Aloqa liniyalari orqali uzatiladigan ma'lumotlarning universal himoyasini ta'minlash uchun axborotni kriptografik himoyalash yoki qisqartirilgan SKZI. Buning uchun elektron imzoni avtorizatsiya qilish va himoya qilish, tanlangan TLS va IPSec protokollari bilan qabul qilingan tomonlarni autentifikatsiya qilish, shuningdek, agar kerak bo'lsa, kanalning o'zini himoya qilish kerak.

Rossiyada dunyoni himoya qilish uchun kriptografik xavfsizlik sirlari tasniflanadi, shuning uchun ular uchun juda kam ma'lumot mavjud.

SKZIda qolib ketish usullari

• Ma'lumotlarning avtorizatsiyasi va ularni uzatish va saqlash vaqtida qonuniy ahamiyatga ega bo'lgan xavfsizligini ta'minlash. Elektron imzo yaratish va yogoni qayta tekshirish algoritmlarini zastosovuyut uchun belgilangan RFC 4357 qoidalariga va X.509 standarti uchun sertifikat oqlashga qadar.
• Ma'lumotlarning maxfiyligini himoya qilish va ularning yaxlitligini nazorat qilish. Vikoristovuetsya asimmetrik shifrlash, deb imitozakhist, tobto protidiya pídmini danih. Dorimuetsya GOST R 34.12-2015.
• Tizimli va amaliy dasturiy ta'minot. Ruxsatsiz o'zgarishlarga va noto'g'ri ishlashga javob berish.
• Tizimning eng muhim elementlarini qabul qilingan me'yoriy hujjatlarga muvofiqligini boshqarish.
• O'zaro almashilgan ma'lumotlar sifatida tomonlarning autentifikatsiyasi.
• Yordam protokoli TLS uchun Zahist z'ednannya.
• IKE, ESP, AH qo'shimcha protokollari uchun IP-s'ednan himoyasi.

Usullar quyidagi hujjatlarda batafsil tavsiflangan: RFC 4357, RFC 4490, RFC 4491.

Axborotni himoya qilish uchun SKZI mexanizmlari

1. Maxfiylik muhofazasi saqlanadi yoki uzatiladigan ma'lumotlar qo'shimcha shifrlash algoritmlariga bo'ysunadi.
2. O'rnatish vaqtida identifikatsiya qo'ng'irog'i autentifikatsiya soati soatida elektron imzo yordamida ta'minlanadi (X.509 tavsiyasi uchun).
3. Raqamli hujjatlarni qayta ishlash, shuningdek, elektron imzolar tomonidan to'liq hajmda yuklash yoki takrorlashdan himoyalangan bo'lib, ular yordamida kalitlarning ishonchliligini nazorat qilish amalga oshiriladi, go'yo ular elektron imzolarni qayta tekshirishda g'alaba qozonadi.
4. Ma'lumotlarning yaxlitligi elektron raqamli imzo bilan ta'minlanadi.
5. Assimetrik shifrlash funksiyalaridan foydalanish ma'lumotlarni shifrlash imkonini beradi. Albatta, ma'lumotlarning yaxlitligini tekshirish uchun xeshlash funktsiyalari yoki taqlid algoritmlaridan foydalanish mumkin. Biroq, bu usullar hujjatning muallifligini ta'kidlamaydi.
6. Takrorlash ko'rinishidagi himoya elektron imzoning kriptografik funktsiyalari tomonidan shifrlash yoki taqlid qilish uchun ishlatiladi. Shu bilan birga, teri seansiga noyob identifikator qo'shiladi, unga uzoq vaqt beriladi, shuning uchun uni o'chirish mumkin va qayta tekshirish qabul qiluvchi tomon tomonidan amalga oshiriladi.
7. Aloqa turini himoya qilish, ya'ni havolalarning yon tomondan kirib borishi elektron imzo bilan ta'minlanadi.
8. Ikkinchi himoyachi - xatcho'plar, viruslar, operatsion tizimni o'zgartirish, so'ngra - turli kriptografik vositalar, xavfsizlik protokollari, antivirus dasturlari va tashkiliy tashriflar yordamiga g'amxo'rlik qiladi.

Esingizda bo'lsa, elektron imzo algoritmlari axborotni kriptografik himoya qilishning asosiy qismidir. Xushbo'y hid quyida ko'rinadi.

Vimogi

SKZI global g'alabalarning turli xil axborot tizimlarida ma'lumotlarni himoya qilish (elektron imzoni tekshirish) va ularning maxfiyligini (elektron imzoni tekshirish, imitatsiya, shifrlash, korporativ xedjlashni tekshirish) himoya qilishga qaratilgan.

Shaxsiy ma'lumotlarni koristuvach himoya qilish uchun shaxsiy zasíb kriptografik himoya g'olib. Ayniqsa, suveren sirga arziydigan ma'lumotlarni ko'rish uchun sledni himoya qiling. SKZI qonuniga ko'ra, u bilan ishlash uchun vikoristano buti mumkin.

Muhim: SKZI-ni o'rnatishdan oldin biz SKZI xavfsizlik paketining o'zini ko'rib chiqishimiz kerak. Birinchi pirog. Qoida tariqasida, o'rnatish paketining yaxlitligi nazorat summalarini, tanlovchining qiymatlarini tekshirish orqali tekshiriladi.

O'rnatishdan so'ng, keyingi bosqich tahdid darajasi bilan belgilanadi, unga qarab SKZD turini o'rnatish uchun zarur bo'lgan narsalarni aniqlash mumkin: dasturiy ta'minot, apparat va apparat va dasturiy ta'minot. Shuningdek, joriy SKZIni tashkil etishda tarqatish tizimini ta'minlash zarurligini ta'minlash kerak.

Loy zahistu

Rossiya Federal Xavfsizlik Xizmatining 07.10.14 yildagi 378-sonli buyrug'i bilan ma'lumot va shaxsiy ma'lumotlarni himoya qilish bo'yicha kriptografik xizmatlarni himoya qilishni tartibga soluvchi buyrug'iga qadar oltita sinf ajratilgan: KS1, KS2, KS3, KB1, KB2, KA1. Ushbu tizimning mudofaa klassi yovuz tizimning mumkin bo'lgan yo'llarini baholash mumkin bo'lishi uchun qiruvchi modeli haqidagi ma'lumotlarni tahlil qilish orqali aniqlanadi. Himoya axborotni kriptografik himoya qilish uchun dasturiy va apparat vositalariga asoslanadi.

AU (haqiqiy tahdidlar), jadvallardan ko'rinib turibdiki, 3 tur mavjud:

1. Axborot tizimida g'olib bo'lgan tizim dasturiy ta'minotining hujjatsiz imkoniyatlarini po'yazanining birinchi turiga tahdid.
2. Axborot tizimida g'olib bo'lgan amaliy dasturiy ta'minotning hujjatsiz imkoniyatlari bilan boshqa turdagi ilovalarga tahdid soling.
3. Uchinchi turdagi tahdid Reshta deb ataladi.

Hujjatsiz qobiliyat - rasmiy hujjatlarda tavsiflanmagan yoki uni qo'llab-quvvatlamaydigan dasturiy ta'minot xavfsizligining funktsiyalari va kuchi. Shuning uchun ularning tanlovi ma'lumotlarning maxfiyligi va yaxlitligini buzish xavfini oshirishi mumkin.

Aniqlik uchun, keling, qo'poruvchilarning modellarini ko'rib chiqaylik, ularni ag'darish uchun yana bir kriptografik himoya klassi kerak:

• KS1 - qo'ng'iroqlar uchun yong'in detektori, tizimning o'rtasida yordamchilarsiz.
• KS2 ichki to'xtatuvchidir, lekin SKZDga kira olmaydi.
• KS3 - ichki to'xtatuvchidir, bu koristuvachy SKZD.
• KV1 - uchinchi tomon resurslarini qo'shadigan qiruvchi, masalan, SKZI dan fakhivtsiv.
• KV2 - bu halokat bo'lib, uning faoliyati orqasida plantatsiya va SKZD rivojlanishining koridorida ishlaydigan institut yoki laboratoriya mavjud.
• KA1 - vakolatlarning maxsus xizmatlari.

Bu daraja bilan KS1ni zahistuning asosiy sinfi deb atash mumkin. Tashqi ko'rinishiga ko'ra, ko'proq sinf himoyachilari, keyin kamroq fahivtsiv, xavfsiz bo'lishi yogis qurish. Masalan, Rossiyada 2013 yilgi o'lpon uchun KA1 sinfining mudofaasini ta'minlash uchun FSB va binolardan sertifikat olishi mumkin bo'lgan atigi 6 ta tashkilot mavjud edi.

Wikoristan algoritmlari

Keling, ma'lumotni kriptografik himoya qilishda g'alaba qozongan asosiy algoritmlarni ko'rib chiqaylik:

• GOST R 34.10-2001 va yangilanishlar GOST R 34.10-2012 - Elektron imzoni yaratish va qayta tekshirish algoritmlari.
• GOST R 34.11-94 va GOST R 34.11-2012 qolganlari - algoritmlarni mos keladigan hash funktsiyasi.
• GOST 28147-89 va yangi GOST R 34.12-2015 - ma'lumotlarni shifrlash va taqlid qilish algoritmlarini amalga oshirish.
• Qo'shilgan kriptografik algoritmlar RFC 4357 uchun tekshiriladi.

