İletişim hatları tarafından iletilen verilerin evrensel korumasını güvence altına almak için bilgilerin veya kısaltılmış SKZI'nin güvenli kriptografik koruması. Bunun için elektronik imzanın yetkilendirilmesi ve korunması, alınan tarafların seçilen TLS ve IPSec protokolleri ile doğrulanması ve gerekirse kanalın kendisinin korunmasının yapılması gerekmektedir.

Rusya'da, dünyanın korunması için kriptografik güvenliğin sırları sınıflandırılmıştır, bu nedenle onlar için çok az bilgi vardır.

SKZI'de takılıp kalma yöntemleri

• Verilerin yetkilendirilmesi ve yasal önemi olan güvenlik güvenliği, iletim ve kaydetme saatinde. Elektronik imza oluşturmaya yönelik zastosovuyut algoritmaları ve yogo yeniden doğrulaması, yerleşik RFC 4357 düzenlemelerine bağlıdır ve X.509 standardı için bir sertifika onaylar.
• Verilerin gizliliğinin korunması ve bütünlüklerinin kontrolü. Vikoristovuetsya asimetrik şifreleme, bu imitozakhist, tobto protidiya pіdminі danih. Dorimuetsya GOST R 34.12-2015.
• Sistemik ve uygulamalı yazılımların Zahisti. Yetkisiz değişikliklere yanıt verme ve hatalı çalışma.
• Sistemin en önemli unsurlarının kabul edilen yönetmeliklere uygun olarak yönetilmesi.
• Tarafların, değiş tokuş edilen veriler olarak kimlik doğrulaması.
• Yardım protokolü TLS için Zahist z'ednannya.
• Ek protokoller için IP-s'ednan koruması IKE, ESP, AH.

Yöntemler aşağıdaki belgelerde ayrıntılı olarak açıklanmıştır: RFC 4357, RFC 4490, RFC 4491.

Bilgi savunması için SKZI mekanizmaları

1. Gizlilik koruması kaydedilir veya iletilen bilgiler ek şifreleme algoritmalarına tabidir.
2. Kurulum sırasında, kimlik araması, kimlik doğrulama saatinde (X.509 tavsiyesi için) bir elektronik imza aracılığıyla güvence altına alınır.
3. Dijital belge işleme, aynı zamanda, elektronik imzaların yeniden doğrulanmasında muzaffermiş gibi, anahtarların güvenilirliğinin kontrolünün gerçekleştirildiği, yinelenmeye veya tekrarlamaya karşı tam korumaya karşı elektronik imzalarla korunur.
4. Bilgilerin bütünlüğü dijital imza ile güvence altına alınmıştır.
5. Asimetrik şifreleme işlevlerinin kullanılması verilerin şifrelenmesine olanak tanır. Tabii ki, verilerin bütünlüğünü kontrol etmek için hash fonksiyonları veya taklit algoritmaları kullanılabilir. Ancak, bu yöntemler belgenin yazarlığını vurgulamaz.
6. Tekrarlama biçimindeki koruma, şifreleme veya taklit için elektronik imzanın kriptografik işlevleri tarafından kullanılır. Aynı zamanda cilt oturumuna benzersiz bir tanımlayıcı eklenir, kapatılabilmesi için uzun bir süre verilir ve alıcı taraf tarafından yeniden doğrulama gerçekleştirilir.
7. İletişim türünün savunması, yani bağlantıların yandan sızması, elektronik imza ile güvence altına alınır.
8. İkinci savunucu - yer imlerine, virüslere, işletim sisteminin değiştirilmesine karşı, daha sonra - çeşitli şifreleme araçlarının, güvenlik protokollerinin, anti-virüs yazılımlarının ve kurumsal ziyaretlerin yardımına dikkat eder.

Hatırlayacağınız gibi, elektronik imza algoritmaları, bilgilerin kriptografik korunmasının ana parçasıdır. Koku aşağıda görülecektir.

Vimogi

SKZI, küresel zaferlerin çeşitli bilgi sistemlerinden gelen verilerin korunmasını (elektronik imzanın doğrulanması) ve gizliliklerinin güvenliğini (elektronik imzanın doğrulanması, taklit, şifreleme, kurumsal korunmanın doğrulanması) amaçlamaktadır.

Kişisel verilerin korunması için muzaffer kişisel zasіb kriptografik koruma koristuvach. Prote kızağı özellikle egemen gizeme değer bilgileri görmek için. SKZI yasasının arkasında, onunla çalışmak için vikoristano buti yapabilirsiniz.

Önemli: SKZI'yi kurmadan önce, SKZI güvenlik paketinin kendisini gözden geçirmeliyiz. İlk güveç. Kural olarak, kurulum paketinin bütünlüğü, seçicinin değerleri olan sağlama toplamları kontrol edilerek kontrol edilir.

Kurulumdan sonra, bir sonraki adım, SKZD tipinin kurulumu için gerekli olanı belirlemenin mümkün olduğuna bağlı olarak tehdit düzeyine göre belirlenecektir: yazılım, donanım ve donanım ve yazılım. Mevcut SKZI'nin organizasyonunun dağıtım sistemini güvence altına alması da gereklidir.

Kil zahistu

Rusya Federal Güvenlik Servisi'nin 07/10/14 tarihinde, bilgi ve kişisel verilerin korunması için kriptografik hizmetlerin korunmasını düzenleyen 378 sayılı emrine kadar, altı sınıf atandı: KS1, KS2, KS3, KB1, KB2, KA1. Bu sistemin savunma sınıfı, yok edicinin modeli hakkındaki verilerin analizi ile belirlenir, böylece kötü bir sistemin olası yollarını değerlendirmek mümkündür. Koruma, bilgilerin kriptografik olarak korunması için yazılım ve donanım araçlarına dayalı olacaktır.

AU (gerçek tehditler), tablolardan da görülebileceği gibi 3 tür vardır:

1. Bilgi sisteminde galip gelen sistem yazılımlarının ilk tip po'yazani'nin belgelenmemiş yeteneklerini tehdit eder.
2. Bilgi sisteminde muzaffer olan uygulamalı yazılımın belgelenmemiş olanaklarıyla başka bir uygulama türünü tehdit edin.
3. Üçüncü türün tehdidine Reshta denir.

Belgelenmemiş yetenek - resmi belgelerde açıklanmayan veya desteklemeyen yazılım güvenliğinin işlevleri ve gücü. Bu nedenle, tercihleri ​​bilginin gizliliği ve bütünlüğünden ödün verme riskini artırabilir.

Netlik için, yıkıcıların modellerine bakalım, onları devirmek için bir sınıf daha kriptografik koruma gereklidir:

• KS1 - sistemin ortasında yardımcılar olmadan çağrılar için bir yangın dedektörü.
• KS2 dahili bir kesicidir, ancak SKZD'ye erişemez.
• KS3 - bir coristuvachy SKZD olan bir dahili kırıcı.
• KV1 - örneğin SKZI'den fakhivtsiv gibi üçüncü taraf kaynakları ekleyen bir yok edici.
• KV2, faaliyetlerinin arkasında bir enstitü veya laboratuvarın bulunduğu, plantasyonun koridorunda çalışan ve SKZD'nin gelişimi için bir enkazdır.
• KA1 - yetkilerin özel hizmetleri.

Bu rütbe ile KS1 zahistu'nun temel sınıfı olarak adlandırılabilir. Görünüşe göre, daha fazla sınıf savunucusu, daha sonra daha az fahivtsiv, güvenli olmak için yogiler inşa ediyor. Örneğin, Rusya'da 2013 yılı haraç olarak, KA1 sınıfının savunmasını güvence altına almak için FSB'den ve binalardan sertifika alabilen sadece 6 kuruluş vardı.

Wikoristan algoritmaları

Bilginin kriptografik korunmasında galip gelen ana algoritmalara bir göz atalım:

• GOST R 34.10-2001 ve güncellemeler GOST R 34.10-2012 - Elektronik imza oluşturma ve yeniden doğrulama algoritmaları.
• GOST R 34.11-94 ve GOST R 34.11-2012'nin geri kalanı - karma fonksiyon eşleştirme algoritmaları.
• GOST 28147-89 ve yeni GOST R 34.12-2015 - verilerin şifrelenmesi ve taklit edilmesi için algoritmaların uygulanması.
• Eklenen şifreleme algoritmaları, RFC 4357 için kontrol edilir.

Elektronik İmza

Daha fazla popülerlik kazanmak için elektronik imza algoritmalarını kullanmadan bilgilerin kriptografik olarak korunmasının önemini ortaya çıkarmak imkansızdır.

Elektronik imza, kriptografik dönüşümlerle oluşturulan bir belgenin özel bir parçasıdır. Її ana görevler є yetkisiz bir değişikliği ve yazarlık atamasını ortaya çıkarmak.

Elektronik imza sertifikası, elektronik imzanın geçerliliğini ve geçerliliğini anahtar için casusunuza ileten önemli bir belgedir. Belgenin verilmesi, belgelendirilen merkezler tarafından belirlenir.

Elektronik imza sertifikasının sahibi, sertifikanın tescil edildiği kişidir. Vіn pov'yazany iki anahtardır: vіdkritim ve yakın. Kapatma anahtarı, elektronik imza oluşturmanıza olanak tanır. Özel anahtarla kriptografik bağlantı imzasının gerçekliğini doğrulamak için doğrulama anahtarı.

Elektronik imzaya bakın

63 sayılı Federal Kanuna göre elektronik imza 3 türe ayrılmıştır:

• basit elektronik imza;
• nitelikli olmayan elektronik imza;
• yeterlilikler elektronik imza.

Sadece EP, vіdkrittya'nın üzerine yerleştirilmiş ve verileri yeniden ziyaret etme veya vlasnik'i onaylamaya benzer benzer faydalar üzerine yerleştirilmiş şifreler hesabı için yaratılmıştır.

Özel bir anahtarın yardımıyla kriptografik dönüşümlerin yardımıyla niteliksiz bir SP oluşturulur. Zavdyaki, belgeyi imzalayan kişiyi onaylayabilir ve bu verilerden önce yetkisiz değişiklik yapıldığını tespit edebilir.

Nitelikli ve niteliksiz imzalar, yalnızca ilk aşamada, EP sertifikası, alındı ​​merkezi tarafından FSB tarafından onaylanabilenler tarafından değerlendirilir.

Elektronik imza ihbar alanı

Aşağıdaki tabloda, EP durgunluğunun alanlarına bakılmaktadır.

AP'nin en aktif teknolojileri, belge alışverişinde kullanılıyor. Dahili belgesel sürecinde, EP, özel bir imza chi druk olarak, belgelerin bir onayı olarak hareket eder. Modern belgesel zamanında, AP'nin varlığı kritik öneme sahiptir ve kanıtlar yasal onaydır. Varto ayrıca belgelerin, imzalı EP'lerin, binaların süresiz olarak saklandığını ve imza, evrak fermuarı vb. unsurlarla yasal öneminin boşa gitmediğini ifade eder.

Kontrol makamlarından önce - elektronik belge işlemeyi yağdan arındıran bir alan daha. Birçok şirket ve kuruluş, bu formattaki çalışmanın verimliliğini zaten takdir etmiştir.

Rusya Federasyonu yasalarına göre, bir cilt vatandaşı, muzaffer devlet hizmetlerine sahip bir EP olarak hizmet etme hakkına sahip olabilir (örneğin, yetkililer için elektronik bir başvuru imzalama).

Çevrimiçi teklif verme, elektronik imzaların aktif olarak tanıtıldığı başka bir alandır. Vaughn, müzayedede gerçek bir kişinin kaderini alan bu önermelerin gerçek olarak görülebileceği gerçeğini açıklıyor. AP'nin yardımı için bir sözleşme varsa, yasal güç kazananlar çok önemlidir.

Elektronik imza algoritmaları

• Tam Etki Alanı Karması (FDH) ve Ortak Anahtar Şifreleme Standartları (PKCS). Farklı durumlar için tüm standart algoritmalar grubunu koruyun.
• DSA ve ECDSA, ABD elektronik imza standartlarıdır.
• GOST R 34.10-2012, Rusya Federasyonu için EP standardıdır. GOST R 34.10-2001'in yerini alan bu standart, 31 Aralık 2017'den sonra resmi olarak kabul edilmiştir.
• Avrasya Birliği, Rusya'dakine benzer standartlara dayanmaktadır.
• STB 34.101.45-2013, dijital elektronik imza için Belarus standardıdır.
• DSTU 4145-2002 - Ukrayna'da ve diğer birçok ülkede elektronik imza oluşturma standardı.

Varto ayrıca, SP'nin oluşturulmasına yönelik algoritmaların bu sayının tanınmasına göre değişebileceği anlamına gelir:

• Grup elektronik imzası.
• Tek seferlik dijital imza.
• EP'yi onayladı.
• Nitelikler ve nitelik olmayanlar imzalanmış ve girilmiştir.

KS2 ve KS1 koruma sınıflarındaki bilgilerin kriptografik olarak korunmasının güvenliği, saldırıların gerçek olasılıkları ve saldırılara karşı kullanılan yöntemlerle kontrol edilmek üzere açıkça Rusya FSB'sine bağlıdır.

1. Gerel saldırılarının gerçek olasılığı

Gerel saldırılarının gerçek olasılıkları için KS1 sınıfının kriptografik bilgi korumasını (SKZI) kurun ve saldırı yöntemlerinin oluşturulmasını bağımsız olarak kontrol edin, saldırıların hazırlanması ve yürütülmesi yalnızca kontrollü bölgenin sınırlarının dışındadır.

1. saldırı yöntemlerinin oluşturulmasını, saldırıların yalnızca kontrollü bölgenin sınırları dışında hazırlanmasını ve yürütülmesini bağımsız olarak geliştirmek;
2. SKZI'nin uygulandığı ve işlevlerinin ortasında (SF) donanım tesislerine fiziksel erişim olmadan bile, kontrollü bölgenin sınırlarında saldırı yöntemlerinin oluşturulmasını, saldırıların hazırlanmasını ve yürütülmesini bağımsız olarak tasarlamak.

