiranih potvrda ključeva za provjeru valjanosti EP-a i popisa poništenih certifikata u registru, kao i pristup registru.
31.2. Vymogami za zaobív UT klase KS2 zbígayutsya z vimogami za zaobív UT klase KS1.
31.3. Wimogi do Koshtiv UTs klase KS3:
CA je odgovoran za implementaciju mehanizma za traženje potvrda EP ključeva za provjeru valjanosti i popisa poništenih certifikata iz registra potvrda EP ključeva za provjeru valjanosti za različite atribute;
- sve promjene u registru potvrda ključeva reverifikacije EP-a upisuju se u revizijski dnevnik.
31.4. Vymogi do zabív UT klase KB1, KV2 i KA1 zbígayutsya z vimogi koshtív UC klase KS3.
32. Prije ponovne provjere EP-a, potvrda ključa ponovne provjere EP-a:
32.1. Kriv je mehanizam ponovne provjere potpisa potvrde ključa ponovne provjere EP-a na zahtjev sudionika elektroničke razmjene oznaka u operativnoj dokumentaciji za CA kod.
32.2. CA je odgovoran za implementaciju mehanizma ponovne provjere UR SP-a u certifikatima ključeva ponovne provjere ER-a, koje on vidi.
32.3. Ponovna provjera valjanosti ES-a na certifikatu ES ključa za provjeru valjanosti podliježe preporukama X.509, uključujući obvezujuću ponovnu provjeru svih kritičnih dodataka.
32.4. Međutim, ovisno o specifičnostima rada CA objekata, dopušteno je odabrati alternativne formate u certifikatu EP ključa za usklađivanje, zatim mehanizam za ponovnu provjeru potpisivanja certifikata EP ključa za usklađivanje i oznake TK-a za kriva je distribucija (modernizacija) objekata CA.
33. Kako bi se razmijenile mogućnosti za poticanje kanala napada na sigurnost CA-a, odgovornost je kanala da pozovu posredničku zaštitu.
34. Krivci su dodijeljeni da pomognu u zaštiti CA od računalnih virusa i računalnih napada i dodijeljeni su TK-u za distribuciju (modernizaciju) kompleta CA.
35. Ako je CA spojen na informacijske i telekomunikacijske objekte, pristup mreži nije ograničen glavnim brojem osib-a, oznaka CA može biti potrebna za podršku CA klase KV2 chi KA1.
36. Procjena rezultata UC-a radi potvrđivanja valjanosti gubitaka UC-a provodi se uz pomoć Federalne službe sigurnosti Rusije, koja se razvija, numeričke vrijednosti parametara i karakteristika obrane. mehanizmi koji se implementiraju u procedure UC 8 .
1
Registracija Ministarstva pravosuđa Rusije 3. veljače 2005., registracijski broj 6382.
2 Registracija Ministarstva pravosuđa Rusije 25. svibnja 2010., registracijski broj 17350.
3 Neglavnu klasu izbijanja (modernizacije) čini na vanni okosnica (vanjska šipka) uklanjanja native konjugacije zdravlja dubine hvatanja napada, pričvršćivanja podrum od 9-14 cinova u projektantskom taktičko-tehničkom grijaču ili skladišnom dijelu predgrađevinskih radova od distribucije (modernizacije) UT kutija (dalje - T3 za distribuciju (modernizaciju) UT kutija).
4 Softverski medij, kao da dopušta manji fiksni skup predmeta (programi, procesi).
5 Pojedinci koji su članovi UC administratorske grupe i nisu prekršitelji.
6 Nav'yazuvannya hibnogo podomlennya ê díêyu, prihvaćen od strane sudionika elektroničke interakcije ili putem CA, kao prijenos prave obavijesti na neki način, zaštitit ćemo vrstu NSD-a.
7 ITU-T preporuka X.509. Tehnološke informacije - Međusobno povezivanje otvorenih sustava - Imenik: okviri certifikata javnog ključa i atributa. 2008. http://www.itu.int/rec/T-REC-X.509-200811-i.
8 Podstav 47. stavka 9. Pravilnika o Federalnoj službi sigurnosti Ruske Federacije, odobrenog dekretom predsjednika Ruske Federacije od 11. travnja 2003. br. 960 (Zbirka zakonodavstva Ukrajine, 2003., br. 33, čl. 3254; 2004., br. 28, čl. 2883; 2005., br. 36, čl. 3665, br. 49, čl. 5200; 2006. 25, članak 2699; br. 49, članak 6133; br. 53, članak 6554; 2008, broj 36, članak 4087; br. 43, članak 4921; br. 47, članak 2435; 2011, broj 2 , članak 267; br. 9, članak 1222).