Elektron imzo

Ko'proq mashhurlikka erishish uchun elektron imzo algoritmlaridan foydalanmasdan axborotni kriptografik himoya qilishning ahamiyatini ochib bo'lmaydi.

Elektron imzo hujjatning kriptografik transformatsiyalar natijasida yaratilgan maxsus qismidir. Їí̱̈ asosiy vazifalar ê ruxsatsiz o'zgartirish va mualliflik huquqini berishni ochib beradi.

Elektron imzo sertifikati kalit uchun josusingizga elektron imzoning haqiqiyligi va haqiqiyligini bildiradigan muhim hujjatdir. Sertifikatning berilishi sertifikatlangan markazlar tomonidan belgilanadi.

Elektron imzo sertifikatining egasi sertifikat ro'yxatdan o'tgan shaxs hisoblanadi. Vín pov'yazany íz ikkita kalit: vydkritim va yopish. Yopish kaliti elektron imzo yaratish imkonini beradi. Shaxsiy kalit bilan kriptografik havola imzosining haqiqiyligini tekshirish uchun tasdiqlash kaliti.

Elektron imzoga qarang

63-sonli Federal qonunga binoan elektron imzo 3 turga bo'linadi:

• oddiy elektron imzo;
• malakali bo'lmagan elektron imzo;
• malakaviy elektron imzo.

Bu shunchaki RaI parollar hisobi uchun yaratilgan, vídkrittya ustiga qo'yilgan va ma'lumotlarni qayta ko'rib chiqish yoki shunga o'xshash imtiyozlar vlasnikni tasdiqlashga o'xshaydi.

Maxfiy kalit yordamida kriptografik transformatsiyalar yordamida malakasiz SP yaratiladi. Zavdyaki, siz hujjatni imzolagan shaxsni tasdiqlashingiz va ushbu ma'lumotlardan oldin ruxsatsiz o'zgartirishlar kiritilganligini aniqlashingiz mumkin.

Malakali va malakasiz imzolar faqat birinchi bosqichda EP uchun sertifikat FSB tomonidan tasdiqlash markazi tomonidan tasdiqlanishi mumkin bo'lganlar tomonidan ko'rib chiqiladi.

Elektron imzo haqida ma'lumot beruvchi hudud

Quyidagi jadvalda EPning turg'unlik sohalari ko'rib chiqiladi.

Hujjatlar almashinuvida RaIning eng faol texnologiyalaridan foydalanilmoqda. Ichki hujjatli jarayonda EP hujjatlarni tasdiqlash vazifasini bajaradi, shuning uchun maxsus imzo chi druk sifatida. Zamonaviy hujjatli film vaqtida RaIning mavjudligi juda muhim va dalillar qonuniy tasdiqdir. Varto, shuningdek, hujjatlar, imzolangan RaIlar, binolar cheksiz uzoq vaqt davomida saqlanib qolishi va imzolar, qog'ozlarning ziplari va boshqalar kabi omillar orqali ularning huquqiy ahamiyatini yo'qotmasligini anglatadi.

nazorat organlari oldida Zvytníst - tse yana bir maydoni, yog'sizlantirish elektron hujjat ishlash. Ko'pgina korxona va tashkilotlar ushbu formatdagi ish samaradorligini allaqachon qadrlashdi.

Rossiya Federatsiyasi qonunchiligiga ko'ra, teri fuqarosi g'alaba qozongan davlat xizmatlari (masalan, hokimiyat uchun elektron ariza imzolash) bilan EP sifatida xizmat qilish huquqiga ega bo'lishi mumkin.

Onlayn savdolar elektron imzo faol targ'ib qilinayotgan yana bir sohadir. Vonning ta'kidlashicha, kim oshdi savdosida haqiqiy odamning taqdiri olinadi, bu takliflarni haqiqiy deb hisoblash mumkin. RaI yordami uchun shartnoma mavjud bo'lsa, yuridik kuchga ega bo'lganlar juda muhimdir.

Elektron imzo algoritmlari

• To'liq domen xash (FDH) va ochiq kalit kriptografiya standartlari (PKCS). Turli vaziyatlar uchun standart algoritmlarning butun guruhini saqlang.
• DSA va ECDSA AQShning elektron imzo standartlaridir.
• GOST R 34.10-2012 Rossiya Federatsiyasi uchun EP standartidir. GOST R 34.10-2001 o'rnini bosgan ushbu standart 2017 yil 31 dekabrdan keyin rasman qabul qilingan.
• Yevroosiyo Ittifoqi Rossiyadagi kabi standartlarga asoslanadi.
• STB 34.101.45-2013 raqamli elektron imzo uchun Belarus standartidir.
• DSTU 4145-2002 - Ukrainada elektron imzo yaratish standarti va boshqalar.

Varto shuningdek, SPni yaratish algoritmlari ushbu raqamni tan olishda farq qilishi mumkinligini anglatadi:

• Guruh elektron imzosi.
• Bir martalik raqamli imzo.
• EP tasdiqlangan.
• Imzolangan va kirgan malakali va malakasizlar.

KS2 va KS1 himoya sinflaridagi ma'lumotlarni kriptografik himoya qilish xavfsizligi, shubhasiz, Rossiya FSB tomonidan hujumlarning haqiqiy imkoniyatlari va hujumlarga qarshi kurashda qo'llaniladigan usullar bilan nazorat qilinadi.

1. Gerel hujumlarining haqiqiy ehtimoli

Gerel hujumlarining haqiqiy imkoniyatlari uchun KS1 klassidagi axborotni kriptografik himoya qilishni (SKZI) o'rnating va hujumlar usullarini yaratishni mustaqil ravishda nazorat qiling, hujumlarni tayyorlash va o'tkazish faqat nazorat qilinadigan zona chegaralaridan tashqarida.

1. hujum usullarini yaratish, hujumlarni faqat nazorat qilinadigan zona chegaralaridan tashqarida tayyorlash va o'tkazishni mustaqil ravishda ishlab chiqish;
2. SKZI ning har qanday amalga oshirilishiga va ularning ishlash o'rtalariga (SF) hujum usullarini yaratish, nazorat qilinadigan zona chegaralarida, hatto apparat vositalariga jismoniy kirish imkoni bo'lmagan holda hujumlarni tayyorlash va o'tkazishni mustaqil ravishda boshqarish.

Shunday qilib, SKZI klassi KS2 KS1 da gerel hujumlarining haqiqiy imkoniyatini zararsizlantirish, hujum usullarini yaratishni mustaqil boshqarish, nazorat qilinadigan zona chegaralarida hujumlarni tayyorlash va o'tkazish, lekin apparat vositalariga jismoniy kirish imkoniyatisiz ko'rib chiqiladi. , ular bo'yicha SKZFlar amalga oshiriladi.

2. Vikonannya SKZI sinf mudofaasi KS3, KS2 va KS1 variantlari.

KS1 xavfsizlik sinfini himoya qiluvchi asosiy SKZI xavfsizlik dasturiga asoslangan 1-variant.

SKZI klassi KS2 uchun 2-variant, u ishonchli sotib olishning sertifikatlangan apparat-dasturiy moduli (APMDZ) bilan bir qatorda SKZI KS1 tayanch sinfidan iborat.

3-variant, SKZI klassi KS3 uchun, u yopiq dasturiy muhitni yaratish va boshqarish uchun maxsus dasturiy ta'minot bilan birga SKZI KS2 sinfidan iborat.

Shu tarzda, SKZI klassi KS2 uchun dasturiy ta'minot xavfsizligi faqat APMDZ tomonidan sertifikatlangan SKZI KS1 sinfiga yangilangandan so'ng KS1 ga yangilanadi. Vídminnosti SKZI sinf KS3 víd klasu KS1 - APMDZ sertifikati va yopiq dasturiy muhitni yaratish va boshqarish uchun maxsus dasturiy ta'minot bilan birgalikda tse vikoristannya SKZI sinf KS1. I shuningdek vídminníst SKZí sinf KS3 víd klass KS2 - tse vikoristannya SKZí sinf KS2 yopiq dasturiy ta'minot muhitini yaratish va boshqarish uchun maxsus dasturiy ta'minot bilan birgalikda.

Dasturiy ta'minot ViPNet SysLocker (28.03.2016 yildagi 1.0) - bu yopiq dasturiy muhitni yaratish va boshqarish uchun maxsus dastur.