Bu şekilde, SKZI sınıfı KS2, gerel saldırılarının gerçek olasılığını etkisiz hale getirmek, saldırı yöntemlerinin oluşturulmasını, kontrollü bölgenin sınırlarında saldırıların hazırlanmasını ve yürütülmesini bağımsız olarak kontrol etmek, ancak donanıma fiziksel erişim olmadan KS1'de kabul edilir. SKZF'lerin uygulandığı cihazlar.

2. Vikonannya SKZI sınıfı savunma KS3, KS2 ve KS1 varyantları

KS1 güvenlik sınıfını koruyan temel SKZI güvenlik yazılımını temel alan 1. Seçenek.

SKZI sınıfı KS2 için Seçenek 2, temel SKZI sınıfı KS1 ile birlikte onaylı bir donanım-yazılım güvenilir edinme modülünden (APMDZ) oluşur.

Kapalı bir yazılım ortamı oluşturmak ve kontrol etmek için özel yazılımla birlikte SKZI sınıfı KS2'den oluşan SKZI sınıfı KS3 için Seçenek 3.

Bu şekilde, SKZI sınıfı KS2 için yazılım güvenliği, yalnızca APMDZ tarafından onaylanmış SKZI sınıfı KS1'e yükseltildikten sonra KS1'e yükseltilir. Vіdminnosti SKZI sınıfı KS3 ve klasu KS1 - tse vikoristannya SKZІ sınıfı KS1, APMDZ sertifikası ve kapalı bir yazılım ortamı oluşturmak ve kontrol etmek için özel yazılım ile ortaklaşa. І ayrıca kapalı bir yazılım ortamının oluşturulması ve kontrolü için özel yazılımla birlikte SKZ sınıfı KS3 ve KS2 sınıfı - tse vikoristannya SKZ sınıfı KS2'yi yönetir.

Yazılım ViPNet SysLocker (28/03/2016 tarihli 1.0), kapalı bir yazılım ortamı oluşturmak ve kontrol etmek için özel bir yazılımdır.

3. Saldırılara karşı gelin

SKZI sınıfı KS2, SKZI sınıfı KS1'in çalışması sırasında viconnance için viskozmuş gibi, saldırılara karşı koymak söz konusu olduğunda durmak zorunda değildir, ancak kendisi:

1. yere erişim hakkı olabilecek osib devrini onayladı;
2. osib'in devri, sanki ikamet yerine erişim, SKZI kaydını silme hakları varmış gibi onaylandı;
3. ikamet yerine erişim, SKZI'nin kaydının silinmesi, çalışma ve çalışma saatleri ile çalışma dışı durumlar için kurallar onaylanmıştır;
4. kontrollü alana ve hedefe erişim, kişisel veri bilgi sistemi (ISPD) ve (veya) SKZI kaynaklarından yoksun bırakma, erişim kontrol rejimine kadar güvence altına alır;
5. fiziksel hakkında bilgi, nesnelerin savunmasına gidin, ISPD'nin bazı yerlerinde, uygulayıcıların obezhenny hissesine açık;
6. SKZI belgeleri, SKZI yetkilisinden metal kasadan (shafі) alınır;
7. SKZI, SKZI ve SF'nin bileşenleri için belgelerin düzenlendiği, giriş kapıları ve kilitlerle donatılmış, kapıların kalıcı olarak kapanma güvenliği
8. resepsiyonlarda (raflarda) bir saatlik çalışma için teknik, servis ve diğer ek hizmetlerin temsilcileri, SKZI'nin saklanması ve uygulayıcılar, SKZІ'nin koristuvach'ları değil, bu misafirperverlerde yalnızca işçilerin varlığında yeniden satın alırlar. operasyon;
9. spіvrobіtniki, є є koristuvachami ІSPDN, ancak є koristuvachami SKZІ değil, bilgi güvenliği güvenliği kurallarının hafife alınması için ІSPDN ve vidpovidaln'deki çalışma kuralları hakkında bilgi verdi;
10. koristuvachi SKZI, ІSPDn'deki çalışma kuralları, SKZІ'deki çalışma kuralları ve bilgi güvenliğini sağlamaya yönelik kurallara uyulmaması hakkında bilgi verdi;
11. zdijsnyuєtsya kaydı ve diy koristuvachiv'in kişisel verilerle görünümü;
12. zdіysnyuєtsya, zakhistu'ya göre zasobіv kontrolü.

Bilgi güvenliğini sağlamak için, bilgi sistemleri tasarlanırken, bilgi güvenliğinin engellenmesini karakterize eden işaretler belirtilir. Koku, bilgi güvenliği departmanı, zocrema - FSTEC ve Rusya'nın FSB'sindeki çeşitli düzenleyiciler tarafından atandı. Böyle bir koruma sınıfı buvayuttur, bunun gibi, korumayı görüyorsunuz ve ayrıca raporun tanınmasıyla ilgili makalede gösteriliyor.

giriş

Bilgi güvenliğinin beslenme güvenliği günümüzde büyük saygı duyulan bir konu haline gelmekte, bilgi güvenliği güvenliği olmadan her yere tanıtılan teknoloji kırıkları, yeni ciddi sorunların çekirdeği haline gelmektedir.

Rusya'nın FSB'si durumun ciddiyetini bildiriyor: Tüm dünyada kötüler tarafından birkaç yıldır verilen zbitkiv'in toplamı 300 milyar dolardan 1 trilyon dolara katlandı. Rusya Federasyonu Başsavcısı tarafından sunulan veriler için, yalnızca Nisan 2017'nin ilk yarısı için. Rusya'da, yüksek teknolojiler alanındaki kötülüklerin sayısı altı kat arttı, toplam zbitkiv miktarı 18 milyon doları aştı. tüm dünyada işaretlenmiştir. Zokrema, Rusya'da 2016 yılına kadar saldırı sayısında artış %22 klavuz.

Bilgi teknolojileri, askeri-politik, terörist amaçlar için, egemen güçlerin yerel makamlarının tanıtılması ve diğer kötülüklerin yok edilmesi için bir zbroya olarak zastosovuvatysya haline geldi. Rusya, uluslararası bir bilgi güvenliği sisteminin oluşturulmasından yanadır.

Ukrayna topraklarında, bilgi yetkilileri ve bilgi sistemleri operatörleri, bilgiye yetkisiz erişimi engellemenin yanı sıra BT altyapısının korunmasını kalıcı olarak izlemeyi de engelliyor. Bilgilerin herhangi bir şekilde korunması durumunda, teknik olanlar da dahil olmak üzere çeşitli ziyaretlerin yaşam alanları için güvenlidir.

Bilginin korunmasına özen gösterin veya SZI, bilgi sistemlerindeki bilgilerin korunmasını güvence altına alır, bu aslında bilgi veritabanlarındaki tasarruflar, bilgilerin işlenmesini sağlayan bilgi teknolojileri ve bu teknik.

Günümüzün bilgi sistemleri için, farklı donanım ve yazılım platformları, bileşenlerin bölgesel dağılımı ve ayrıca farklı veri iletimi araçlarıyla karşılıklı bağımlılık kullanılması tipiktir.

Bu tür zihinler için bilgi nasıl korunur? Vіdpovіdnі vimogi pred'yavlyayut upovnovazhenі organı, zokrema, FSTEK ve Rusya'nın FSB'si. Makale çerçevesinde, düzenleyicilerin öneminin artmasıyla SZI'nin sınıflandırılmasına yönelik ana yaklaşımları hayal edebiliriz. Rus makamlarının düzenleyici belgelerinde kullanılan SZI'nin sınıflandırmasını açıklamak ve yabancı kurum ve kuruluşları adlandırmak için diğer yöntemler, tüzük ve nadalların kapsamının ötesine geçmez.

Makale, SZI'yi Rusya'nın FSTEC'i (önemli bir şekilde) ve kısaca Rusya'nın FSB'si temelinde sınıflandırma yöntemleri hakkında bir dzherelo yapılandırılmış bilgi olarak genel kamu bilgi güvenliği ile ilgili olabilir.

Rusya'nın ІB, є FSTEC (daha önce - Rusya Federasyonu Devlet Başkanı Devlet Teknik Komisyonu, Derzhtekhkomіsiya) kriptografik olmayan yöntemlerin yapısı, orijinal yolu ve güvenliğini koordine ediyor.

Bir chitachev olarak, Rusya'nın FSTEC'inin bir biçimi olan Bilginin Korunması Sertifikalarının Egemen Kaydı'nı bachiti yapmak, delice “sınıf RD SVT”, “rіven” gibi ifadelerin tanınmasının açıklama kısmına dikkat çekmek mümkündü. vіdsutnosti NDV” ve diğerleri. (resim 1) .

Şekil 1. C3I sertifika kaydının parçası

Savunmanın kriptografik araçlarının sınıflandırılması

Rusya'nın FSB'si aşağıdaki şifreleme SZI sınıflarını belirlemiştir: KS1, KS2, KS3, KV ve KA.

SZI sınıfı KS1'in temel özelliklerine göre, kontrol edilen bölgenin arkasından gerçekleştirilen saldırılara direnmek mümkündür. Saldırı yöntemlerinin oluşturulmasının, hazırlanmasının ve yürütülmesinin galuziye sahtekarların katılımı olmadan gerçekleştirildiğinden ve kriptografik SZI analizinden kaçınmaya çalıştığınızda. SZI atamasının istiflendiği sistemle ilgili bilgilerin giriş verilerinden alınabileceği bildiriliyor.

Bir kriptografik SZI olarak, KS1 sınıfını bloke eden saldırılara dayanabilir ve ayrıca kontrollü bölgenin sınırlarında gerçekleştirilebilir, bu nedenle SZI, KS2 sınıfına benzer. Eğer öyleyse, örneğin, bir saldırının hazırlanması sırasında, bilgi sistemlerinin korunmasına fiziksel erişim, kontrol edilen bölgenin güvenliği ve diğerlerine ilişkin bilgilerin kullanılabilir hale gelmesine izin verilir.

Aynı zamanda, kurulu kriptografik SZI ile numaralandırma tekniklerinin araçlarına fiziksel erişimin açıklığına yönelik saldırılara direnmek ve bu tür araçların KS3 sınıfı için geçerliliği hakkında konuşmak mümkündür.

Kriptografik saldırılara dayanmak için, oluşturulduklarında, bilimsel olarak son merkezler de dahil olmak üzere sonuçların öneminin araştırılması ve analizi alanında fakhivtsi'nin bir parçası oldular, savunma laboratuvar araştırmaları yapma olasılığı, daha sonra KV sınıfı hakkında gidin.

Saldırı yöntemlerinin geliştirilmesinden önce bile, NDV sistem yazılım güvenliğinin koridorunda fakslar bulundu, çeşitli tasarım belgeleri ve kriptografik SZI'nin herhangi bir donanım bileşenine erişim mevcuttu, bu tür saldırılara karşı koruma KA'nın güvenliğini sağlayabilir. sınıf.

Zabіv zahistu elektronik imzasının sınıflandırılması

Elektronik imzanın saldırılara karşı dayanıklı olması açısından nadas imzaları KS1, KS2, KS3, KB1, KB2 ve KA1 sınıfları için kabul edilmektedir. Tsya klassifikatsiya, incelenen diğer kriptografik SZI'lara benzer.

Vişnovki

Makalede, Rusya'da SZI'yi sınıflandırmanın bazı yöntemleri, savunma alanındaki düzenleyicilerin normatif temeli haline gelmenin temeli ele alındı. Sınıflandırma ve seçim için incelenen seçenekler. Protebe, verilen bilgilerin IB güvenlik odasındaki koçanı daha iyi yönlendirmenizi sağlamak için sunulduğunu söyledi.

FSB'nin Wimog'ları zengin fahivtsiv için bir gizemdir. Neden bu kadar vіdbuvaetsya?

• Neobov'yazkove zastosuvannya zasobіv operatörler tarafından şifreleme.
• Kompozit rozuminnya normatif tabanı.
• Regülatörün yan tarafında yer almak için roz'yasnen.
• Vikoristanny kriptografisinde viklikatim dodatkovі'nın yeniden doğrulanmasındaki operatörlerin korkusu.

Але, незважаючи на всі труднощі, без криптографічного захисту не обійтися при передачі персональних даних незахищеним каналом зв'язку, сюди входить, наприклад, віддалена робота співробітників з базою даних клієнтів, обмін інформацією між філією та головним офісом, передача особистої інформації працівників третім особам. Bir başkası için, cilt organizasyonunda benzer görevler pratik olarak mevcuttur.

İlk yemeğin normatif temeline bir göz atalım. Rusya Federasyonu'nda kişisel verilerin kriptografik koruması hakkında üç ana belge görebilirsiniz:

1. En iyi otomasyon yardımı ile bilgi sistemlerinde kişisel verilerin işlenmesi sırasında kişisel verilerin ek kriptografik güvenliğinin nasıl sağlanacağına dair metodolojik öneriler", Ukrayna Federal Güvenlik Servisi 8. Merkezi tarafından 21.02.2008 tarih ve 144 No.
2. Типові вимоги щодо організації та забезпечення функціонування шифрувальних (криптографічних) засобів, призначених для захисту інформації, що не містить відомостей, що становлять державну таємницю, у разі їх використання для забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних«, затверджені керівництвом 8 Rusya FSB Merkezine 21.02.2008 No. 149/6/6-622 - Belge resmi olarak yayınlanmadı.
3. 10 Nisan 2014 tarihli FSB No. 378 Emri «Про затвердження складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних з використанням засобів криптографічного захисту інформації, необхідних для виконання встановлених Урядом Російської Федерації вимог до захисту персональних даних кожного з рівнів захищеності». 18 Nisan 2014 tarihinde Rusya Adalet Bakanlığı'na kayıtlıdır.