3. Hujumlarga qarshi kiring

SKZI klassi KS2 hujumlarga qarshi turishda to'xtashi shart emas, go'yo u SKZI KS1 klassining ishlashi paytida viskozlik uchun yopishqoq bo'lgandek, lekin o'zi:

1. joyga kirish huquqiga ega bo'lishi mumkin bo'lgan osibni o'tkazishni tasdiqladi;
2. yashash joyiga kirish huquqiga ega bo'lishi, SKZIni ro'yxatdan o'tkazish huquqiga ega bo'lishi mumkin bo'lgan osibni o'tkazish tasdiqlangan;
3. yashash joyiga kirish, SKZI hisobdan chiqarish, ish va ishlamaydigan vaqtlar, shuningdek, ishlamaydigan holatlar bo‘yicha qoidalar tasdiqlandi;
4. nazorat qilinadigan hududga va belgilangan joyga kirish, shaxsiy ma'lumotlarning axborot tizimi (ISPD) va (yoki) SKZI resurslaridan mahrum qilish, kirishni boshqarish rejimiga qadar himoya qiladi;
5. jismoniy haqida ma'lumot, ob'ektlarni himoya qilish uchun borish, ISPD ba'zi joylarda, amaliyotchilar obezzhenny ulushi mavjud;
6. SKZI uchun hujjatlar SKZI uchun mansabdor shaxsdan metall seyfdan (shafí) olinadi;
7. Eshiklarning doimiy yopilishini ta'minlaydigan kirish eshiklari va qulflar bilan jihozlangan SKZI, SKZI va SF komponentlari uchun hujjatlar berilgan ariza.
8. SKZI binolarida (bekatlarida) bir soatlik ish uchun texnik, xizmat ko'rsatish va boshqa qo'shimcha xizmatlar vakillari va SKZIning yaki ê koristuvachlari bo'lmagan amaliyotchilar ushbu joylarda ishchilar ishtirokida kamroq qayta sotib olishadi. operatsiyadan;
9. spívrobítniki, ê ê koristuvachami ISPDN, lekin ê koristuvachami SKZí emas, ISPDN-da ishlash qoidalari haqida ma'lumot va axborot xavfsizligi xavfsizligi qoidalarini kam baholagani uchun vidpovidalníst;
10. koristuvachi SKZI ISPDn da ishlash qoidalari, SKZI dan ishlash qoidalari va axborot xavfsizligini ta'minlash qoidalariga rioya qilinmasligi haqida ma'lumot berdi;
11. zdijsnyuêtsya ro'yxatga olish va shaxsiy ma'lumotlar bilan diy koristuvachiv ko'rinishi;
12. zdíysnyuêtsya nazorat tílísnosti zasobív zakhistu.

Axborot xavfsizligini ta'minlash maqsadida axborot tizimlarini loyihalashda axborot xavfsizligini blokirovka qilishni tavsiflovchi belgilar ko'rsatiladi. Hid axborot xavfsizligi bo'limi, zocrema - FSTEC va Rossiya FSBda tartibga soluvchi turli xil aktlar bilan tayinlangan. Bunday himoya sinfi buvayut bo'lib, siz himoyani ko'rasiz, shuningdek, hisobotning tan olinishi haqida maqolada ko'rsatilgan.

Kirish

Bugungi kunda axborot xavfsizligining ozuqaviy xavfsizligi katta hurmat mavzusi bo'lib, axborot xavfsizligini ta'minlamasdan hamma joyda joriy etilayotgan texnologiya parchalari yangi jiddiy muammolarning o'zagiga aylanmoqda.

Rossiya FSB vaziyatning jiddiyligi haqida xabar beradi: butun dunyo bo'ylab bir necha yil davomida yovuz odamlar tomonidan berilgan zbitkiv summasi 300 milliard dollardan 1 trillion dollarga oshgan. Rossiya Federatsiyasi Bosh prokurori tomonidan taqdim etilgan ma'lumotlar uchun faqat 2017 yil aprel oyining birinchi yarmi uchun. Rossiyada yuqori texnologiyalar sohasidagi yovuzliklar soni olti barobar oshdi, zbitkivning umumiy miqdori 18 million dollardan oshdi. butun dunyoda belgilangan. Zokrema, Rossiyada 2016 yilgacha hujumlar sonining ortishi klave 22%.

Axborot texnologiyalari harbiy-siyosiy, terroristik maqsadlarda, suveren kuchlarning ichki organlarini joriy qilish uchun, shuningdek, boshqa yovuzliklarni yo'q qilish uchun zbroya sifatida zastosovuvatysya aylandi. Rossiya xalqaro axborot xavfsizligi tizimini yaratish tarafdori.

Ukraina hududida axborot organlari va axborot tizimlari operatorlari ma'lumotlarga ruxsatsiz kirishni blokirovka qilish, shuningdek, doimiy ravishda IT infratuzilmasi himoyasini nazorat qilish. Axborotning har qanday himoyasi bo'lsa, u turli xil tashriflar, shu jumladan texnik tashriflar uchun yashash joylari uchun xavfsizdir.

Axborotni muhofaza qilish haqida g'amxo'rlik qiling yoki SZI axborot tizimlarida axborotni himoya qilishni ta'minlang, bu, aslida, axborotning ma'lumotlar bazalarini tejash, axborotni qayta ishlashni ta'minlaydigan axborot texnologiyalari va texnik.

Hozirgi zamon axborot tizimlari uchun turli apparat-dasturiy platformalardan foydalanish, komponentlarning hududiy taqsimlanishi, shuningdek, ma’lumotlarni uzatishning turli vositalari bilan o‘zaro bog‘liqlik xosdir.

Bunday aqllar uchun ma'lumotni qanday himoya qilish kerak? Vídpovídny vimogi pred'yavlyayut upovnovazheny organ, zokrema, FSTEK va Rossiya FSB. Maqola doirasida biz regulyatorlarning ahamiyatini yaxshilash bilan SZI tasnifining asosiy yondashuvlarini tasavvur qilishimiz mumkin. Rossiya organlarining me'yoriy hujjatlarida qo'llaniladigan SZI tasnifini tavsiflashning boshqa usullari va xorijiy tashkilotlar va agentliklarni nomlash nizomlar va nadallar doirasidan tashqariga chiqmaydi.

Maqola Rossiya FSTEC (muhim) va qisqacha, Rossiya FSB asosida SZI tasniflash usullari haqida dzherelo tuzilgan ma'lumot sifatida umumiy jamoat axborot xavfsizligi uchun tegishli bo'lishi mumkin.

Tuzilishi, asl yo'li va kriptografik bo'lmagan usullarning xavfsizligini muvofiqlashtirish ÍB, ê Rossiya FSTEC (ilgari - Rossiya Federatsiyasi Prezidenti, Derzhtekhkomísiya davlat texnik komissiyasi).

Chitachev sifatida "RD SVT sinfi", "daryo" kabi iboralarni tan olishning tavsif qismiga aqldan ozgan holda Rossiya FSTEC shakli bo'lgan Axborotni himoya qilish sertifikatlarining suveren reestrini bachiti qilish mumkin edi. NDV" va boshqalar. (1-rasm).

Shakl 1. C3I sertifikatlash reestrining fragmenti

Kriptografik himoya vositalarining tasnifi

Rossiya FSB quyidagi kriptografik SZI sinflarini belgiladi: KS1, KS2, KS3, KV va KA.

KS1 SZI sinfining asosiy xususiyatlariga ko'ra, o'zaro boshqariladigan zonaning orqasidan amalga oshiriladigan hujumlarga qarshi turish mumkin. Siz qochishga harakat qilganingizda, hujum usullarini yaratish, ularni tayyorlash va o'tkazish galuzidagi soxtakorlarning ishtirokisiz va kriptografik SZI tahlilisiz amalga oshiriladi. Ma'lum qilinishicha, SZI belgisi joylashtirilgan tizim haqidagi ma'lumot kiritilgan ma'lumotlardan olinishi mumkin.

Kriptografik SZI sifatida u KS1 sinfini bloklaydigan hujumlarga bardosh bera oladi, shuningdek, nazorat qilinadigan zona chegaralarida amalga oshiriladi, shuning uchun SZI KS2 sinfiga o'xshaydi. Agar shunday bo'lsa, masalan, hujumni tayyorlash paytida axborot tizimlarini himoya qilish, nazorat qilinadigan zona xavfsizligi va boshqalarga jismoniy kirish to'g'risidagi ma'lumotlar paydo bo'lishi mumkin.

Shu bilan birga, KS3 sinfi uchun bunday vositalarning haqiqiyligi haqida gapirish uchun o'rnatilgan kriptografik SZI bilan sanab o'tish texnikasi vositalariga jismoniy kirishning aniqligi uchun hujumlarga qarshi turish mumkin.

Kriptografik hujumlarga dosh berish uchun, ular yaratilganda, ular tadqiqot va natijalarning ahamiyatini, shu jumladan ilmiy-yangi markazlar sonini, himoyaning laboratoriya tekshiruvlarini o'tkazish imkoniyatini tahlil qilish sohasida faxivtsi qismini oldilar. , keyin KV sinfiga o'ting.

Hujum usullarini ishlab chiqishdan oldin ham NDV tizimining dasturiy ta'minoti galereyasida faksimillar topilgan, turli xil dizayn hujjatlari va kriptografik SZI ning har qanday apparat komponentlariga kirish imkoniyati mavjud edi, bunday hujumlar KA sinfining xavfsizligini himoya qilishi mumkin.

Zabív zahistu elektron imzoning tasnifi

Hujumlarga qarshi turish uchun binolar nuqtai nazaridan noto'g'ri elektron imzo imzolari KS1, KS2, KS3, KB1, KB2 va KA1 sinflari uchun qabul qilinadi. Tsya klassifikatsiyasi boshqa kriptografik SZI tekshirilganlarga o'xshaydi.

Visnovki

Maqolada Rossiyada SZIni tasniflashning ba'zi usullari ko'rib chiqildi, buning asosi mudofaa sohasidagi tartibga soluvchilarning me'yoriy bazasi bo'lishi kerak. Tasniflash va tanlash variantlari ko'rib chiqildi. Shuni ta'kidlash kerakki, ushbu ma'lumotlar IB xavfsizlik xonasida boshoqni yaxshiroq yo'naltirishga imkon berish uchun taqdim etilgan.

FSB Wimogs boy fahivtsiv uchun sir hisoblanadi. Nima uchun shunday vydbuvaetsya?

• Operatorlar tomonidan Neobov'yazkove zastosuvannya zasobív shifrlash.
• Kompozit rozuminnya normativ bazasi.
• Vídsutníst regulyatorning dokumentív íz tomoniga roz'yasnen.
• viklikatim dodatkoví vikoristanny kriptografiya yilda qayta tekshirish operatorlari qo'rquv.

Але, незважаючи на всі труднощі, без криптографічного захисту не обійтися при передачі персональних даних незахищеним каналом зв'язку, сюди входить, наприклад, віддалена робота співробітників з базою даних клієнтів, обмін інформацією між філією та головним офісом, передача особистої інформації працівників третім особам. Boshqa birov uchun shunga o'xshash vazifalar teri tashkilotida amalda mavjud.

Keling, birinchi oziq-ovqatning me'yoriy bazasini ko'rib chiqaylik. Rossiya Federatsiyasida shaxsiy ma'lumotlarni kriptografik himoya qilish bo'yicha uchta asosiy hujjatni ko'rishingiz mumkin:

1. Ukraina FSBning 8-markazi tomonidan 21.02.2008 yil 149-son bilan tasdiqlangan axborot tizimlarida eng yaxshi avtomatlashtirish yordami bilan shaxsiy ma'lumotlarni qayta ishlash jarayonida shaxsiy ma'lumotlar xavfsizligi uchun qo'shimcha kriptografik xavfsizlikni ta'minlash bo'yicha uslubiy tavsiyalar.
2. Типові вимоги щодо організації та забезпечення функціонування шифрувальних (криптографічних) засобів, призначених для захисту інформації, що не містить відомостей, що становлять державну таємницю, у разі їх використання для забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних«, затверджені керівництвом 8 Rossiya FSB markaziga 21.02.2008 № 149/6/6-622 - Hujjat rasman nashr etilmagan.
3. FSBning 2014 yil 10 apreldagi 378-son buyrug'i «Про затвердження складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних з використанням засобів криптографічного захисту інформації, необхідних для виконання встановлених Урядом Російської Федерації вимог до захисту персональних даних кожного з рівнів захищеності». 2014 yil 18 aprelda Rossiya Adliya vazirligida ro'yxatdan o'tgan.

Hujjat ko'proq FSTECning "eski" hujjatlari (to'rtinchi kitob, 58 Nakazu, 781 Farmon) uchun qabul qilingan va ularni to'ldirilgan. Varto, ko'rib chiqilayotgan normativ hujjat, Adliya vazirligida ro'yxatdan o'tmasdan, bu kun, johillik holatini belgilash. Shvidshe hamma narsa uchun, 378-sonli buyrug'ini ko'rish uchun havolada Uslubiy tavsiyalar o'z ahamiyatini yo'qotdi. Biroq, men shifrlash tizimlari tarixan qanday rivojlanganligi aniq bo'lishi uchun hujjatni qisqacha umumlashtirmoqchiman.

Vymogi vyshchevazannogo hujjati (shuningdek, PDNni kriptografik himoya qilish bo'yicha boshqa normativ hujjatlar) bunday tendentsiyalarga taalluqli emas:

• avtomatlashtirilgan avtomatlashtirishni talab qilmasdan shaxsiy ma'lumotlarni qayta ishlash;
• Suveren sirni o'rnatish uchun shaxsiy o'lponlar bilan ishlash;
• Vykoristannya tehnyhnyh zabív, Rossiya Federatsiyasi raztashovanih duruş.

Hujjatda aytilishicha, kriptografik himoyaga erishish uchun FSTEC va FSB ortidagi tahdid modelini kengaytirish kerak (kamdan-kam hollarda oqlash uchun). Operatorlar tahdid modellarini o'zlari yig'ishlari yoki kerak bo'lganda FSBdan litsenziya olishlari mumkin. Hujjatdagi barcha tahdidlar hujumlar bilan bog'liq bo'lib, hujum bo'lmagan tahdidlar kengroq tahdidlar bilan boshlangan. Siz metodologiyadan yangi yordam uchun modelni yozish soati uchun isbot materiali sifatida foydalanishingiz mumkin.

Yuqori darajadagi tahdid modeli PDN va boshqa ob'ektlarning xavfsizlik xususiyatlarini belgilaydi. Batafsil tahdid modelida kripto-himoyachiga kerakli ma'lumotlar berildi.

Tahdid modeliga turli omillar qo'shiladi: PDN yaratilishini, PDN ko'rsatish shaklini va xavfsizlik xususiyatlarini tushunish.

Birlamchi xususiyatlarning kriminalligi: yaxlitlik, maxfiylik va foydalanish imkoniyati ham ko'rinmaslik, tashqi ko'rinish, haqiqiylik va adekvatlik sifatida qaraladi.

Yuqori darajadagi tahdidlar modelining ustuni:

1. Shaxsiy ma'lumotlarning maxfiyligi tahdidi.
2. Shaxsiy ma'lumotlarning yaxlitligiga tahdid.
3. Shaxsiy ma'lumotlarning mavjudligi tahdidi.

Topshiriqlar hujjati nafaqat tahdid modelining shakllanishiga, balki qiruvchining adekvat modelini buyurtma qilish xususiyatlariga ham tegishli. Uslubiy tavsiyalardagi barcha zararlar ikki sinfga bo'linadi: shaxsiy ma'lumotlar xavfsizligiga bevosita va bilvosita zarar (to'g'ridan-to'g'ri tahdidlarni ayblash uchun foydalanadigan tahdidlar). 6 ta asosiy puflagich turlari mavjud: H1, H2, H3, H4, H5, H6. Raqam sifatida, keyin ko'proq imkoniyatlar, frontal qobiliyatning pasayishi hujumkor turdagi dermal hujum. Operator qo'riqchilarni tayyorlash vaqtini, o'zi uchun mavjud bo'lgan asboblarni va chaqiruvni chiqarishni amalga oshirishni mustaqil ravishda belgilaydi. Hujjat pestitsidning dermal turining asosiy xususiyatlarini o'z ichiga oladi. Shuningdek, 6 ta teng kripto-himoyachilar tayinlandi: KC1, KC2, KC3, KB1, KB2, KA1 va shunga o'xshash nomli kriptolarning 6 klassi, ular uchun reja hech narsani o'zgartirmadi. ISPD shuningdek, mash'alning eng katta toifasiga kiruvchi 6 ta sinfga bo'lingan. AK1-yakscha naivishcha toifasi H1, AK2-yakscho H2, AK3 - yaksho H3, AK4 - yaksho H4, AK5 - yaksho H5, AK6 - yaksho H6. Vídpovídno rozpodílení zabí kriptozahistu: AK1 - KS1, AK2 - KS2, AK3 - KS3, AK4 - KB1, AK5 - KB2, AK6 - KA1.

Yordam turlari

Odatdagi tavsiyalar Adliya vazirligida ro‘yxatdan o‘tmagan Uslubiy tavsiyalar bilan bir davrda yozilgan bo‘lib, bugungi kunda ularning holati asossizdir. Menimcha, hujjatlar taqdimot uchun zarur ma'lumotlarga ega. Hisobotda obov'yazki koristuvachív kryptozaobív tasvirlangan, ular uchun asosiy qoidalar aniqlangan:

• asosiy ma'lumotlarni nusxalashga ruxsat bermang;
• kalitlar haqida ma'lumotni gapirmang;
• kalitlarga uchinchi tomon ma'lumotlarini yozmang.

Kalitni qisqartirish jarayoni, uni qabul qilishning asosiy usullari va jurnallarning tipik shakllarini taqdim etish tasvirlangan. Hujjatga kiritilgan ma'lumotlarga asoslanib, sizdan to'g'ri ko'rsatmalar berish so'ralishi mumkin.

Buyurtma 378

Vykhodu 378 ordeni barcha kasbii kapitali va oqi, nareshti, vin nabuv ritsariyat zarb qilingan. Shu kuni u shaxsiy ma'lumotlarni kriptografik himoya qilishda asosiy hujjat bo'lib, u barcha ISPDn-da kengaytirilgan bo'lib, unda u kriptografik SZI himoyasi sifatida tan olingan. Buyruq bilan u nafaqat kriptografik himoyaga, balki xavfsizlik rejimiga, turar joy xavfsizligiga, ma'lumotlarni saqlash tartibiga va boshqa tashkilotlarga kirish, tizimning xavfsizligi teng bo'lgan taqdirda ham belgilandi. Okremo tayinlandi, scho operator sled vikoristovuvaty SZI, yaky vidpovidnosti baholash o'tdi - xavfsizlik uchun sertifikatlash. Zahisny allaqachon tasvirlangan kelib, binolarni jihozlash (qulflar, muhrlash uchun stosuvannya, derazalar ustida panjaralar, va hokazo) oynalarini yoqing. Nakazi 378 da vydmynu vyd polozhenie Uslubiy tavsiyalar to'g'risida, sinf SKZI vychayatsya shdo tahdidlarning haqiqiy turini himoya qilishga teng. Mozhlivostí zlovisnika vrakhovuyutsya faqat schodo sinf SKZI 4 himoya darajasi uchun.