Belge, FSTEC'in “eski” belgelerinin (“dördüncü kitap”, 58 Nakazu, 781 Kararname Kararnamesi) saatleri için daha fazla kabul edildi ve onları tamamladı. Varto, bu gün Adalet Bakanlığı'na tescil edilmeden değerlendirilen normatif belgenin cehalet statüsü olduğunu belirtiyor. Her şey için Shvidshe, Sipariş 378 Metodolojik önerilerini görmek için bağlantıda alakalarını kaybetti. Ancak, şifreleme sistemlerinin tarihsel olarak nasıl geliştiğinin netleşmesi için belgeyi kısaca özetlemek istiyorum.

Vymogi vyshchevazannogo belgesi (ve ayrıca PDN'nin kriptografik korumasındaki diğer normatif eylemler) bu tür eğilimleri kapsamaz:

• otomatik otomasyona ihtiyaç duymadan kişisel verilerin işlenmesi;
• Egemen bir sır oluşturmak için kişisel haraçlarla çalışın;
• Vykoristannya tehnіchnіh zabіv, Rusya Federasyonu'nun raztashovanih duruşu.

Belge, kriptografik koruma elde etmek için FSTEC ve FSB'nin arkasındaki tehdit modelini genişletmek gerektiğini söylüyor (nadiren doğrulama için). Operatörler tehdit modellerini kendileri katlayabilir veya gerekirse FSB'den lisans alabilir. Belgedeki tüm tehditler saldırılarla ilgilidir ve saldırı olmayan tehditler daha geniş tehditlerle başlatılmıştır. Metodolojiyi, yeni yardım için model yazma saatinde kanıt materyali olarak kullanabilirsiniz.

Üst düzey tehdit modeli, PDN ve diğer nesnelerin güvenlik özelliklerini tanımlar. Detaylı tehdit modelinde gerekli bilgiler kripto koruyucuya atanmıştır.

Tehdit modeline farklı faktörler eklenir: PDN'nin oluşturulmasını, PDN temsilinin biçimini ve güvenlik özelliklerini anlayın.

Birincil özelliklerin suçları: bütünlük, gizlilik ve erişilebilirlik aynı zamanda görünmezlik, görünüm, özgünlük ve yeterlik olarak görülmektedir.

Üst düzey tehdit modelinin poposu:

1. Kişisel verilerin gizliliği tehdidi.
2. Bireysel verilerin bütünlüğüne yönelik tehdit.
3. Kişisel verilerin kullanılabilirliği tehdidi.

Atama belgesi, yalnızca tehdit modelinin oluşumunu beslemek için değil, aynı zamanda uygun destroyer modelinin sıralanmasının özelliklerini de beslemektedir. Metodolojik Önerilerdeki tüm zararlar iki sınıfa ayrılır: kişisel verilerin güvenliğine doğrudan ve dolaylı zarar (doğrudan tehditleri suçlamak için kullandığınız tehditler). 6 ana tip üfleyici vardır: H1, H2, H3, H4, H5, H6. Bir rakam olarak, daha sonra daha fazla fırsat, saldırgan tipte bir derisel saldırı, ön yetenekte bir düşüş. Operatör, korumaların hazırlanma süresini, kendisine sunulan araçları ve çağrının serbest bırakılmasını bağımsız olarak belirler. Belge, dermal pestisit türünün ana özelliklerini içerir. Ayrıca, 6 eşit kripto koruyucu atandı: KC1, KC2, KC3, KB1, KB2, KA1 ve planın hiçbir şeyi değiştirmediği benzer adlara sahip 6 sınıf kripto. ІSPD ayrıca en büyük torç kategorisine bağlı olarak 6 sınıfa ayrılmıştır. AK1-yakscha naivishcha kategorisi H1, AK2-yakscho H2, AK3 - yaksho H3, AK4 - yaksho H4, AK5 - yaksho H5, AK6 - yaksho H6. Vіdpovіdno rozpodіlenі zabі kriptozahistu: AK1 - KS1, AK2 - KS2, AK3 - KS3, AK4 - KB1, AK5 - KB2, AK6 - KA1.

yardım türleri

Tipik tavsiyeler, Adalet Bakanlığı'nda kayıtlı olmayan Metodolojik Tavsiyeler ile aynı dönemde yazılmıştır, bugün itibariyle durumları makul değildir. Bence belgeler sunum için gerekli bilgileri içeriyor. Rapor, obov'yazki koristuvachіv kryptozaobіv'ı açıklıyor, onlar için ana kuralları belirledi:

• anahtar bilgilerin kopyalanmasına izin vermeyin;
• anahtarlar hakkında bilgi vermeyin;
• tuşlara üçüncü şahıs bilgilerini yazmayın.

Anahtarı azaltma süreci, onu kabul etmenin ana yolları ve tipik dergi formlarını sunma açıklanmaktadır. Belgede yer alan bilgilere dayanarak, doğru talimatları vermeniz istenebilir.

sipariş 378

Vykhodu 378 Düzen, tüm profesyonel sermaye ve eksen, nareshti, vin nabuv şövalyelik tarafından basıldı. Bu gün, kişisel verilerin kriptografik korumasındaki ana belgedir ve kriptografik SZI'nin koruması olarak kabul edildiği tüm ІSPDn'de genişletilmiştir. Emirle, sadece kriptografik korumaya değil, aynı zamanda güvenlik rejimine, konaklama güvenliğine, bilgi kaydetme prosedürüne ve diğer kuruluşlara, sistemin eşit güvenliğinin varlığında nadasa atandı. Okremo atandı, operatör kızağı vikoristovuvaty SZI'ye scho, yakі vidpovidnosti değerlendirmesini geçti - güvenlik sertifikası. Zahisnі, daha önce bildirildiği gibi, pencereleri tesislerin ekipmanına (kilitler, sızdırmazlık için stosuvannya, pencerelerdeki çubuklar, vb.) Açın. Vіdmіnu vіd polozhenie Nakazi 378'de Metodolojik önerilerde, SKZІ vychayatsya shdo sınıfı, gerçek tehdit türlerinin korunmasına eşittir. Mozhlivostі zlovisnika vrakhovuyutsya, 4 koruma seviyesi için sadece schodo sınıfı SKZI.

Tablo 1. SKZI sınıfı

Bu tür tehditlere karşı koruma açısından yanılabilirlik açıktır ve aslında operatör bir dizi seçenek arasından SKZI sınıfını seçebilir.

Belge, net bir viklad mantığını izler - kişinin kendi sisteminin koruma seviyesini bilmesi yeterlidir - cilt seviyesinin ISPD'sine ek olarak, okremih bölümlerinde sunulur. Varto, kural olarak, alt sıralardan en üst sıralara düştüklerini, 1. koruma seviyesinin ІSPDn'sinin 2., 3. ve 4. rivnіv'nin ІSPDn'si tarafından onaylanabileceğini belirtir. Bana göre yenisinin yardımıyla yükseldi.

Delicesine, kısa bir makalede, kişisel verilerin kriptografik korumasının tüm nüanslarını adlandırmak imkansız ve gerekli olan nedir? Burada ana noktaları analiz ettik, belgelerin mantığını anladık, detayları çözdük, böylece bağımsız olarak öğrenebilirsiniz. Ve beşinci bölümde, daha az önemli olmayan yiyeceğe bakılacak: kişisel verileri sisteme korumayı başaran ve onu almayı seçen kişi.

6 Nisan 2011 tarihli Federal Yasanın 8. Maddesinin 5. bölümüne kadar Vіdpovіdno. N 63-FZ "Elektronik imzada" 1 cezalandırmak sertleştirmek:

Wimogi'nin elektronik imza göndermesi (Ek No. 1);
Vymogi zasobіv zasvіdchuvalnogo merkezine (ek N 2).

Yönetmen A. Bortnikov

1 Ukrayna Verkhovna Rada Bülteni, 2011, No. 15, s. 2036; 27, sanat. 3880.

Elektronik imza siparişi vermeden önce Wimogi

I. Fırtına pozisyonları

3) SP'nin anahtarı - SP'nin oluşturulması için tanınan benzersiz bir sembol dizisi;

4) EP yeniden doğrulama anahtarı - EP geçerliliğinin yeniden doğrulanması için tanınan, EP anahtarıyla benzersiz bir şekilde ilişkilendirilen benzersiz bir sembol dizisi (bundan sonra - EP yeniden doğrulaması);

5) EP kodları - aşağıdaki işlevlerden bir veya daha fazlasının uygulanması için saldırıya uğrayan şifreleme (kriptografik) kodları - EP katlama, EP yeniden doğrulama, EP anahtarı katlama ve EP yeniden doğrulama anahtarı;

6) EP mutabakat anahtarının sertifikası - EP mutabakat anahtarı sertifikasının sahibine EP mutabakat anahtarının geçerliliğini onaylayan bir CA veya güvenilir bir özel CA tarafından görülen elektronik bir belge veya kağıt burun üzerindeki bir belge.

3. Qi vimogi, yapıyı kurar ve EP'yi zasobіv için zmіst vimog.

4. Дані Вимоги призначені для замовників і розробників засобів, що розробляються (модернізуються) ЕП при їх взаємодії між собою, з організаціями, що проводять криптографічні, інженерно-криптографічні та спеціальні дослідження засобів ЕП, ФСБ Росії, що здійснює підтвердження відповідності засобів ЕП цим Вимогам .

5. Cі Vymogy poshiryuyuyutsya koshtom EP, Rusya Federasyonu topraklarında, Rusya Federasyonu'nun kuruluşlarında ve Rusya Federasyonu sınırlarında, Rusya Federasyonu yasama organı tarafından onaylanan yasal destekçileri olarak muzaffer olarak kabul edildi.

6. Yukarı basttan önce, çubukların kısmı, Extraitae tarafından gerçekleştirilen Vobronitvva, rosobka'nın kaprisleri, Vobritni ve şifrenin realatı (kriptografik), lif demetleri, şiddetli 2005 r . R. No. 66 1 (12 Nisan 2010 tarih ve 173 sayılı Rusya Federal Güvenlik Servisi'nin emriyle yapılan değişikliklerle 2) bilginin intikamını almamak, bir devlet kurmak için değişim erişimli bilgilerin şifreleme (kriptografik) koruması için gizli.

7. EP'nin ek desteği için EP'nin katlanması (şekillendirilmesi) ve yeniden işlenmesi teknolojisine ek olarak, taktik ve teknik müdürden veya teknik süpervizörden nihai tasarım çalışmasını veya ambar kısmını yürütmesi emredilir. dağıtım (EP'nin modernizasyonu) rozrobku (modernizatsiyu) zasobu EP için ön tasarım çalışması).

II. Wimogi'den zasobiv EP'ye

8. EP kapatıldığında, EP'nin süresi:

Elektronik belgeyi imzalayan, bilgi toplayan, imzayı imzalayan kişiyi gösterin3;
- EP'yi yalnızca elektronik bir belgenin imzalanması, EP3'ün oluşturulmasından sonraki işlemler gibi özel bir onaydan sonra oluşturun;
- EP'nin yaratıldığını açık bir şekilde gösterin 3 .

9. EP'yi dönüştürürken, EP'nin maliyeti şu şekildedir:

EP 3 tarafından imzalanmış bir elektronik belgenin kopyasını gösterin;
- elektronik belgenin 3 imzalı ES'sinde yapılan değişikliklerin tanıtımı hakkında bilgi göstermek;
- Elektronik belgelerin imzalandığını EP anahtarının seçimi ile kişiye belirtin 3 .

10. Paragraf 8 ve 9'un olasılığı tsikh Vymogi, TS'den önce zastosovuyutsya değil, otomatik eşleştirme ve (veya) TS'nin bilgi sisteminde otomatik olarak yeniden doğrulanması için scho kazanır.
11. EP'nin sorumluluğu, EP'nin kendisi tarafından korunan bilgi güvenliğine zarar verme veya başkaları için zihin oluşturma yöntemi ile donanım ve (veya) yazılım araçlarını hedef alan tehditlere karşı direnmektir ( veya saldırı).

12. EP'nin savunma saldırılarına direnmek için zdіbnosti şeklinde nadas, sınıf 4'e ayrılmıştır.
13. Yöntemlerin kombinasyonu, bu tür zaferlerin hazırlanması ve yürütülmesi ile EP sınıfı KS1'in saldırılara dayanmasına izin verin, aşağıdaki olasılıklar:
13.1. Saldırı yöntemlerinin kendini geliştirmesi, saldırıların hazırlanması ve yürütülmesi.
13.2. Koshti EP 5'in yaşam döngüsünün farklı aşamaları.
13.3. Arasında transferler ve özel kuvvetler ve (veya) nakliye tesisleri (daha fazla - bölge 6 kontrol edilir) üzerinde kontrol bulunan bir saldırı gerçekleştirmek artık yeterli alan değildir.

13.4. EP tesislerinin geliştirilmesi, harp, muhafaza, nakliyesi ve taarruz saldırılarının EP tesislerinin işletmeye alınması (fırlatma harekatı) aşamasında gerçekleştirilen:

En kritik programlardan bazıları da dahil olmak üzere zasib EP ve (veya) SF bileşenlerinde yetkisiz değişiklikler yapılması;
- EP'nin gereksinimleri ve SF'nin bileşenleri için belgelerde yetkisiz değişiklikler yapmak.

13.5. Aşağıdaki nesnelere saldırı gerçekleştirme:

EP'nin maliyetine ve SF'nin bileşenlerine ilişkin belgeler;

- EP için anahtar, kimlik doğrulama ve şifre bilgileri;
- EP ve yoga yazılım ve donanım bileşenlerini zasіb;
- bu aygıtları başlatmak için kullanılabilecek bir BIOS mikro kodundan mikro devreler dahil olmak üzere, SF'den önce eklenebilecek donanım aygıtları (bundan sonra - SF'nin donanım bileşenleri olarak anılacaktır);
- Federasyon Konseyinin yazılım bileşenleri;

- veri işleme sistemlerinin bir dizi yazılım ve teknik unsurunun bulunduğu uygulama, bağımsız olarak veya EP ve SF'nin uygulamalarının yapıldığı diğer sistemlerin (ayrıca - SVT) deposunda bina işlevleri;
- gerekirse, diğer saldırı nesneleri, bilgi sistemi, bilgi teknolojileri, donanım özellikleri (bundan sonra AS olarak anılacaktır) ve yazılım güvenliğindeki zaferlerin iyileştirilmesi ile EP'nin geliştirilmesi (modernizasyonu) için TOR'da belirtilir ( bundan sonra PZ olarak anılacaktır).

13.6. Bu bilgilerden:

EP'nin verildiği bilgi sistemi hakkında genel bilgiler (randevu, depo, operatör, nesneler, bilgi sistemi kaynaklarının herhangi bir dağıtımında);
- EP'den ayrı olarak bilgi sisteminde muzaffer olan bilgi teknolojileri, veri tabanları, AS, PZ hakkında bilgi;
- fiziksel hakkında bilgi, EP'nin yerleştirildiği nesnelerin savunmasına gidin;
- EP'nin başarısını kazanmak için bilgi sisteminin nesnelerinin kontrollü bölgesinin güvenliği hakkında bilgi;
- EP ve SF'nin uygulandığı SVT'nin bulunduğu konaklama birimine nasıl erişileceği hakkında bilgi;
- EP ve SF'nin donanım ve yazılım bileşenlerine ilişkin ücretsiz erişime açık olan belgelerin değiştirilmesi;
- EP'nin sömürülmesi sürecinde galip geldiğine dair korunan bilgiler hakkında yüksek profilli ifadeler;

- EP tarafından korunan, bilgilerin iletildiği iletişim hatları hakkında bilgi;
- iletişim kanallarındaki tüm iletişimler hakkında bilgi, organizasyonel ve teknik ziyaretlerle bilgilere yetkisiz erişime karşı korunmayan, kablo EP ve UV'yi çalıştırma kurallarının ihlali;
- iletişim kanallarındaki tüm iletişimler hakkında, organizasyonel ve teknik çağrılar tarafından bilgilere yetkisiz erişime karşı korunmayan, güç kaynağının ve UV'nin donanım bileşenlerinin arızaları ve arızaları hakkında bilgi;
- alarmı değiştirebileceğinden, EP ve UV için donanım bileşenlerinden gelen herhangi bir sinyalin analizinin sonuçlarından elde edilen bilgiler.

13.7. Zafer:

EP ve UV'nin donanım ve yazılım bileşenleri dahil olmak üzere, serbest erişimde olan veya AS ve PZ kontrollü bölgesinin sınırları dışında bulunan;

13.8. Vikoristannya, hazırlık saati ve (veya) saldırı (ayrıca - saldırının kanalı) olan saldırı diyinin özneden nesneye (nesneden özneye) bir aktarım aracı olarak:

EP tarafından korunan bilgilerin iletildiği iletişim kanallarına (kontrollü bir bölgede, yani ortada olduğu gibi) organizasyonel ve teknik yaklaşımlarla bilgiye yetkisiz erişimden korunmaz;
- EP ve UV işlevlerinin işleyişini destekleyen sinyalleri genişletme kanalları.

13.9. Bilgi ve telekomünikasyon önlemlerinden saldırılar gerçekleştirmek, küçük bir osib hissesi ile herhangi bir çevre dışı alana erişim.

13.10. Vykoristannya AU ve PZ zі depo zasobіv іnformatsіynoї ї scho vikoristovuyutsya mіstsyakh ekspluatatsії zabu SP (daha fazla - düzenli zasobi) ve kontrollü bölgenin sınırlarının ötesinde scho znahoditsya.

14. Koshti EP sınıfı KS2, Vimog cich'in 13.1 - 13.10 alt paragraflarında listelenen yöntemler, hazırlıklar ve bu tür muzaffer yeteneklerin oluşturulması ve bu tür ek yetenekler ile saldırılara direnir:

14.1. Sınırlar arasında ve kontrollü bölgenin sınırları içinde her iki pozisyonun mevcudiyetinde bir saldırı gerçekleştirmek.

14.2. Vykoristannya personeli zasobіv, zamezhene girişi, bilgi sisteminde uygulama, yakіy vikoristovuєtsya zasіb EP'de, zapobіgannya'ya pripinennya'nın onaylanmamış faaliyetlerini yönlendiren.

15. Koshti EP sınıfı KS3, Vimog'un 13.1 - 13.10, 14.1, 14.2 alt paragraflarında listelenen yöntemler, hazırlıklar ve bu tür muzaffer yeteneklerin ve bu tür ek yeteneklerin yardımıyla saldırılara direnir:

15.1. Zasіb EP ve SF'nin uygulandığı SVT'ye erişim.

15.2. Roztashovuvaty donanım bileşenlerinin olasılığı zahod EP ve UV obsyagom, zakhodіv, zakhodіh zahobіgannja ve pripinennya onaylanmamış faaliyetler, bilgi sisteminin uygulanması, de vikoristovuєtsya zasіb EP'ye düşer.

16. Koshti EP sınıfı KV1, 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2 alt paragraflarında listelenen yöntemler, hazırlıklar ve bu tür muzaffer yeteneklerin yardımıyla saldırılara dayanmak için

16.1. Saldırı yöntemlerinin oluşturulması, ışınlanmış fahivtsiv, yakі mayut razrobka'dan saldırıların hazırlanması ve yürütülmesi ve SP ve UV'nin işleyişine eşlik eden sinyallerin koridor analizinde fahivtsiv de dahil olmak üzere SP'nin analizi.

16.2. EP'nin laboratuvar araştırmalarını yürütmek, kontrollü alanın konumunun muzaffer olduğu, sahada, girişlerde yatmak, bilgi sisteminde uygulanan yetkisiz faaliyetlerin önlenmesi ve uygulanması için yönlendirmek için yakіy vikoristovuetsya'da EP.

17. Bu eklemelerin 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2 alt paragraflarında listelenen yöntemleri birleştirirken, bu tür muzaffer yetenekleri hazırlarken ve gerçekleştirirken EP sınıfı KV2'nin saldırılara dayanmasına izin verin.

17.1. Yetenek saldırılarının uygulanması için vikoristannya galerisindeki sahteler de dahil olmak üzere SP'nin etkilerini geliştirebilmeleri ve analiz edebilmeleri için saldırı yöntemlerinin oluşturulması, sahte saldırılardan saldırıların hazırlanması ve yürütülmesi Yazılım uygulamasına ilişkin belgelerde açıklanmayan, uygulanan yazılımın

17.2. EP ve UV araçlarının geliştirilmesi ve analizi alanında uzmanlaşmış bilimsel ve gelişmiş merkezlerde saldırı yöntem ve yöntemlerinin oluşturulması için robotların beyanı.

17.3. Federasyon Konseyi'ne dahil edilmesi gereken uygulamalı yazılımın metinlerini roztashovuvaty vyhіdnym imkanı.

18. Yöntemlerin, hazırlıkların ve bu tür muzaffer yeteneklerin uygulanması durumunda, 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2, 17 alt paragraflarında yenileme yapılması durumunda EP sınıfı KA1'in saldırılara dayanmasına izin verin.

18.1. Vikoristannya galerisindeki fakslar da dahil olmak üzere, SP'nin geliştirilmesine ve analizine izin verebilecek, kimlik avı fakslarından saldırı yöntemlerinin oluşturulması, bunların hazırlanması ve yürütülmesi, aşağıda açıklanmayan sistem yazılımının yeteneklerine yönelik saldırıların uygulanması için sistem yazılımına ilişkin belgeler.

18.2. SF'nin donanım ve yazılım bileşenleriyle ilgili tüm dokümantasyonun ana olasılığı.

18.3. EP ve SF için tüm donanım bileşenlerinin anası imkanı.

19. Zaman, Epony Belgesinin EP'sinin, Ep Realizai Viclikiti'nin Corned Kodunun Sertifikasının Vikoristanni'ye devrinin sahtekarlığını, Elektron Belgesinin EP'sinin Clus Bulutu'nu tercüme etmeden devrini gerçekleştirmiştir. EP ABOTIA'nın servati'de.

20. EP'yi geliştirirken, devlet standartları olarak onaylanan kriptografik algoritmalar suçlanmalıdır veya Rusya'nın FSB'si uzman kriptografik çalışmaların sonuçları hakkında olumlu görüşe sahiptir 7 .

21. EP'nin mühendislik ve kriptografik savunması, EP'nin donanım bileşeninin veya SVT'nin donanım bileşeninin olası arızaları veya arızaları göz önünde bulundurularak başarılı saldırılar gerçekleştirmeyi mümkün kılan alt bölümlerin kapatılmasından sorumludur, EP yazılımının uygulandığı yer.

22. SP geliştiricisi için, SP aracının geliştirilmesi (modernizasyonu) için TK için daha az görev, SP aracının işleyişi için algoritmalar uygulamak mümkündür.

23. Yazılım bileşeni EP'den sorumludur (EP için yazılım bileşeninin mevcut olması durumunda) aşağıdakilerden sorumludur:

Yalnızca EP'nin amacına yönelik yazılım bileşeninin amaç (keşif) kodu görsel metinle tutarlı olabilir;
- yazılım bileşeni için, TU'nun çalıştığı yazılım ortamının işlevine ilişkin belgelerde artık açıklanmayan TU'nun uygulanmasından TU sorumludur;
- у вихідних текстах програмного компонента засобу ЕП повинні бути відсутні можливості, що дозволяють модифікувати або спотворювати алгоритм роботи засобу ЕП у процесі його використання, модифікувати або спотворювати інформаційні або керуючі потоки та процеси, пов'язані з функціонуванням засобу ЕП, і отримувати порушникам доступ до UE'nin kimliği hakkında açıkça görülebilen anahtar, tanımlayıcı ve (veya) doğrulayıcı bilgiler;
- giriş ve dahili parametrelerin değerleri ile yazılım bileşeninin parametrelerinin değerleri, işleyişini olumsuz yönde etkilemekten sorumlu değildir.

24. ES'lerin, havanın intikamını almak, devlet sırrı kurmak için akustik ve görsel bilgilerin bulunduğu yerlere yerleştirilmesi planlanırken, o (veya) AS ve alma, iletme, işleme sistemlerini kurmuş, bilgi kaydetme ve birleştirme vіdomosti, devlet taєmnitsyu'nun depoları, EP'nin sarf malzemeleri deposuna giren yabancı üretimin depoları, buti piddanі müştemilatların varlığının yeniden doğrulanması nedeniyle, bilginin konuşulmadan kaldırılması için kabul edildi.

EP'nin tesislerinin tesislere yerleştirilmesi planlanırken, bazı durumlarda akustik ve görsel bilgiler akustiktir, havanın intikamını almak, yüklü olmayan devlet sırrını kurmak için.

KS1, KS2, KS3, KV1 ve KV2 sınıflarına ait EP tesislerinin deposuna giren yabancı üretimin AS'sinin yeniden kontrol edilmesi kararı, ürünün güvenliğini sağlayan kuruluş tarafından kabul edilir. AP'nin bu tesislerinin işletilmesi;
- EP sınıfı KA1 malzeme deposuna giren yabancı üretimin AS'nin yeniden doğrulanması genel bir dil sırasına göre gerçekleştirilir.

25. EP'nin sorumluluğu, tüm sürece erişim konusunun (seçenekler, işlemler) kimlik doğrulamasını yapmaktır, ayrıca:

SP güvenliğine sınırlı erişim olması durumunda, erişime konu olan kişinin kimlik doğrulaması, EP'yi güvence altına almak için birinci işlevsel modülün koçanı üzerinde gerçekleştirilebilir;
- Kimlik doğrulama mekanizmaları, olumsuz bir kimlik doğrulama sonucu için bu öznelerin EP'nin işlevlerine erişimini engellemekten suçludur.

26. EP'nin sorumluluğu, EP'nin güvenliğine yerel erişime izin vermek için osib'in kimlik doğrulamasını yapmaktır.

27. EP özelleştirmesine yerel veya uzak (merezhevy) erişime izin verecek, EP'nin tek sahibi tarafından yürütülen süreçlerin doğrulanması ihtiyacı, EP özelleştirmesinin dağıtımı (modernizasyonu) için ToR'ye atanır.

28. EP zasib'de yer alan herhangi bir kimlik doğrulama mekanizması için, erişime açık bir konunun kimliğini doğrulamak için ilerleyen girişimlerin sayısının değiş tokuş mekanizmalarının uygulanması suçlanır, suçlu olmayanların sayısı 10'dan fazladır. Belirlenen sınır değerine erişim için, öznenin SP'nin güvenliğine erişimi, EP'nin güvenliğinin geliştirilmesi (modernizasyonu) için TK'nin görevlerinde bir saat süreyle bloke edilebilir.

29. EP, EP ve SF'nin bütünlüğünü izlemek için bir mekanizmaya (prosedür) sahip olabilir.

Şiddet kontrolü uygulanabilir:

SP'nin zasibinin uygulandığı SVT'nin geçişinden önce özel bir SP'den çalışma koçanı üzerinde, çalışma kampında (örneğin, SVT işletim sisteminin yakalanmasından önce);
- düzenleyici yeniden kontroller sırasında, çalışma sırasında bir SP edinin (düzenleyici kontrol);
- otomatik modda, çalışma süreci SP (dinamik kontrol) tarafından korunur.

Gücün kontrolü, iş koçanında ve özel bir EP'den yapılabilir.

Bütünlüğün rutin kontrolü için mekanizma, EP malzemelerinin deposuna girebilir.

30. KS1 ve KS2 sınıflarının EP'sinin uygulanması için, erişim kontrolünden ve belleği temizlemeden önce sunma ihtiyacı ve ayrıca їх зміст, EP siparişinin dağıtımı (modernizasyonu) için TK'den atanır.