1-jadval. SKZI klassi

Ushbu turdagi tahdidlardan himoya qilish nuqtai nazaridan xatolik aniq va, aslida, operator bir qator variantlardan SKZI sinfini tanlashi mumkin.

Hujjat vikladning aniq mantig'iga amal qiladi - o'z tizimining himoya darajasini bilish kifoya - teri darajasining ISPD dan tashqari, u okremih bo'linmalarida taqdim etiladi. Varto, qoida tariqasida, ular quyi pog'onadan eng yuqori darajaga tushib qolishini bildiradi, 1-chi darajadagi himoyalanish ISPDn 2, 3 va 4-rivnív ISPDn tomonidan tasdiqlanishi mumkin. Menimcha, yangisining yordami bilan ko'tarildi.

Ajablanarlisi shundaki, bitta qisqa maqolada shaxsiy ma'lumotlarni kriptografik himoya qilishning barcha nuanslarini aytib bo'lmaydi va nima kerak? Biz bu erda asosiy fikrlarni tahlil qildik, hujjatlar mantiqini tushundik, tafsilotlarni hal qildik, shunda siz mustaqil ravishda o'rganishingiz mumkin. Va beshinchi qismda, unchalik muhim bo'lmagan oziq-ovqat ko'rib chiqiladi: shaxsiy ma'lumotlarni tizimda himoya qila olgan va uni olishni tanlagan shaxs.

2011 yil 6 apreldagi Federal qonunning 8-moddasi 5-qismigacha Vídpovídno. N 63-FZ "Elektron imzo to'g'risida" 1 jazolash qattiqlashmoq:

Wimogi elektron imzoni taqdim etish (1-sonli qo'shimcha);
Vymogi zasobív zasvydchuvalnogo markaziga (qo'shimcha N 2).

Rejissyor A. Bortnikov

1 Ukraina Oliy Radasining Axborotnomasi, 2011 yil, № 15, p. 2036; № 27, modda. 3880.

Wimogi elektron imzoga buyurtma berishdan oldin

I. Geyl pozitsiyalari

3) SP kaliti - SPni yaratish uchun tan olingan belgilarning noyob ketma-ketligi;

4) RaI qayta tekshirish kaliti - RaIning haqiqiyligini qayta tekshirish uchun tan olinadigan RaI kaliti bilan yagona bogʻlangan belgilarning oʻziga xos ketma-ketligi (keyingi oʻrinlarda – RaI reverifikatsiyasi);

5) EP kodlari - quyidagi funktsiyalardan birini yoki bir nechtasini amalga oshirish uchun buzilgan shifrlash (kriptografik) kodlar - EP katlama, EPni qayta tekshirish, EP kalitini katlama va EPni qayta tekshirish kaliti;

6) RaI solishtirish kalitining sertifikati - RaI solishtirma kaliti sertifikati egasiga RaI solishtirish kalitining haqiqiyligini tasdiqlovchi CA yoki ishonchli maxsus CA tomonidan koʻrilgan elektron hujjat yoki qogʻoz burundagi hujjat.

3. Qi vimogi tuzilmani o'rnatadi va EP zasobív uchun zmíst vimog.

4. Дані Вимоги призначені для замовників і розробників засобів, що розробляються (модернізуються) ЕП при їх взаємодії між собою, з організаціями, що проводять криптографічні, інженерно-криптографічні та спеціальні дослідження засобів ЕП, ФСБ Росії, що здійснює підтвердження відповідності засобів ЕП цим Вимогам .

5. Cí Vymogy poshiryuyutsya koshtom EP, Rossiya Federatsiyasi hududida g'olib deb e'tirof etilgan, u erda Rossiya Federatsiyasi muassasalarida va Rossiya Federatsiyasi qonunchiligiga oldin Kreml pídrozdylakh yuridik, utpovídno kordon ustidan o'zgartirish joyida. .

6. Up-bast oldin, tayoqlarning bir qismi, Vobronitvva, Extraitae tomonidan amalga oshirilgan, rosobkaning injiqliklari, Vobritni va shifrning realati (kriptografik), tolalar dastalari, shiddatli 2005 r. . R. No 66 1 (Rossiya Federal Xavfsizlik Xizmatining 2010 yil 12 apreldagi 173 2-son buyrug'i bilan kiritilgan o'zgartirishlar bilan) ma'lumotni birjaga kirish imkoniyati bilan shifrlash (kriptografik) himoya qilish uchun, ma'lumotlardan qasos olmaslik uchun, davlat tashkil etish. sir.

7. RaIni qo'shimcha qo'llab-quvvatlash uchun katlama (shakllantirish) va o'lchamini o'zgartirish texnologiyasiga qo'shimcha ravishda, yakuniy loyihalash ishlarini yoki ombor qismini bajarish uchun taktik va texnik menejer yoki texnik nazoratchiga buyurtma beriladi. RaI rozrobku (modernizatsiya) zasobu EPni tarqatish bo'yicha dastlabki loyihalash ishlari.

II. Wimogi uchun zasobiv EP

8. RaI yopilganda, RaI:

Elektron hujjatni imzolayotgan, ma'lumot to'playotgan, imzo qo'ygan shaxsni ko'rsatish3;
- RaIni faqat maxsus tasdiqdan so'ng yaratish, masalan, elektron hujjatni imzolash, EP3 yaratilgandan keyingi operatsiyalar;
- RaI yaratilganligini aniq ko'rsatish 3 .

9. RaIni konvertatsiya qilishda RaIning narxi:

EP 3 tomonidan imzolangan elektron hujjat nusxasini ko'rsatish;
- elektron hujjatning imzolangan ESga o'zgartirishlar kiritilganligi to'g'risidagi ma'lumotlarni ko'rsatish 3 ;
- shaxsga RaI kalitini tanlash bilan elektron hujjatlar imzolanganligini ko'rsatish 3 .

10. 8 va 9-bandlar imkoniyati tsikh Vymogi emas zastosovuyutsya sobív TS oldin, axborot tizimida TS avtomatik taalukli va (yoki) avtomatik qayta tekshirish uchun scho g'alaba.
11. RaIning mas'uliyati RaI tomonidan himoyalangan axborot xavfsizligiga zarar yetkazish yoki boshqalar uchun aqlni shakllantirish usuli bilan apparat va (yoki) dasturiy vositalarni nishonga olishga qaratilgan tahdidlarga qarshi turishdan iborat. (yoki hujum).

12. RaI mudofaa hujumlariga qarshilik ko'rsatish uchun zdybnosti shaklida Fallow 4-sinfga bo'linadi.
13. KS1 EP sinfiga bunday g'alabalarni tayyorlash va o'tkazish usullari, quyidagi imkoniyatlar kombinatsiyasi bilan hujumlarga dosh berishga ruxsat bering:
13.1. Hujum usullarini o'z-o'zidan ishlab chiqish, hujumlarni tayyorlash va o'tkazish.
13.2. Podííí Koshti EP 5 hayot tsiklining turli bosqichlari.
13.3. Hujumni amalga oshirish uchun endi bo'sh joy etarli emas, uning o'rtasida o'tkazmalar va maxsus kuchlar va (yoki) transport vositalari ustidan nazorat mavjud (bundan keyin - 6-zona nazorat qilinadi).

13.4. RaI ob'ektlarini ishlab chiqish, urush qilish, konservatsiya qilish, tashish bosqichlarida va hujumkor hujumlarning EP ob'ektlarini (ishga tushirish operatsiyalari) ishga tushirish bosqichida amalga oshiriladi:

Zasib EP va (yoki) SF komponentlariga, shu jumladan eng muhim dasturlarga ruxsatsiz o'zgartirishlar kiritish;
- RaI talablari va SF komponentlari uchun hujjatlarga ruxsatsiz o'zgartirishlar kiritish.

13.5. Quyidagi ob'ektlarga hujumlar o'tkazish:

RaI qiymati va SF komponentlari bo'yicha hujjatlar;

- RaI uchun kalit, autentifikatsiya va parol ma'lumotlari;
- zasib EP va yoga dasturiy ta'minot va apparat komponentlari;
- SF oldiga kiritilishi mumkin bo'lgan apparat qurilmalari, shu jumladan ushbu qurilmalarni ishga tushirish uchun ishlatilishi mumkin bo'lgan BIOS mikrokodidan mikrosxemalar (keyingi o'rinlarda - SF apparat komponentlari);
- Federatsiya Kengashining dasturiy komponentlari;

- ma'lumotlarni qayta ishlash tizimlarining dasturiy ta'minot va texnik elementlari to'plami mavjud bo'lgan, funktsiyalarni mustaqil ravishda yoki boshqa tizimlar omborida (keyingi o'rinlarda - SVT deb yuritiladi) EP va SF amalga oshiradigan dastur;
- boshqa hujum ob'ektlari, agar kerak bo'lsa, ular axborot tizimidagi g'alabalarni, axborot texnologiyalarini, apparat xususiyatlarini (keyingi o'rinlarda AS) va dasturiy ta'minot xavfsizligini takomillashtirish bilan RaIni ishlab chiqish (modernizatsiya qilish) uchun TORda ko'rsatilgan. bundan keyin PZ deb yuritiladi).