31. EP sınıfı KS3, KV1, KV2 ve KA1 veya SF deposuna aşağıdakileri sağlayan bileşenler dahildir:

Submaru'ya erişimin parametrenin temelleri üzerine UV Ep'nin tsilovikh koruyucu cıvataları (bolo) tsilovikh koruyucu cıvataları tarafından yönetilmesi, kanat cıvatasının yardımcı biriminin admi -insperture görevleri (düzenlenmiş bileşene vimogi, organize gövde iskan ve çiçek Wimogam çiçek);
- korunan bilgileri depolamak için operasyonel ve eski belleğin temizlenmesi, vikoristovuvany EP;

32. EP sınıfı KV2 ve KA1 veya SF malzemelerinin deposuna, korunan erişimin acil olarak silinmesini sağlayan bileşenler dahildir. Bu yüzeysel silmenin uygulanmasından önce Vymogi, TK'den EP'nin geliştirilmesi (modernizasyonu) için istenir.

33. KS1 ve KS2 sınıflarının EP başvuruları için, kayıttan önce belgelerin sunulması ihtiyacı ve ücretleri EP'nin dağıtımı (modernizasyonu) için TK'ye atanır.

34. KSZ, KV1, KV2 ve KA1 sınıfındaki EP'lerin depolanması için modül, EP'lerin ve UV'lerin alt bölümlerinin, amaca yönelik işlevlerinin EP'leriyle ilgili elektronik günlüğünde sabitleme yapmaktan sorumludur.

Vymogy'nin belirlenen modüle devredilmesi ve alt bölümlerin kaydının devredilmesi, kuruluş tarafından EP cim Vimogam'ın geçerliliğini değerlendirme yöntemi ile EP takibini gerçekleştirmek üzere atanır ve engellenir.

35. Podіy kayıt günlüğüne yalnızca bilgi sistemi operatörü tarafından atanan, EP'yi kazanan veya onun tarafından onaylanan kişiler tarafından erişilebilir. Kayıt günlüğüne erişim durumunda, podia sadece kayıtların gözden geçirilmesi ve podianın kayıt günlüğünün arşivlere taşınması yerine zdiisnyuvatisya'dan suçludur.

36. EP'nin yeniden doğrulama anahtarının süresi, EP'nin anahtarının 15 yıldan fazla bir süredir yeniden gözden geçirilmesinden suçlu değildir.

37. ES'nin ES'sinin robotunu bloke eden ES anahtarının kullanım süresinin kontrol mekanizmasına ek olarak, verilen terimin anahtarının adını denediği sırada perakendeci, İstihdam bağımlılığının değerlendirilmesi yöntemi ile ES kaydının takibini yapmak için ES'yi kuruluşa atayın.

38. EP'deki anahtar bilgilerle işlemleri güvence altına alan kriptografik protokoller, EP'de aracı olmadan uygulanabilir.

39. EP'nin performansının EP'nin performansını değerlendirme yöntemiyle değerlendirilmesi, Rusya'nın FSB'sinin, EP'nin donanımı korumaya yönelik mekanizmalarının uygulanmasının parametrelerinin ve özelliklerinin sayısal değerlerinin belirlenmesi temelinde gerçekleştirilir ve SF 8'in yazılım bileşenleri.

1 Rusya Adalet Bakanlığı'nın 3 Şubat 2005 tarihli kaydı, 6382 numaralı kayıt.

3 Diğer şeylerin yanı sıra, EP'nin düzenli işleyişine ek olarak çeşitli donanım ve yazılım özellikleri ile uygulanır ve bir bina olarak vikonannya'ya entegre edilebilir, EP birlikte ortasını temsil edebilir. EP'nin işleyişi (ayrıca - UV).
4 Dağıtılmış (modernize edilmiş) EP'nin gerekli sınıfı, Vymog kurallarının 13-18. paragrafları temelinde saldırı yöntemleri oluşturma, saldırılar hazırlama ve gerçekleştirme yeteneğinin tasarlanması yoluyla EP'nin yerine geçen (perakendeci) olarak belirlenir. ve dağıtım için T3'e girin (EP'nin modernizasyonu.)
5 Yaşam döngüsünün aşamalarından önce, EP'nin tesislerin belirlenmesini, bunların üretimini, tasarrufunu, nakliyesini, devreye alınmasını (başlatma işi), işletimi geliştirmesi (modernize etmesi) beklenir.
6 Kordon kontrollü bölge şunlar olabilir: korunmakta olan yaşamın yapılarını koruyacak olan işletmenin (set) korunan bölgesinin çevresi, yaşamın korunan bölümleri, görülen konaklama yeri .
7 Rusya Federasyonu Cumhurbaşkanının 11 Nisan 2003 tarihli Kararnamesi ile onaylanan Rusya Federasyonu Federal Güvenlik Servisi Yönetmeliğinin 25. Maddesi 9. maddesi No. 960 (Rusya Federasyonu Mevzuat Koleksiyonu, 2003, No. 33, Art. 3254; 2004 No. 28, Art. 2883; 2005, No. 36, Art. 3665, No. 49, Art. 5200; 2006 , No. 25, Madde 2699; No. 49, Madde 6133, No. 53, Madde 6554, 2008, No. 36, Madde 4087, No. 43, Madde 4921; Madde 2435; 2011, No. 2, Madde 267 ; No. 9, Madde 1222) Rusya'nın FSB'si hakkında).
8 Rusya FSB Yönetmeliğinin 9. paragrafının 47. paragrafı.

Ek N 2

Bakım merkezine yardım etmek için Wimogi

I. Fırtına pozisyonları

1. Tsі Vimogi, 6 kvіtnya 2011 s. N 63-FZ "Elektronik imza üzerine" (bundan böyle - Federal Yasa olarak anılacaktır).

2. Federal Yasanın 2. maddesine atanan Wimogah Yasalarında aşağıdaki ana kavramlar yer almaktadır:

1) Elektronik Pidpis (Dali - EP) - Elektron Formu, Yaka Pro'daki Bilgiler, Elektrony Formi'deki Inshoi Bilgileri (Pidpisuvanoi іnformatics) vicorista'nın damarı ile aynıdır.

3) EP kodları - aşağıdaki işlevlerden bir veya daha fazlasını uygulamak için kullanılan kriptografik (kriptografik) kodlar - EP anahtarı, EP yankısı, EP anahtarı ve EP yankı anahtarı;

4) SP'nin anahtarı - SP'nin oluşturulması için tanınan benzersiz bir sembol dizisi;

5) EP yeniden doğrulama anahtarı - EP anahtarıyla benzersiz bir şekilde ilişkilendirilen ve EP'nin yeniden doğrulanması için tanınan benzersiz bir sembol dizisi (bundan sonra - EP yeniden doğrulaması olarak anılacaktır);

6) EP mutabakat anahtarı sertifikası - EP mutabakat anahtarı sertifikasının sahibine EP mutabakat anahtarının geçerliliğini teyit eden, bir SO veya güvenilir bir özel CA tarafından görülen elektronik bir belge veya kağıt burun üzerinde bir belge;

7) EP yeniden doğrulama anahtarının yeterlilik sertifikası (bundan sonra - yeterlilik sertifikası) - kapsamında onaylanan, CA tarafından akredite edilmiş veya özel bir akredite CA veya vikonavchoi hükümetinin federal organı tarafından güvenilen EP yeniden doğrulama anahtarının bir sertifikası AP seçimi (bundan böyle - federal otorite olarak anılacaktır);

8) EP yeniden doğrulama anahtarı sertifikası sahibi - Federal Yasa tarafından belirlenen prosedüre uygun olarak EP yeniden doğrulama anahtarı sertifikasını gören bir kişi;

9) CA'nın akreditasyonu - Federal yasa uyarınca CA'nın akreditasyonunun federal organı tarafından onaylanması;

10) CA tesisleri - CA işlevlerini uygulamak için kullanılan donanım ve (veya) yazılım tesisleri;

11) elektronik etkileşime katılanlar - devlet organları, özdenetim kuruluşları, kuruluşlar ve vatandaşlar tarafından elektronik biçimde bilgi alışverişini kolaylaştırmak için.

3. Qi Vimogi yapıyı kurar ve CA'yı zasobіv zmіst zmіst vimog.

4. Дані Вимоги призначені для замовників і розробників засобів, що розробляються (модернізуються) УЦ при їх взаємодії між собою, з організаціями, що проводять криптографічні, інженерно-криптографічні та спеціальні дослідження засобів УЦ, ФСБ Росії, що здійснює підтвердження відповідності коштів УЦ цим Вимогам .

5. Sayılar, Rusya Federasyonu topraklarında seçim için tanınan CA'ları içerecek şekilde genişletildi.

6. Oyuktan önce, Rosrobes Kısmının Parçaları, Vobronitvva, Gerçekleştirilen Kuleler Holmog'ları, rosobka ile ilgili laysaları, Vobritni'yi, dizinin realistini (kriptografik) sağlar.. şiddetli 2005 r. R. No. 66 1 (12 Nisan 2010 No. 173 2'de Rusya Federal Güvenlik Servisi'nin emriyle yapılan değişikliklerle), aracı erişimli bilgilerin korunması için şifreleme (kriptografik) araçlar için (ayrıca - SKZI), yani bilginin intikamını almamak, egemen bir devlet kurmak için

II. Vymogi'den zaobiv UT'lere

7. CA'nın maliyetleri, CA'nın tesislerinin mühendislik ve teknik güvenliğini ve kriptografik güvenliğini yok etme yöntemiyle donanım ve (veya) yazılım araçlarının kullanımına yönelik hedefler belirlemeyi amaçlayan tehditlere direnmekten veya başkaları için zihin belirleme yöntemi (veya saldırı).

8. Zdіbnosti direniş saldırıları şeklinde nadas Koshti UC, sınıf 3'e bölünmüştür.

9. Koshti UC sınıfı KS1, yöntemlerin kombinasyonu, bu tür zaferlerin hazırlanması ve yürütülmesi ile saldırılara direnir, aşağıdaki olasılıklar:

9.1. Saldırıların hazırlanması ve gerçekleştirilmesi, ortasında özel kuvvetlerin ve (veya) ulaşım hizmetlerinin (ayrıca - bölge kontrol edilir) transferleri ve eylemleri üzerinde kontrolün olduğu bir alan gerektirir.
9.2. CA ile etkileşim içinde yazılım ve donanım araçlarının işlevsel özelliklerine muzaffer erişim olmadan saldırıların hazırlanması ve gerçekleştirilmesi.

9.3. Saldırı yöntemlerinin kendini geliştirmesi, bu tür nesnelere yönelik saldırıların hazırlanması ve yürütülmesi:

UT'ler tarafından belgeler;
- korunan elektronik belgeler;
- anahtar, kimlik doğrulama ve şifre bilgileri;
- CA'dan, yazılım ve donanım bileşenlerinden sorumlu;
- kanallar tarafından iletilen veriler;
- Donanımın bulunduğu uygulama (bundan sonra AS olarak anılacaktır), CA'nın olanaklarının yanı sıra korunan bilgi sisteminin diğer kaynakları.

9.4. CA tesislerinin geliştirilmesi, üretimi, tasarrufu, nakliyesi ve devreye alınması aşamalarında tanıtılan:

En zor programlarınkiler de dahil olmak üzere CA'ların olumsuz işlevsel yeteneği;
- CA tarafından belgelendirilmeden önce yetkisiz değişiklikler.

9.5. Bu bilgilerden:

CA'nın tesislerinin (randevu, depo, bilgi sistemi kaynaklarının bulunduğu nesneler) bulunduğu bilgi sistemi hakkında genel bilgiler;
- CA'nın yardımıyla bilgi sisteminde galip gelen bilgi teknolojileri, veri tabanları, AS, yazılım güvenliği (bundan sonra - PZ olarak anılacaktır) hakkında bilgi;
- UC kedilerinin yerleştirildiği nesnelerin fiziksel, zahistu ziyareti hakkında bilgi;
- CA'nın tesislerinin bulunduğu bilgi sisteminin nesnelerinin kontrol edilen bölgesinin güvenlik bölgesine nasıl girileceği hakkında bilgi;
- UT'lerin yerleştirildiği yerlere, konaklama birimine nasıl erişileceği hakkında bilgi;
- Ücretsiz erişimde yeniden satın alınan Utrimannya teknik belgeleri, CA'nın maliyeti üzerinden;
- відомостей про інформацію, що захищається, що використовується в процесі експлуатації засобів УЦ (види інформації, що захищається: службова інформація, парольна та аутентифікуюча інформація, конфігураційна інформація, керуюча інформація, інформація в електронних журналах реєстрації; загальні відомості про зміст кожного виду інформації, neyin korunduğu, cilt görünümü bilgisi için güvenlik özellikleri, neyin korunduğu);
- organizasyonel ve teknik çağrılar yoluyla bilgiye yetkisiz erişime (ayrıca - NSD) karşı korunmayan iletişim kanalları aracılığıyla açık fikirli kişiye iletilen tüm olası veriler;
- CA'nın zaferlerinden korunan, bilgilerin iletildiği iletişim hatları hakkında bilgi;
- iletişim kanallarındaki tüm iletişimler hakkında bilgi, organizasyonel ve teknik çağrılarla bilgilere yetkisiz erişime karşı korunmayan, CA kablolarını çalıştırma kurallarının ihlali;
- organizasyonel ve teknik çağrılar, UT'lerin arızaları ve arızaları tarafından bilgilere yetkisiz erişime karşı korunmayan iletişim kanallarındaki tüm çağrılar hakkında bilgi;
- UT'lerin donanım bileşenlerinin sinyallerinin dönüşüm için uygun olup olmadığı, analiz sonuçlarından alınan bilgiler.

9.6. Zafer:

CA'nın yazılım ve donanım bileşenleri de dahil olmak üzere, AU ve PZ'nin kontrol edilen bölgesinin sınırları dışında veya serbest erişimde olması;
- özel olarak rozroblenih AS ve PZ.

9.7. Vykoristannya, bilgilerin iletildiği, CA prosedürleri tarafından işlenen bir bağlantıya (kontrollü bir bölgedeki bir konum gibi, yani її sınırlarındaki) kanalların örgütsel ve teknik kanalları tarafından NSD'den korunmayan bir saldırı kanalı olarak.

10. Koshti UC sınıfı KS2 saldırılara dayanmak için, yöntemler, hazırlıklar ve bu tür zaferlerin yürütülmesi birleştirildiğinde, aşağıdaki olasılıklar mümkündür:

10.1. Olasılık, 9.3 - 9.7 alt paragraflarında listelenmiştir cich Vimog.

10.2. Kontrollü bölgeden saldırıların hazırlanması ve yürütülmesi.

10.3. CA'nın herhangi bir uygulamasında AU'ya vikoristannya erişimi olmadan saldırıların hazırlanması ve gerçekleştirilmesi.

10.4. Vykoristannya personeli zasobіv іnformatsіynoї ї, de vikoristany uts çalışanları.

11. Koshti UC sınıfı KSZ saldırılara direnmek için, yöntemler, hazırlıklar ve bu tür zaferlerin yürütülmesi birleştirildiğinde, aşağıdaki olasılıklar mümkündür:

11.1. Olasılık, 10.1, 10.4 alt paragraflarında listelenmiştir cich Vimog.

11.2. Bilgilerin doğrulanması için yasal yetkilendirme temelinde, yazılım ve donanım cihazlarının işlevsel yeteneklerine farklı erişime sahip inter-kontrollü bölge nedeniyle saldırıların hazırlanması ve yürütülmesi veya erişim ile kontrollü bölgeden saldırıların hazırlanması ve yürütülmesi to the access stations правами особи, яка не є членом групи фізичних осіб, уповноважених проводити інсталяцію, конфігурування та експлуатацію засобів УЦ, конфігурування профілю та параметрів журналу аудиту (функції системного адміністратора), архівування, резервне копіювання та відновлення інформації після збоїв (функції оператора) , створення та анулювання EP'nin yeniden doğrulanması (sertifika yöneticisinin işlevleri), revizyon ve denetim günlüğüne gönderme (denetim yöneticisinin işlevleri) (bundan böyle - CA yönetici grubu olarak anılacaktır) sertifikası CA'nın aynı bileşeninin maliyetleri).

11.3. Obsyazі'da Volodinnya AS UC, realizovannykh zakhodіv şeklinde mevduat, pobobіgannya pripinenya pripinennya onaylanmamış faaliyetlerde spramovavanih.

12. Koshti UC sınıf KV1 saldırılara dayanmak için, yöntemler, hazırlıklar ve bu tür zaferlerin yürütülmesi birleştirildiğinde, aşağıdaki olasılıklar mümkündür:

12.1. Olasılık, 11.1 - 11.3 alt paragraflarında listelenmiştir cich Vimog.

12.2. CA'nın kriptografik bilgilerinin (koridordaki fakslar, hat iletimindeki sinyallerin analizi ve sinyaller dahil olmak üzere) geliştirilmesine ve analizine izin verebilecek faksların radyasyonundan saldırıların hazırlanması ve yöntemlerin oluşturulması. yan elektromanyetik girişim ve rehberlik).

12.3. Yetkisiz faaliyetlerin istilasına yönelik, gerçekleştirilmiş girişler şeklinde yatırılması gereken, anketteki kontrollü bölgenin konumu üzerinde galip gelen UC'nin sonuçlarının laboratuvar araştırmalarının yapılması.

13. Koshti UC sınıfı KV2 saldırılara dayanmak için, yöntemler, hazırlıklar ve bu tür zaferlerin yürütülmesi birleştirildiğinde, aşağıdaki olasılıklar mümkündür:

13.1. Olasılık, 12.1 - 12.3 alt paragraflarında listelenmiştir cich Vimog.

13.2. Uygulamalı ve sistem yazılımının bildirilmemiş yeteneklerinin saldırılarının uygulanması için vikoristannya galerisinde ışınlanmış fakslardan saldırıların hazırlanması ve yöntemlerin oluşturulması.

13.3. CA yöntemlerinin araştırılması ve analizi alanında uzmanlaşmış bilimsel ve gelişmiş merkezlerde saldırı yöntem ve yöntemlerinin oluşturulması için robotların beyanı.

13.4. Volodinnya, CA'nın kendi belgelerinin yazıldığı bilgi sisteminde saklanan uygulamalı yazılım metinlerini, ücretsiz erişime açık olan bu belgeleri kullandı.

14. Koshti UC sınıf KA1 saldırılara direnmek için, yöntemler, hazırlıklar ve bu tür zaferlerin yürütülmesi birleştirildiğinde, aşağıdaki olasılıklar mümkündür:

14.1. Olasılık, 13.1 - 13.4 alt paragraflarında listelenmiştir cich Vimog.

14.2. Uygulamalı ve sistem yazılımının beyan edilmemiş yeteneklerinin saldırılarının uygulanması için SKZI'nin geliştirilmesi ve analizinde ve vikoristannya galerisinde uzmanlaşmış araştırma ve geliştirme merkezlerinden yöntemlerin geliştirilmesi ve saldırıların hazırlanması.

14.3. Volodynnya, CA'nın donanım ve yazılım bileşenlerine ilişkin tüm belgeler.

14.4. CA'nın tesislerinin tüm donanım bileşenleri olabilir.

15. CA'nın maliyetleri, CA'nın ücretlerine ilişkin operasyonel belgelere uygun olarak işletilecektir. CA'nın tesislerinin güvenli işleyişini sağlamak için organizasyonel ve teknik yaklaşımlar kompleksi, CA'nın maliyetleri için operasyonel belgelerde belirtilebilir.

16. CA akreditasyonuna verilen EP akreditasyonlarının sınıfı, üstün CA akreditasyon sınıfının suçu değildir. CA personeline verilen EP ödevlerinin sınıfı, CA kemiklerinin operasyonel belgelerinde atanabilir.

CA'nın tesislerinde kazanan SKZI sınıfı, CA'nın alt sınıfı tesislerinden suçlu değildir. CA'nın tesislerinde vikoristovuyutsya olan SKZI sınıfı, CA'nın kemiklerinin operasyonel belgelerinde atanabilir.

17. İster bir suç sınıfı KA1 olsun, ister UC'nin yararına sunulan, isterse değişiklik yapılmadan saldırı sınıfının UC'sinin yararına sunulan (ki bu durumda olamaz) cilt güçlüdür. saldırgan sınıfın UC'sinin faydalarına gösterilmiştir), aksi takdirde mümkün olacaktır ( geçişin bu noktasında, saldırgan sınıfın UT'lerinin bir zhorstke formülü oluşturması mümkün olmuştur). Vymogi, saldırgan sınıfın UC'sinin faydalarına kadar, ileri sınıfın UC'sinin faydalarıyla örtüşmeyen ek vimogi'nin intikamını alabilir.

18. Wimogi'den PZ Koshtiv UT'lere:

18.1. Wimogi'den Koshtiv UC sınıfı KS1'e:

CA çalışanlarının yazılımı, robotik yazılımın algoritmasını ve CA'nın AS'sini değiştirmeye veya desteklemeye izin veren CA çalışanlarının sorumluluğunda değildir.

18.2. Wimogi'den Koshtiv UC sınıfı KS2'ye:

CA'da yazılan CA'ların ve SKZI'nin uygulamalı yazılım geliştirmesi, sistem yazılımının işlevlerini belgelemekten daha fazlası olabilir.

18.3. Wimogi'den Koshtiv UTs sınıfı KS3'e:

Системне та прикладне ПЗ засобів УЦ повинно забезпечувати розмежування доступу системного адміністратора засобів УЦ, адміністратора сертифікації засобів УЦ та осіб, що забезпечуються системним адміністратором засобів УЦ ідентифікуючою та аутентифікуючою інформацією та не є адміністратором сертифікації засобів УЦ (далі - користувачі засобів УЦ) засобами УЦ, виходячи CA sistem yöneticisi tarafından belirlenen erişim ayrımı kurallarından;
- PZ zasobіv UT'lerin sistemi ve uygulaması, beyan edilmemiş yeteneklerin varlığının kontrolüne eşit 4 geçerli olabilir;
- UC'nin PZ zasobiv'inin sistemik uygulaması, erişilemeyen dzherelah'ta yayınlanan çekişmelerden intikam almaktan suçlu değildir;
- sistemin deposuna ve (veya) uygulamalı yazılım zasobіv UC, erişimden bilgi toplamak için muzaffer olan operasyonel ve harici belleğin temizlenmesini sağlayan mekanizmadan sorumludur.

18.4. Vymogi, UT sınıfı КВ1 zbіgayutsya z vіmogi koshtіv UC sınıfı КС3 için zabіv.

18.5. Wimogi'den Koshtiv UC sınıfı KV2'ye:

Sistemik ve uygulamalı PZ zasobіv UT metinlerinin Vihіdnі metinleri, saldırılara direnmek, bu tür testleri hazırlamak ve yürütmek için bilgileri savunma yöntem ve yöntemlerinin içlerindeki uygulamanın yeniden doğrulanmasından geçmeyi borçludur, olasılıklar 9 - 13. paragraflarda listelenmiştir. Vymog;
- sistem metinlerinin ve uygulanan yazılımın doğrulanması, beyan edilmeyen yeteneklerin geçerliliği için yeniden doğrulanmalıdır;
- Sistematik ve uygulamalı yazılımlar, yabancı ülkelerden gelen bilgisayar saldırılarına karşı dayanıklı olabilir.

18.6. zasobiv UC sınıfı KA1'e kadar Vymogi:

Saldırılara direnmek için bilgileri savunma yöntem ve yöntemlerinin kendi içlerindeki uygulamanın resmi doğrulamasını geçmek, 9 ila 14. paragraflarda listelenen bu tür dolaylı fırsatları hazırlamak ve yürütmek CA'nın sorumluluğundadır.

19. Vimogi'den AS UC'ye:

19.1. Varlığın intikamını almak, egemen sırrı oluşturmak için akustik ve görsel bilgilerin bulunduğu tesislerde AS CA'larının konuşlandırılmasının planlanması sırasında, bu (veya) alma, iletme için sistemin teknik desteği, processing, saving and generating energy, , що становлять державну таємницю, технічні засоби іноземного виробництва, що входять до складу коштів УЦ, повинні бути піддані перевіркам щодо виявлення пристроїв, призначених для негласного отримання інформації, а також дослідженням на відповідність вимогам щодо захисту від витоку інформації по каналах побічних електромагнітних випромінювань та наведень görülen hedef kategorisine uygun.

19.2. Wimogi'den Koshtiv UC sınıfı KS1'e:

CA'nın AS test sisteminin iyileştirilmesi ile CA'nın temel işlevlerinin uygulanmasının performansının yeniden doğrulanması gerçekleştirilir.

19.3. Vymogi, UC sınıfı KS2, KS3, KV1, KV2 zbіgayutsya z vimogi UC sınıfı KS1 ile koshtіv için.

19.4. zasobiv UC sınıfı KA1'e kadar Vymogi:

AS UC'nin deposuna giren yabancı üretim teknik tesislerinin, ek binaları açığa çıkarma yöntemiyle özel bir yeniden doğrulamasının yapılması, bilgilerin gizlice kaldırılması için işaretler;
- CA özelliklerinin uygulandığı AS'nin (BIOS program kodunun analiziyle birlikte) negatif işlevsel yetenekleri hariç tutma yöntemiyle yeni bir doğrulamasının yapılması.

20. Rol ayrımı öncesi Wimogi:

20.1. CA işlevlerinin çalışmasını sağlamak için CA, CA yönetici grubunun üyelerinin ayrılması rollerini sürdürebilir.

20.2. Wimogi'den Koshtiv UC sınıfı KS1'e:

Suçlu buti bir rol değişikliği atadı ve mizh rollerini rozpodіl obov'yazkіv;
- CA'nın maliyeti için operasyonel belgelerde rollerin ve rozpodіl obov'yazkіv mizh rollerinin bir listesi atanabilir.

20.3. Vymogami zaobіv UT sınıfı KS2 zbіgayutsya z vimogami için zaobіv UT sınıfı KS1 için.

20.4. Wimogi'den Koshtiv UTs sınıfı KS3'e:

UC'nin maliyetleri, aynı dil rollerini sürdürmekten sorumludur:

1) ana kurulum dili, CA işlevlerinin yapılandırılması ve ayarlanması, CA yönetim yönetici grubu üyelerinin profillerinin oluşturulması ve ayarlanması, profil yapılandırması ve denetim günlüğündeki parametrelere sahip bir sistem yöneticisi;

2) ana bağlayıcıları olan sertifikanın yöneticisi: EP'nin doğrulanmasının anahtarlarının sertifikalarının onaylanması ve iptali;

CA personeli, bir grup CA yöneticisinden bir üyeye farklı roller oynaması için yetki vermeyi imkansız kılan bir mekanizma uygulayabilir.

20.5. zabiv UTs sınıfı KB1'e Vymogy:

Koshti CA, yedekleme ve yenileme için ana yükümlülüklerle birlikte operatörün dil rolünün varlığını sağlamaktan sorumludur.

20.6. Vymogi, UT sınıfı KV2 zbіgayutsya z vіmogi koshtіv UT sınıfı KB1'i zabіv için.

20.7. zasobiv UC sınıfı KA1'e kadar Vymogi:

Koshti UT'ler, ana ob'ov'yazkami ile denetim yöneticisinin obov'yazkovoї rolünün görünürlüğünü sağlamaktan sorumludur: denetim günlüğüne revizyon ve destek;
- sistem yöneticisi, denetim günlüğünde değişiklik yapma yeteneğinden sorumlu değildir.