13.6. Ushbu ma'lumotlardan:

RaI taqdirlangan axborot tizimi haqida umumiy ma'lumot (tayinlash, ombor, operator, ob'ektlar, axborot tizimining resurslarini har qanday taqsimlashda);
- EP dan alohida axborot tizimida g'olib bo'lgan axborot texnologiyalari, ma'lumotlar bazalari, AS, PZ haqida ma'lumot;
- jismoniy haqida ma'lumot, RaI joylashtirilgan ob'ektlarning himoyasiga o'ting;
- EP muvaffaqiyatini qozonish uchun axborot tizimi ob'ektlarining nazorat qilinadigan zonasining xavfsizligi to'g'risidagi ma'lumotlar;
- SVT joylashgan, EP va SF amalga oshirilgan turar joydan qanday foydalanish mumkinligi haqida ma'lumot;
- RaI va XFning apparat va dasturiy komponentlariga bepul kirish mumkin bo'lgan hujjatlarni o'zgartirish;
- himoya qilinayotgan ma'lumotlar, RaIdan foydalanish jarayonida g'alaba qozonganligi to'g'risidagi yuqori darajadagi bayonotlar;

- RaI tomonidan himoyalangan axborot uzatiladigan aloqa liniyalari haqidagi ma'lumotlar;
- tashkiliy va texnik tashriflar orqali ma'lumotlarga ruxsatsiz kirishdan himoyalanmagan aloqa kanallaridagi barcha aloqalar, EP va UV kabelidan foydalanish qoidalarini buzish;
- tashkiliy va texnik qo'ng'iroqlar, elektr ta'minoti va ultrabinafsha nurlanishining apparat qismlarining nosozliklari va nosozliklari orqali ma'lumotlarga ruxsatsiz kirishdan himoyalanmagan aloqa kanallaridagi barcha aloqalar to'g'risidagi ma'lumotlar;
- EP va UV uchun apparat komponentlaridan har qanday signallarni tahlil qilish natijalaridan olingan ma'lumotlar, chunki u signalni o'zgartirishi mumkin.

13.7. G'alaba:

erkin kirishda bo'lgan yoki AS va PZ nazorat qilinadigan zonasi chegaralaridan tashqarida joylashgan, shu jumladan EP va UV ning apparat va dasturiy komponentlari;

13.8. Vikoristannya hujumning sub'ektdan ob'ektga (ob'ektdan sub'ektga) o'tkazish vositasi sifatida, ya'ni tayyorgarlik soati va (yoki) hujum (bundan buyon - hujum kanali):

Aloqa kanallariga tashkiliy va texnik yondashuvlar orqali ma'lumotlarga ruxsatsiz kirishdan himoyalanmagan (masalan, boshqariladigan zonada, o'rtada), buning uchun RaI tomonidan himoyalangan ma'lumotlar uzatiladi;
- EP va UV funksiyalarining ishlashini qo'llab-quvvatlovchi signallarni kengaytirish uchun kanallar.

13.9. Axborot va telekommunikatsiya choralaridan hujumlarni amalga oshirish, osibning kichik ulushi bilan har qanday bo'lmagan atrof-muhitga kirish.

13.10. Vykoristannya AU va PZ zí ombori zasobív ínformatsíynoí̈ í̈ scho vikoristovuyutsya místsyakh ekspluatatsíї zabu SP (bundan keyin - muntazam zasobi) va scho znahoditsya nazorat zonasi chegaralaridan tashqarida.

14. Koshti EP klassi KS2 hujumlarga qarshi turish, Vimog cichning 13.1 - 13.10-kichik bandlarida sanab o'tilgan g'alaba qozonish qobiliyatlari, usullari, tayyorgarliklari va amalga oshirilishi bilan va quyidagi qo'shimcha qobiliyatlar:

14.1. Hujumni chegaralar orasidagi ikkala pozitsiya mavjud bo'lganda va nazorat qilinadigan zona chegaralarida amalga oshirish.

14.2. Vykoristannya xodimlari zasobív, zamezhene kirish, axborot tizimida amalga oshirish, yakíy vikoristovuêtsya zasíb EP, deb zapobígannya uchun yo'naltiruvchi pripinennya ruxsatsiz faoliyat.

15. Vimogning 13.1 - 13.10, 14.1, 14.2-kichik bandlarida sanab o'tilgan g'alaba qozonish qobiliyatlari va qo'shimcha qobiliyatlari kabi usullar, tayyorgarlik va amalga oshirish bilan Koshti EP klassi KS3 hujumlarga qarshi turish:

15.1. Zasib EP va SF amalga oshiriladigan SVTga kirish.

15.2. Roztashovuvaty apparat komponentlarini zahod EP va UF obsyagom imkoniyati, vyd zakhodív yilda kuz, zakhodyh v zabígannja va pripinennya ruxsatsiz faoliyat, axborot tizimini amalga oshirish, de vikoristovuêtsya zasyb EP.

16. Koshti EP klassi KV1 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2-kichik bandlarida sanab o'tilgan usullar, tayyorgarlik va bunday g'olib qobiliyatlarni amalga oshirish yordamida hujumlarga qarshi turish uchun.

16.1. Hujum usullarini yaratish, nurlangan fahivtsiv, yaky mayut dosvyd rozrobki dan hujumlarni tayyorlash va amalga oshirish va sobív SP tahlili, shu jumladan SP va UV ning ishlashiga hamroh bo'lgan signallarni fahivtsív galuzí tahlil qilish.

16.2. Nazorat qilinadigan hududning pozitsiyasi g'olib bo'lgan EPning laboratoriya tekshiruvlarini o'tkazish, kirish joylarida yotish, axborot tizimida, yakíy vikoristovuêoo zasíb EPda amalga oshirilgan ruxsatsiz faoliyatning oldini olish va qo'llashga yo'naltirish. .

17. Ushbu qo'shimchalarning 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.2-kichik bandlarida sanab o'tilgan usullarni birlashtirganda, bunday g'olib qobiliyatlarni tayyorlash va amalga oshirishda KV2 EP sinfiga hujumlarga dosh berishga ruxsat bering.

17.1. EP vositalarini, shu jumladan qo'llaniladigan dasturiy ta'minot imkoniyatlariga hujumlarni amalga oshirish uchun galereyadagi soxta narsalarni ishlab chiqish va tahlil qilish imkonini beradigan hujumlar usullarini yaratish, soxta hujumlardan hujumlarni tayyorlash va amalga oshirish; dasturiy ta'minot ilovasi bo'yicha hujjatlarda tasvirlanmagan.

17.2. EP va UV vositalarini ishlab chiqish va tahlil qilish sohasida ixtisoslashgan ilmiy va ilg'or markazlarda hujum usullari va usullarini yaratish bo'yicha robotlarning bayonoti.

17.3. Federatsiya Kengashiga kiritilishi kerak bo'lgan amaliy dasturiy ta'minotning vyhydnym matnlarini roztashovuvaty imkoniyati.

18. 13.1 - 13.10, 14.1, 14.2, 15.1, 15.2, 16.1, 16.16.13.10, 14.1, 14.2, 16.1-bandlardagi usullar, tayyorgarliklar va g'alaba qozonish qobiliyatlari kombinatsiyasi bo'lsa, KA1 EP sinfiga hujumlarga qarshi turishga ruxsat bering.

18.1. Hujjatlarda tavsiflanmagan tizim dasturiy ta'minotining imkoniyatlariga hujumlarni amalga oshirish uchun galereyadagi faksimillarni, shu jumladan SPni ishlab chiqish va tahlil qilish imkonini beradigan hujumlar usullarini yaratish, soxtalashtirishdan hujumlarni tayyorlash va amalga oshirish. tizim dasturiy ta'minotida.

18.2. SF ning apparat va dasturiy ta'minot komponentlari bo'yicha barcha hujjatlarni onalik qilish imkoniyati.

18.3. EP va SF uchun barcha apparat komponentlarining onasining imkoniyati.

19. Vaqt o'tdi firibgarlik elektron hujjat EP o'tkazish Vikoristanni guvohnomalari Kodeksi Realizai Viclikiti Elektron Hujjat EP tomonidan tarjima qilinishi mumkin Shart Bulut tarjima holda. Sertifikat xizmatida EP Abo.

20. RaIni ishlab chiqishda kriptografik algoritmlarni ayblash kerak, ular davlat standartlari sifatida tasdiqlangan yoki Rossiya FSB ekspert kriptografik tadqiqotlar natijalari bo'yicha ijobiy fikrga ega 7 .

21. RaIning muhandislik va kriptografik himoyasi bo'linmalarni o'chirish uchun javobgardir, bu esa RaIning apparat komponenti yoki SVT apparat komponentining mumkin bo'lgan nosozliklari yoki nosozliklari ongida muvaffaqiyatli hujumlarni amalga oshirish imkoniyatiga olib keladi; EP dasturi amalga oshiriladi.

22. SP ishlab chiqaruvchisi uchun SP vositasini ishlab chiqish (modernizatsiya qilish) uchun TK uchun kamroq vazifalarni, SP vositasining ishlashi uchun algoritmlarni amalga oshirish mumkin.