21. UC'nin maliyetinin bütünlüğüne Vymogi:

21.1. Koshti UC, onaylanmamış depresyon ve (veya) bilgisizlik (değişiklikler, modifikasyonlar) ve (veya) bilgilerin, yazılım araçlarının ve AS CA'nın (bundan sonra - bütünlüğü izleme mekanizması olarak anılacaktır) imhasının kontrol mekanizmasından sorumludur.

21.2. Wimogi'den Koshtiv UC sınıfı KS1'e:

Gücün kontrol mekanizmasına ilişkin Vymogi, CA kutularının dağıtımı (modernizasyonu) için TK'ye atanabilir;
- CA'nın yazılımının ve AS'nin bütünlüğü ve CA'nın maliyeti için operasyonel belgelerdeki atamalar üzerinde bir kontrol süresi atanabilir;
- yazılımın bütünlüğünün kontrolü ve UC'nin AS'si, işletim sisteminin (bundan böyle OS olarak anılacaktır) cilt baskınlığından sorumludur;
- UC'nin kedilerinin bütünlüğünün yenilenmesi için buti'ye borçluyuz.

21.3. Vymogami zaobіv UT sınıfı KS2 zbіgayutsya z vimogami için zaobіv UT sınıfı KS1 için.

21.4. Wimogi'den Koshtiv UTs sınıfı KS3'e:
- Bütünlük kontrolü, hasat başına en az 1 kez vikonuvatisyadan sorumludur.

21.5. zabiv UTs sınıfı KB1'e Vymogy:
- Bütünlük kontrolü, OS, CA tarafından devralınana kadar vikonuvatisya'nın sorumluluğundadır.

21.6. Vymogi, UT sınıfı KV2 zbіgayutsya z vіmogi koshtіv UT sınıfı KB1'i zabіv için.

21.7. zasobiv UC sınıfı KA1'e kadar Vymogi:
- Bütünlüğün kontrolü, CA'nın tesislerinin işleyişi sırasında dinamik olarak işlev görmekten sorumludur.

22. Wimogi kontrolüne erişmek için:

22.1. Koshti UT'ler erişimi güvence altına alabilir.

22.2. Wimogi'den Koshtiv UC sınıfı KS1'e:
- erişim kontrolüne atanabilir ve CA'nın dağıtımı (modernizasyonu) için TK'ye atanabilir.

22.3. Vymogami zaobіv UT sınıfı KS2 zbіgayutsya z vimogami için zaobіv UT sınıfı KS1 için.

22.4. Wimogi'den Koshtiv UTs sınıfı KS3'e:
- CA, erişim denetiminin isteğe bağlı ilkesinden sorumludur.

22.5. Vymogi, UT sınıfı КВ1 zbіgayutsya z vіmogi koshtіv UC sınıfı КС3 için zabіv.

22.6. Wimogi'den Koshtiv UC sınıfı KV2'ye:
- UT'ler için kapalı bir çalışma ortamının oluşturulmasını güvence altına alabilir.

22.7. zasobiv UC sınıfı KA1'e kadar Vymogi:
- CA'da zorunlu erişim kontrolü ilkesini sağlamak mümkündür; sertifika yöneticisinin ES anahtarının girilmesi için en az iki güvenilir kişi gerekir 5 .

23. Kimlik ve kimlik doğrulamadan önce Wimogi:

23.1. Tanımlama ve doğrulama, CA personelinin, CA yönetici grubunun bir üyesinin tanınmasını veya bunların gerçekliğini doğrulama sürecini içerir. Kimlik doğrulama mekanizması, olumsuz bir kimlik doğrulama sonucu için bu konuların CA'nın işlevlerine erişimini engellemekten suçludur.

23.2. Kimlik doğrulama prosedürünün uygulanıp uygulanmadığına ilişkin CA'nın tesislerinde, erişime açık bir öznenin kimliğini doğrulamak için çok sayıda ileri denemenin değiş tokuşu için bloke edici mekanizmalar olabilir ve bunların sayısı üçten fazla değildir. Kurulu sınır değerine erişmek için bir öznenin kimliğini doğrulamak için yaklaşan girişimlerin sayısı, bu öznenin CA tesislerine erişimi, CA'nın genişletilmesi (modernizasyonu) için TK'den gerekli olan bir saat süreyle bloke edilebilir. maliyet.

23.3. Wimogi'den Koshtiv UC sınıfı KS1'e:

CA'nın hesaplarını kaydetme prosedürünün bir açıklaması (CA'nın hesaplarının kaydına veri girişi), CA'nın hesaplarının operasyonel belgelerinde olabilir;
- CA'nın olanaklarına erişime izin veren tüm sistemler için kimlik doğrulaması yapılabilir. Bu durumda, kimlik doğrulama için yalnızca 8 karakterden az olmayan, alfabetik gerilim 36 karakterden az olmayan periyodik olarak değiştirilen sembolik bir parolanın kullanılmasına izin verilir. Şifre değiştirme süresinin 6 ay değişmesinden sorumlu değildir.

23.4. Wimogi'den Koshtiv UC sınıfı KS2'ye:

CA'nın koristuvannye koshtіv sunumunun gerekliliği, kişiyi onaylayan belgelerin yogo kaydından bir saat sonra, UT'nin koshtі'sının operasyonel belgelerine dahil edilebilir;
- tüm CA'ların uzaktan kimlik doğrulama mekanizmalarını değiştirmesine izin verilir. CA'nın varlıklarının geçerliliğinin uzlaştırılması çerçevesinde doğrulamanın teyidi nedeniyle uzaktan kimlik doğrulama mekanizmalarının özel özellikleri ve dolaylı alıntı, cim Wimogam gibi bilgilendirme nesnelerinin;
- CA hizmetlerine yerel erişim durumunda, CA yöneticileri grubunun üyelerinin kimlik doğrulaması, CA hizmetlerinin çalışma istasyonuna geçişten önce (örneğin, temel işletim sistemi devralınana kadar) sonlandırılmalıdır.

23.5. Wimogi'den Koshtiv UTs sınıfı KS3'e:

CA personeli, CA personeline erişime izin verebilen ancak CA yönetici grubunun deposuna giremeyen yerel CA'ların kimlik doğrulama mekanizmasının uygulanmasına sahip olabilir.

23.6. zabiv UTs sınıfı KB1'e Vymogy:

CA tesislerine uzaktan erişim ile sadece sembolik şifre değiştirilemez, doğrulamadan kriptografik protokollere dayalı kimlik doğrulama mekanizmaları sorumludur.

23.7. Vymogi, UT sınıfı KV2 zbіgayutsya z vіmogi koshtіv UT sınıfı KB1'i zabіv için.

23.8. zasobiv UC sınıfı KA1'e kadar Vymogi:

CA tesislerinde, uygulanan herhangi bir kimlik doğrulama mekanizması için, operasyon alanındaki CA hizmetlerine erişimi engelleyen bir öznenin kimliğini doğrulamak için izin verilen maksimum ilerleme denemesi sayısını ayarlama olasılığını uygulamak mümkündür.

24. Wimogi'den zahistu danikh'e, scho (ihracat) için (h) UC'ye:

24.1. CA, EP doğrulama anahtarının kendinden imzalı sertifikasının girildiğinden emin olmaktan sorumludur.

24.2. Wimogi'den Koshtiv UC sınıfı KS1'e:

CA'ya ulaşabilen ve CA'dan ihraç edilen erişim için değiş tokuş edilen bilgilerin NRS'den çalma yöntemleri kullanılarak korunması için veri aktarımının sağlanmasından CA'nın maliyetleri sorumludur;
- CA'nın ofislerinde, hybny teşekkür beyanının savunma prosedürü uygulanabilir 6;
- zahistu ve nav'yazuvannya khibnykh podomlen prosedüründen önce, CA kitlerinin dağıtımı (modernizasyonu) için TK'ye atanır.

24.3. Wimogi'den Koshtiv UC sınıfı KS2'ye:

EP yeniden doğrulama anahtarının sertifikası için birincil ücreti güvence altına almaktan CA'nın maliyetleri sorumludur;
- CA, CA'nın çalışması için kritik olan bilgileri kabul etmekten sorumluysa, EP tarafından imzalanmaz.

24.4. Wimogi'den Koshtiv UTs sınıfı KS3'e:

CA personeli, AP'nin kazanımlarının elde edilmesi temelinde vergi mükelleflerinin savunma mekanizmasının uygulanmasına sahip olabilir, bu nedenle mezunların savunmalarının EP'nin hibelerine onayını aldılar.

24.5. zabiv UTs sınıfı KB1'e Vymogy:

CA'nın tesisleri, kriptografik bilgi koruma sisteminin geliştirilmesiyle, fiziksel olarak ayrılmış bileşenler arasında veri iletimi için verilerin korunması için bir mekanizma uygulayabilir.

24.6. Vymogi, UT sınıfı KV2 ve KA1 zbіgayutsya z vimogi koshtіv UT sınıfı KB1'i zabіv için.

25. Kayıt öncesi Wimogi:

25.1. UT'ler için temel işletim sistemi, dergi denetim sistemini tamamen değiştirebilir.

25.2. Wimogi'den Koshtiv UC sınıfı KS1'e:

CA personeli, derginin CA'nın işlevlerini yerine getirmesiyle ilgili denetim raporlarının titreşimli kaydını uygulamak için bir mekanizmaya sahip olabilir;
- Kayıtlı alt bölümlerin listesi, CA'nın operasyonel dokümantasyonundan sorumludur.

25.3. Vymogami zaobіv UT sınıfı KS2 zbіgayutsya z vimogami için zaobіv UT sınıfı KS1 için.

25.4. Wimogi'den Koshtiv UTs sınıfı KS3'e:

CA yönetici grubunun üyesi değillerse, CA personelinin üyeleri tarafından denetim günlüğünde yapılan yetkisiz değişiklikleri ortaya çıkarmak için lütfen denetim günlüğüne gelin.

25.5. Vymogi, UT sınıfı КВ1 zbіgayutsya z vіmogi koshtіv UC sınıfı КС3 için zabіv.

25.6. Wimogi'den Koshtiv UC sınıfı KV2'ye:

Denetim günlüğündeki dış görünüm kaydındaki yetkisiz değişiklikleri görmek için lütfen geri gelin.

25.7. zasobiv UC sınıfı KA1'e kadar Vymogi:

Denetim günlüğü yalnızca denetim yöneticisi tarafından kullanılabilir ve yalnızca gözden geçirilebilir, kopyalanabilir ve silinebilir. Yevmiyedeki ilk kaydı temizledikten sonra, işlemin yapıldığı andan itibaren tayin edilen tarih, saat ve kişi hakkındaki bilgilerin temizlenmesinden denetim otomatik olarak sorumludur.

26. Vymogi schodo CA özelliklerinin işleyişinin güvenilirliği ve kararlılığı:

26.1. Suçlular, CA personelinin işleyişinin güvenilirliği ve istikrarı ve CA personelinin geliştirilmesi (modernizasyonu) için TK'nin atanması için atandı.

26.2. Wimogi'den Koshtiv UC sınıfı KS1'e:

AS CA'nın işlevlerinin başarısız olmasına neden olmak için arızaların ve arızaların ortadan kaldırılmasına yönelik soruşturma yürütülmüştür.

26.3. Wimogi'den Koshtiv UC sınıfı KS2'ye:

UC'nin işleyişinin kararlılığını test etmek gerekir.

26.4. Wimogi'den Koshtiv UTs sınıfı KS3'e:

Suçlu buti, bir arızadan sonra UC'nin maliyetini güncellemek için mümkün olan en erken zamanda atanır ve UT'nin maliyetinin dağıtımı (modernizasyonu) için TK'ye atanır;

Gelin ve UC maliyetlerinin kaynaklarını alıntılama mekanizması nedeniyle UC kaynaklarının işleyişinin güvenilirliğini ve istikrarını artırmaya yardımcı olun.

26.5. zabiv UTs sınıfı KB1'e Vymogy:

Imovirnіst izboїv ve AS UT'lerinin işlevlerinin nevikonnannya UT'lerine yol açan arızaları, SKZІ zaferleri için benzer değişkenliği tekrar gözden geçirmekten suçlu değildir.

26.6. Vymogi, UT sınıfı KV2 ve KA1 zbіgayutsya z vimogi koshtіv UT sınıfı KB1'i zabіv için.

27. Anahtar bilgilere kadar güç sağlar:

27.1. Anahtar bilgilerin oluşturulma, seçilme, seçilme ve kısaltılma sırası, CA tarafından verilen EP ve diğer SKZI için operasyonel belgelere bağlı olarak belirlenir.

27.2. EP'nin anahtarı terimi, CA tarafından kazanılan EP'den kaynaklanmaktadır, yetkililer tarafından onaylanabilir, EP'den önce kuracağız.

27.3. Wimogi'den Koshtiv UC sınıfı KS1'e:

Anahtar belgelerinin (EP anahtarları dahil kriptografik anahtarlar) bilgilerinin bir uç (örneğin, bir sabit disk) üzerine, anahtar uçlarında değilse, ileri şifreleme olmadan (SKZI kullanmak mümkün olabileceğinden) kopyalanmasına izin verilmez. işlev). Önemli belgelerin kopyaları yalnızca SKZI muzaffer siciline ilişkin operasyonel belgelerden önce gerekli olabilir;

Anahtar, Vikoristovoye Pidpis Sertifikası için Vikoristovoy Klovyv Perekhvyv Tu Dinle Nonіkaliv Numifіv Klovyv Perekhvyv, Diyki, Bula'nın şarkı anında Termini DII'den (Dali - Anulovye Sertifikaları listesi) çalındı, suçsuz

Tüm anahtarlara ilişkin terimler, operasyonel belgelerde CA koduyla belirtilebilir.