23. Dasturiy ta'minot komponenti RaI uchun javobgardir (RaI uchun dasturiy ta'minot komponenti mavjud bo'lgan taqdirda) quyidagilar uchun javobgardir:

RaIning yagona maqsadi uchun dasturiy ta'minot komponentining ob'ektiv (tadqiq etuvchi) kodi vizual matnga mos kelishi mumkin;
- dasturiy ta'minot komponenti uchun SP SPni amalga oshirish uchun javobgar bo'lib, u SP funktsiyalarini bajaradigan dasturiy ta'minot muhiti funktsiyasining hujjatlarida endi tasvirlanmagan;
- u vixídnix tekstax programnogo komponenta zasobu EP povinni buti vídsutní mojlivosti, scho dozvolyayut modifikuvati abo spotvoryuvati algoritm roboti zasobu EP u yogo vikoristannya, modifikatsiya qilish funktsiyalari abo spotvoryuyuvatepto zasobu EP povinní buti vídsutni mojlivosti aniq ko'rinadigan kalit, UE identifikatori haqidagi ma'lumotlarni identifikatsiyalash va (yoki) autentifikatsiya qilish;
- kirish va ichki parametrlarning qiymatlari, shuningdek, dasturiy ta'minot komponenti parametrlarining qiymatlari uning ishlashiga salbiy ta'sir ko'rsatishi uchun javobgar emas.

24. RaIlarni havodan o‘ch olish, davlat sirini belgilash uchun (yoki) qabul qilish, uzatish, qayta ishlash tizimlari o‘rnatilgan akustik va vizual axborot mavjud bo‘lgan joylarda joylashtirishni rejalashtirish vaqtida. , Saqlash va o'z ichiga axborot vídomosti, davlat ta'mnitsyu omborlari, RaI ta'minoti omboriga kiruvchi xorijiy ishlab chiqarish AS, ma'lumot so'zsiz olib tashlash uchun e'tirof buti piddaní reverifications tufayli xo'jalik inshootlari mavjudligi.

Binolarda EP ob'ektlarini joylashtirishni rejalashtirish vaqtida, ba'zi hollarda, akustik va vizual ma'lumotlar akustik, havodan qasos olish, davlat sirini o'rnatish uchun o'rnatilmagan. suveren sir:

KS1, KS2, KS3, KV1 va KV2 toifalaridagi EP ob'ektlari omboriga kiruvchi xorijiy ishlab chiqarish ASni qayta tekshirish to'g'risidagi qaror, ushbu mahsulot xavfsizligini ta'minlaydigan tashkilot tomonidan qabul qilinadi. RaIning ushbu ob'ektlaridan foydalanish;
- KA1 EP sinfidagi materiallar omboriga kiradigan xorijiy ishlab chiqarish ASni qayta tekshirish umumiy til tartibida amalga oshiriladi.

25. RaI mas'uliyati butun jarayonga kirish (variantlar, jarayonlar) sub'ektining autentifikatsiyasini amalga oshirishdan iborat, bundan tashqari:

SP xavfsizligiga kirish cheklangan bo'lsa, kirish ob'ektining autentifikatsiyasi RaIni himoya qilish uchun birinchi funktsional modulda amalga oshirilishi mumkin;
- Autentifikatsiya mexanizmlari autentifikatsiyaning salbiy natijasi uchun ushbu sub'ektlarning RaI funktsiyalariga kirishini bloklashda aybdor.

26. RaIning mas'uliyati RaI xavfsizligiga mahalliy kirishga ruxsat berish uchun osibning autentifikatsiyasini amalga oshirishdan iborat.

27. RaIning yakka tartibdagi tadbirkorligi tomonidan amalga oshirilayotgan, RaI xususiylashtirishga mahalliy yoki masofaviy (merezhevy) kirish imkonini beruvchi jarayonlarni autentifikatsiya qilish zarurati RaIni xususiylashtirishni tarqatish (modernizatsiya qilish) uchun ToRga yuklangan.

28. RaI zasibiga kiritilgan autentifikatsiya qilishning har qanday mexanizmi uchun kirish huquqiga ega bo'lgan bir ob'ektni autentifikatsiya qilish uchun ilgari surilgan urinishlar sonini almashish mexanizmlarini amalga oshirish ayblanadi, aybdor bo'lmaganlar soni 10 dan ortiq. Belgilangan chegara qiymatiga kirish uchun, sub'ektning SP xavfsizligiga kirishi bir soat davomida RaI xavfsizligini rivojlantirish (modernizatsiya qilish) bo'yicha TK topshiriqlari bo'yicha bloklanishi kerak.

29. RaI RaI va XFning yaxlitligini nazorat qilish mexanizmiga (tartibiga) ega bo'lishi mumkin.

Zo'ravonlik nazorati qo'llanilishi mumkin:

SVT ning o'tishidan oldin, SP zasibi amalga oshirilgan, ishchi lagerda (masalan, SVT operatsion tizimini qo'lga olishdan oldin) maxsus SP dan ish ustida;
- tartibga soluvchi qayta tekshirishlar jarayonida, operatsiya vaqtida SPni olish (tartibga solish nazorati);
- avtomatik rejimda ishlash jarayoni SP (dinamik boshqaruv) bilan himoyalangan.

Quvvatni nazorat qilish ish joyida va maxsus RaIdan amalga oshirilishi mumkin.

Butunlikni muntazam nazorat qilish mexanizmi RaI ta'minoti omboriga kirishi mumkin.

30. KS1 va KS2 sinflari RaIni qo'llash uchun uni kirishni boshqarish va xotirani tozalashdan oldin taqdim etish zarurati, shuningdek, RaI tartibini tarqatish (modernizatsiya qilish) uchun TKdan í̈x zmíst belgilanadi.

31. KS3, KV1, KV2 va KA1 yoki SF EP klassidagi omborga quyidagilar kiradi:

Parametr asoslari bo'yicha UV ning Ep tsilovikh qo'llab-quvvatlovchi murvatlari komponenti (abolo) tomonidan submaruga kirishni boshqarish, binge murvatining sho''ba korxonasi ma'murining vazifalari (tartiblangan komponentga vimogi, uyushgan tanasi yashaydigan). , va gullash Wimogamning gullashi);
- Operatsion va Eski xotirani tozalash, Vikoristovany, Schoxitya, Scho fasofani (VIPADKOVOїї by Perevdodipadkov) zvílnifiy zvinishniy zvinifnili zvitishniyu zvinifnili zvílinifniy zvinifnili zvílinifnili zvitishnili zvitishnili zvílinifnili zvitishnili zvishiry zvninigar (VIPADKOVOїї ї posplity)

32. KV2 va KA1 yoki SF EP sinfidagi materiallar omboriga himoyalangan kirishni favqulodda o'chirishni ta'minlaydigan komponentlar kiritilgan. Vymogi o'sha yuzaki o'chirishni amalga oshirishdan oldin, ular TKdan EPni ishlab chiqish (modernizatsiya qilish) uchun so'raladi.

33. KS1 va KS2 sinflari RaI arizalari uchun hujjatlarni roʻyxatdan oʻtkazishdan oldin taqdim etish zarurati va ularning toʻlovlari RaIni tarqatish (modernizatsiya qilish) uchun TKga yuklanadi.

34. KSZ, KV1, KV2 va KA1 sinfidagi RaIlarni saqlash uchun modul RaI va UV bo'linmalarini ularning maqsadli vazifalari bilan bog'liq bo'lgan elektron ro'yxatga olish jurnalida qayd etishni amalga oshirishga mas'uldir.

Vymogyni belgilangan modulga o'tkazish va bo'linmalarni ro'yxatdan o'tkazish tashkilot tomonidan tayinlanadi va to'sqinlik qiladi, chunki RaI ni Vimogamning haqiqiyligini baholash usuli bilan RaI kuzatuvini amalga oshiradi.

35. Podiyni ro‘yxatdan o‘tkazish jurnalidan faqat axborot tizimining operatori tomonidan tayinlangan, RaI g‘olibi bo‘lgan yoki u tomonidan tasdiqlangan shaxslar foydalanishi mumkin. Ro'yxatga olish jurnaliga kirish bo'lsa, podia faqat yozuvlarni ko'rib chiqish va podiani ro'yxatga olish jurnali o'rniga arxivga ko'chirish uchun zdiisnyuvatisya aybdor.

36. RaI kalitini qayta tekshirish muddati RaI kalitining amal qilish muddatini 15 yildan ortiq muddatga qayta ko‘rib chiqishda aybdor emas.

37. Kalitdan foydalanish muddatini boshqarish mexanizmiga qo'shimcha ravishda, berilgan muddatgacha kalitdan foydalanishni sinab ko'rish vaqtida ES ES robotini blokirovka qilish; chakana sotuvchi ESni litsenziyaga bog'liqligini baholash usuli bilan ro'yxatdan o'tkazishni kuzatishni amalga oshirish uchun tashkilotga topshiradi.

38. RaIdagi asosiy ma'lumotlar bilan operatsiyalarni himoya qiluvchi kriptografik protokollar RaIda vositachisiz amalga oshirilishi mumkin.

39. EP ish faoliyatini baholash usuli bilan EP cum Vimogam aybdorligini baholash Rossiya FSB yordami bilan, EPning himoya qilish mexanizmlarini amalga oshirish parametrlari va xususiyatlarining raqamli qiymati bilan amalga oshiriladi. SF 8 ning apparat va dasturiy komponentlari.