27.4. UC sınıfları KS2 ve CC3'ü edinme yetkileri, KS1 sınıfı CA'ları edinme yeterliliği ile birleştirilir.

27.5. zabiv UTs sınıfı KB1'e Vymogy:

EP anahtarının tehlikeye girmesini önlemek için organizasyonel-teknik-teknik sistem ile iletişim halinde olmak, EP yeniden doğrulama anahtarlarında sertifikaların imzalanması ve uzlaşma durumunda iptal edilen sertifika listelerinde kazanmak için gereklidir. bir kişinin erişebileceği temel bilgiler.

27.6. Wimogi'den Koshtiv UC sınıfı KV2'ye:

EP doğrulama anahtarları ve iptal edilmiş sertifika listeleri için sertifika imzalamada galip gelen EP anahtarı, EP'nin oluşturulması, kaydedilmesi, kazanılması ve sigortalanmasından sorumludur. Federal yasaya göre, AP'nin savunmaları önünde sunulan yasal yetkilerin onayını ortadan kaldırmışlarsa, yalnızca AP'nin sorumluluklarını kazanmalarına izin verilir;
- ES anahtarının güvenliğinin ihlal edilmesini önlemek, ES'nin doğrulanmasının anahtarlarındaki sertifikaların imzalanması ve iptal edilen sertifikaların listeleri için kazanmak için organizasyonel ve teknik ziyaretlerin sorumluluğunu borçluyuz, anahtar bilgileri tehlikeye girdiğinde, mevcut iki kişiye.

27.7. zasobiv UC sınıfı KA1'e kadar Vymogi:

EP anahtarının güvenliğinin ihlal edilmesini önlemek, EP'nin yeniden doğrulama anahtarlarında ve iptal edilen sertifika listelerinde sertifikaların imzalanması için kazanmak için organizasyonel ve teknik olanlar ile temasa geçilmelidir, anahtar bilgilerin tehlikeye girmesi durumunda mevcut üçe.

28. CA maliyetlerini yedeklemek ve güncellemek için:

28.1. Koshti CA, CA tarafından işlenen AS ve (veya) bilgilerin farklı zamanlarında yedek kopyalama ve güncelleme işlevlerinin uygulanmasından sorumludur. Yedekleme işlemi sırasında kriptografik anahtarları kopyalama özelliği devre dışı bırakılabilir.

28.2. Wimogi'den Koshtiv UC sınıfı KS1'e:

Veriler, yedekleme durumunda tasarruf, ancak UC kampındaki dosyaların işleyişinin yenilenmesi için yeterli, kopyalama sırasında düzeltme.

28.3. UC sınıfları KS2 ve CC3'ü edinme yetkileri, KS1 sınıfı CA'ları edinme yeterliliği ile birleştirilir.

28.4. zabiv UTs sınıfı KB1'e Vymogy:

Suçlu ama canlı, verileri kaydetmede yetkisiz değişiklikleri ortaya çıkarmak için gelin;
- atama nedeniyle, mümkün olan en erken zamanda, CA kutularının dağıtımı (modernizasyonu) için TK'ye atanmışlar ve CA kutuları için operasyonel belgelerde.

28.5. Wimogi'den Koshtiv UC sınıfı KV2'ye:

Yedekleme sırasında kaydedilen bilgiler yalnızca şifrelenmiş biçimde saklanmalıdır.

28.6. Vymogi, UT sınıfı KA1 zbіgayutsya z vimogi koshtіv UT sınıfı KV2'yi zasobіv.

29. Vymogi, EP'nin doğrulama anahtarlarının sertifikalarının oluşturulması ve iptal edilmesinden önce:

29.1. EP doğrulama anahtarlarının sertifikalarının oluşturulması ve iptaline ilişkin protokoller, CA'nın operasyonel belgelerinde açıklanabilir.

29.2. Uluslararası tavsiyeler ITU-T X.509 7 (bundan sonra tavsiyeler X.509 olarak anılacaktır) uyarınca EP doğrulama anahtarlarının CA sertifikalarının ve iptal edilen suçluluk sertifikalarının listelerinin oluşturulması. EP temdit anahtarı sertifikasından önce dahil edilecek tüm alanlar ve eklemeler ve X.509 tavsiyesinden önce temdit edilmesi gereken iptal edilmiş sertifikaların listesi. EP'nin yeniden doğrulama anahtarlarında sertifikalar için alternatif biçimlerin seçilmesi durumunda, EP'nin yeniden doğrulama anahtarlarında sertifikaların oluşturulması ve iptali için protokoller ve TK'ye atananlara kadar bunları belirlemek mümkün olabilir. CA'nın dağıtımı (modernizasyonu).

29.3. CA, farklı iptal edilmiş sertifika listelerinden EP yeniden doğrulama anahtarının sertifikasını iptal etmek için protokolü uygulayabilirse.

29.4. İptal edilen sertifikaların listelerini değiştirmek zorunda kalmadan iptal protokollerinin uygulanmasına izin verilir, ancak bunlar CA'nın maliyetlerinin dağıtımı (modernizasyonu) için TK'ye atanabilirler.

29.5. Wimogi'den Koshtiv UC sınıfı KS1'e:

CA'nın tesislerinde, bir kağıt burun üzerinde SP yeniden doğrulama anahtarı sertifikası hazırlama işlevi uygulanabilir. Bir kağıt burun üzerinde ES mutabakat anahtarı sertifikası verme prosedürünün yanı sıra, bir kağıt burun üzerinde elektronik biçimde ES mutabakat anahtarı sertifikasının geçerliliğini izleme prosedürü, operasyonel belgelerde belirtilmelidir. CA'nın maliyetine göre;

CA'nın tesislerinde, EP yeniden doğrulama anahtarının benzersizliğinin yeniden doğrulanması ve EP yeniden doğrulama anahtarının doğrulanması için mekanizmayı uygulamak mümkündür.

29.6. Vymogami zaobіv UT sınıfı KS2 zbіgayutsya z vimogami için zaobіv UT sınıfı KS1 için.

29.7. Wimogi'den Koshtiv UTs sınıfı KS3'e:

EP'nin anahtar yeniden doğrulama sertifikalarında saat değerindeki değişiklik ve iptal edilen sertifika listelerinde 10 dakikanın tekrar ziyaret edilmesinden sorumlu değildir.

29.8. zabiv UTs sınıfı KB1'e Vymogy:

EP'nin anahtar yeniden doğrulama sertifikalarında saat değerindeki değişiklik ve iptal edilen sertifika listelerinde 5 dakikanın tekrar ziyaret edilmesinden sorumlu değildir.

29.9. Vymogi, UT sınıfı KV2 ve KA1 zbіgayutsya z vimogi koshtіv UT sınıfı KB 1'i zabіv için.

30. EP yeniden doğrulama anahtarının sertifika yapısına ve geçersiz kılınan sertifikaların listesine yardımcı olun:

30.1. Wimogi'den Koshtiv UC sınıfı KS1'e:

EP yeniden doğrulama anahtarı sertifikasının izin verilen yapısı ve iptal edilen sertifikaların listesi, CA'nın masrafları için operasyonel belgelerde geri ödenebilir;
- CA, EP'nin yeniden doğrulama anahtarlarında sertifika oluşturmanın geçerliliğini ve görev yapısındaki sertifikaların iptal listelerini izleme mekanizmasının uygulanmasından sorumludur;
- EP yeniden doğrulama anahtarı sertifikasının yapısında, CA'nın hizmetlerinin sınıfı hakkındaki bilgileri kontrol etmek için aktarılan bir alan vardır, ES yeniden doğrulama anahtarının doğru sertifikası, arka plandan oluşturulmuştur. EP yeniden doğrulama anahtarının doğru sertifikası oluşturuldu, ES yeniden doğrulama anahtarı sertifikasının EP sınıfı hakkındaki bilgileri temizleyecek alan.

30.2. UC sınıfları KS2 ve CC3'ü edinme yetkileri, KS1 sınıfı CA'ları edinme yeterliliği ile birleştirilir.

30.3. zasobiv UTs sınıfı KV1'e Vymogy:

CA'lar, sistem yöneticisinin EP yeniden doğrulama anahtarının sertifikasına ve iptal edilen sertifikalar listesine bir dizi geçerli ekleme ayarlaması için bir mekanizma uygulayabilir.

30.4. Vymogi, UT sınıfı KV2 ve KA1 zbіgayutsya z vimogi koshtіv UT sınıfı KB1'i zabіv için.

31. EP'nin doğrulanması ve yenisine erişim güvenliği anahtarlarının sertifikalarının kaydına yardımcı olun:

31.1. Wimogi'den Koshtiv UC sınıfı KS1'e:

CA'nın tesislerinde, EP temdit anahtarlarının oluşturulan tüm sertifikalarını ve kayıt defterindeki sertifikaların iptal listelerini ve ayrıca kayıt defterine erişimi korumak ve araştırmak için bir mekanizma uygulamak mümkündür.

31.2. Vymogami zaobіv UT sınıfı KS2 zbіgayutsya z vimogami için zaobіv UT sınıfı KS1 için.

31.3. Wimogi'den Koshtiv UTs sınıfı KS3'e:

CA, EP temdit anahtarlarının sertifikalarını ve çeşitli nitelikler için EP temdit anahtarlarının sertifika kayıtlarından iptal edilen sertifikaların listesini aramaya yönelik mekanizmanın uygulanmasından sorumludur;
- EP'nin yeniden doğrulama anahtarlarının sertifika kaydındaki tüm değişikliklerin denetim günlüğüne kaydedilmesi gerekir.

31.4. UT sınıfı KB1, KV2 ve KA1 zbіgayutsya z vimogi koshtіv UC sınıfı KS3'e kadar Vymogi.
32. EP'nin yeniden doğrulanmasından önce, EP'nin yeniden doğrulanmasının anahtarının sertifikası:

32.1. CA kartının operasyonel belgelerinde elektronik atama değişimine katılan bir katılımcının talebi üzerine EP'nin yeniden doğrulama anahtarının sertifikasının imzasının yeniden doğrulanması mekanizması suçlamaktır.

32.2. CA, kendisi tarafından görülen UR doğrulama anahtarlarının sertifikalarında UR SP'nin yeniden doğrulama mekanizmasının uygulanmasından sorumludur.

32.3. ES yeniden doğrulama anahtarı sertifikasında ES yeniden doğrulaması, tüm kritik eklentilerin bağlayıcı yeniden doğrulaması dahil olmak üzere X.509 önerilerine tabidir.

32.4. Ancak, CA tesislerinin işleyişinin özelliklerine bağlı olarak, EP mutabakat anahtarı sertifikası için alternatif formatlar, ardından EP mutabakat anahtarı sertifikasının imzalanmasının yeniden doğrulama mekanizması ve TZ'nin CA'nın tesislerinin dağıtımı (modernizasyonu) suçludur.

33. CA güvenliğine yönelik saldırı kanallarını teşvik etme fırsatlarını değiş tokuş etmek için, aracı ekran koruması ile iletişim kurmak kanalların sorumluluğundadır.

34. Suçlular, CA'nın bilgisayar virüslerine ve bilgisayar saldırılarına karşı korunmasına yardımcı olmak üzere görevlendirildi ve CA kitlerinin dağıtımı (modernizasyonu) için TK'ye atandı.

35. CA, bilgi ve telekomünikasyon tesislerine bağlıysa, ağa erişim ana osib sayısı ile sınırlı değildir, CA sınıfı KV2 chi KA1'i desteklemek için CA'nın atanması gerekli olabilir.

36. UC'nin kayıplarının geçerliliğini doğrulamak için UC'nin sonuçlarının değerlendirilmesi, geliştirilmekte olan Rusya Federal Güvenlik Servisi, parametrelerin sayısal değerleri ve savunmanın özellikleri ile gerçekleştirilir. UC prosedürlerinde uygulanan mekanizmalar 8 .

1 Rusya Adalet Bakanlığı tarafından 3 Şubat 2005 tarihinde tescil, tescil No. 6382.
2 Rusya Adalet Bakanlığı tarafından 25 Mayıs 2010 tarihinde tescil, kayıt No. 17350.
3 Baş olmayan salgınlar sınıfı (modernizasyonlar), yerlinin çıkarılmasının omurgası (bir dış çubuk) tarafından kanatlandırılıyor, konjugasyonun sağlığının derinliğinin, saldırıların yakalanmasının, ekinin UTs kutularının dağıtımından (modernizasyonu) (ayrıca - UTs kutularının dağıtımı (modernizasyonu) için T3'ten) yapılan ön yapım çalışmalarının taktik-teknik ısıtıcı tasarım çalışması veya depolama bölümünde 9-14 cinsin temeli.
4 Yazılım ortamı, sanki daha az sabit bir dizi konuya (programlar, süreçler) izin veriyormuş gibi.
5 UC yöneticileri grubunun üyesi olan ve ihlalde bulunmayan kişiler.
6 Nav'yazuvannya hibnogo podomlennya є dієyu, elektronik etkileşimin katılımcıları tarafından veya CA aracılığıyla kabul edilir, bir şekilde doğru bildirimin devri olarak NSD türünü koruyacağız.
7 ITU-T Tavsiyesi X.509. Teknoloji bilgileri - Açık sistemler ara bağlantısı - Dizin: Açık anahtar ve öznitelik sertifikası çerçeveleri. 2008. http://www.itu.int/rec/T-REC-X.509-200811-i.
8 Rusya Federasyonu Devlet Başkanının 11 Nisan 2003 tarihli Kararnamesi ile onaylanan Rusya Federasyonu Federal Güvenlik Servisi Yönetmeliğinin 9. paragrafının 47. Fıkrası No. 960 (Ukrayna Mevzuatı Koleksiyonu, 2003, No. 33, Madde 3254; 2004, No. 28, Madde 2883; 2005, No. 36, Madde 3665, No. 49, Madde 5200; 2006, 25, Madde 2699; 49, 6133, 53, 6554, 2008, 36, 4087, 43, 4921, 47, 2435, 2011, 2 , madde 267; No. 9, madde 1222).

tarayıcılar