1 Rossiya Adliya vazirligi tomonidan 2005 yil 3 fevraldagi ro'yxatga olish, ro'yxatga olish raqami 6382.

3 U boshqa narsalar qatorida turli xil apparat va dasturiy ta'minot xususiyatlariga ega bo'lib, RaIning ba'zi muntazam funktsiyalariga qo'shimcha ravishda amalga oshiriladi va bino sifatida viconannia bilan birlashtirilishi mumkin, RaI birgalikda amalga oshirishi mumkin. EP (bundan keyin - UV) faoliyatining o'rtasini ifodalaydi.
4 Joylashtirilgan (modernizatsiyalangan) RaIning talab qilinadigan klassi RaI o'rnini bosuvchi (chakana sotuvchi) tomonidan hujum usullarini yaratish, 13 - 18, Wimog va kirish nuqtalari asosida hujumlarni tayyorlash va amalga oshirish imkoniyatlarini loyihalash yo'li bilan belgilanadi. Tarqatish uchun T3 (EPni modernizatsiya qilish.)
5 Hayotiy tsikl bosqichlaridan oldin RaI ob'ektlarni belgilash, ularni ishlab chiqarish, saqlash, tashish, ishga tushirish (ishga tushirish), foydalanishni ishlab chiqish (modernizatsiya qilish) kerak.
6 Kordon bilan boshqariladigan zona quyidagilar bo'lishi mumkin: korxona (komplekt) ning qo'riqlanadigan hududining perimetri, bu muhofaza qilinadigan turar-joy inshootlarini, qo'riqlanadigan turar-joy qismlarini, ko'rinadigan turar-joy binolarini himoya qiladi. .
7 Rossiya Federatsiyasi Prezidentining 2003 yil 11 apreldagi farmoni bilan tasdiqlangan Rossiya Federatsiyasi Federal xavfsizlik xizmati to'g'risidagi Nizomning 9-bandi 25-kichik bandi. 960-son (Rossiya Federatsiyasi qonun hujjatlari to'plami, 2003 y., No 33, 3254-modda; 2004 y. 28-modda, 2883-modda; 2005 y., 36-modda, 3665-modda, 49-modda, 5200-modda; , 25-modda, 2699-modda, 49-modda, 6133-modda, 2008-yil, No 53, 6554-modda, 36-modda, 4087-modda, 43-modda, 4921-modda, 2435-modda, 2011-yil, 2-modda, 267-modda. ; № 9, 1222-modda) Rossiya FSB to'g'risida).
8 Rossiya FSB to'g'risidagi Nizomning 9-bandining 47-bandi.

Qo'shimcha № 2

Wimogi parvarishlash markaziga yordam beradi

I. Geyl pozitsiyalari

1. Tsí Vimogi razrobleny vídpovydno Federal qonunga vyd 6 kvítnya 2011 p. N 63-FZ "Elektron imzo to'g'risida" (bundan keyin - Federal qonun).

2. Federal qonunning 2-moddasida belgilangan Wimogah qonunlariga quyidagi asosiy tushunchalar kiritilgan:

1) Elektron Pidpis (Dali - EP) - Elektron shaklidagi ma'lumot, Yaka Pro, Elektrony Formi (Pidpisuvanoi informatics) dagi Inshoi INFORMATION vikoristaning yaki tomonidan bir xil.

3) EP kodlari - kriptografik (kriptografik) kodlar, ular quyidagi funktsiyalardan birini yoki bir nechtasini amalga oshirish uchun ishlatiladi - EP katlama, EPni qayta tekshirish, EP kalitini katlama va EPni qayta tekshirish kaliti;

4) SP kaliti - SPni yaratish uchun tan olingan belgilarning noyob ketma-ketligi;

5) RaI revalidatsiyasi kaliti – RaI kaliti bilan yagona bog‘langan va RaI qayta tasdiqlanishi uchun tan olingan belgilarning noyob ketma-ketligi (keyingi o‘rinlarda – RaI revalidatsiyasi);

6) EP tasdiqlash kaliti sertifikati - ES tasdiqlash kaliti sertifikati egasiga ES tasdiqlash kalitining haqiqiyligini tasdiqlovchi CA yoki ishonchli maxsus CA tomonidan ko'rilgan elektron hujjat yoki qog'oz burundagi hujjat;

7) EPni qayta tekshirish kalitining malaka sertifikati (keyingi o'rinlarda - malaka sertifikati) - OA tomonidan akkreditatsiya qilingan yoki maxsus akkreditatsiyalangan CA yoki vikonavchoi hukumati federal organi tomonidan tasdiqlangan EP qayta tekshirish kalitining sertifikati. AP saylovlari doirasi (bundan buyon matnda - federal tasdiqlash organi);

8) EPni qayta tekshirish kaliti sertifikati egasi - Federal qonunda belgilangan tartibda EP qayta tekshirish kaliti sertifikatini ko'rgan shaxs;

9) CAni akkreditatsiya qilish - federal organ tomonidan federal qonunga muvofiq CA akkreditatsiyasini tasdiqlash;

10) CA ob'ektlari - CA funktsiyalarini amalga oshirish uchun foydalaniladigan apparat va (yoki) dasturiy ta'minot vositalari;

11) elektron o'zaro o'yin ishtirokchilari - davlat organlari, o'zini o'zi boshqarish tashkilotlari, tashkilotlar va fuqarolar tomonidan elektron shaklda ma'lumotlar almashinuviga ko'maklashish.

3. Qi Vimogi tuzilishini o'rnatish va zasobív CA uchun zmíst vimog.

4. Дані Вимоги призначені для замовників і розробників засобів, що розробляються (модернізуються) УЦ при їх взаємодії між собою, з організаціями, що проводять криптографічні, інженерно-криптографічні та спеціальні дослідження засобів УЦ, ФСБ Росії, що здійснює підтвердження відповідності коштів УЦ цим Вимогам .

5. Raqamlar Rossiya Federatsiyasi hududida tanlov uchun tan olingan CAlarni o'z ichiga oladi.

6. Bo'shliqdan oldin, Rosrobes qismining qismlari, Vobronitvva, amalga oshirilgan minoralar Holmog'lar, rosobka haqida laysalar, Vobritni, ketma-ketlikning realisti (kriptografik). shiddatli 2005 r. R. No 66 1 (Rossiya Federal Xavfsizlik Xizmatining 2010 yil 12 apreldagi 173 2-son buyrug'i bilan kiritilgan o'zgartirishlar bilan), vositachi kirish bilan axborotni himoya qilish uchun shifrlash (kriptografik) vositalari (keyingi o'rinlarda - SKZI) uchun, shuning uchun ma'lumot uchun qasos olmaslik, suveren davlat qurish kabi

II. Vymogi uchun zaobiv UTs

7. CA xarajatlari CA ob'ektlarining muhandislik-texnik xavfsizligini va kriptografik xavfsizligini yo'q qilish usuli bilan apparat va (yoki) dasturiy vositalardan foydalanish maqsadlarini belgilashga qaratilgan tahdidlarga qarshi turishda aybdor. boshqalar uchun fikrlash usuli (yoki hujum).

8. zdybnosti qarshi hujumlar shaklida kuzda Koshti UC 3-sinfga bo'linadi.

9. Koshti UC klassi KS1 hujumlarga qarshilik ko'rsatish, usullar kombinatsiyasi, bunday g'alabalarni tayyorlash va o'tkazish, quyidagi imkoniyatlar:

9.1. Hujumlarni tayyorlash va amalga oshirish kosmosni talab qiladi, ularning o'rtasida maxsus kuchlarning va (yoki) transport xizmatlarining (bundan keyin - zona nazorat qilinadi) o'tkazilishi va harakatlari ustidan nazorat mavjud.
9.2. CA bilan o'zaro aloqada dasturiy va apparat vositalarining funktsional imkoniyatlariga g'alaba qozonmasdan hujumlarni tayyorlash va amalga oshirish.

9.3. Hujum usullarini mustaqil ravishda ishlab chiqish, bunday ob'ektlarga hujumlarni tayyorlash va o'tkazish:

UTs tomonidan hujjatlar;
- himoyalangan elektron hujjatlar;
- kalit, autentifikatsiya va parol ma'lumotlari;
- CA, uning dasturiy va apparat qismlariga mas'ul;
- kanallar orqali uzatiladigan ma'lumotlar;
- texnik vositalar joylashgan dastur (bundan buyon matnda AS deb yuritiladi), unda CA ob'ektlari amalga oshiriladi, shuningdek, himoyalangan axborot tizimining boshqa resurslari.

9.4. CA ob'ektlarini rivojlantirish, ishlab chiqarish, tejash, tashish va ishga tushirish bosqichlarida joriy etilgan:

CA ning salbiy funktsional qobiliyati, shu jumladan eng qiyin dasturlar;
- CA tomonidan hujjatlarni rasmiylashtirishdan oldin ruxsat etilmagan o'zgartirishlar.

9.5. Ushbu ma'lumotlardan:

Axborot tizimi haqida umumiy ma'lumot, unda CA ob'ektlari (tayinlash, ombor, axborot tizimining resurslari joylashgan ob'ektlar);
- CA yordamida axborot tizimida g'olib bo'lgan axborot texnologiyalari, ma'lumotlar bazalari, AS, dasturiy ta'minot xavfsizligi (keyingi o'rinlarda - PZ) to'g'risidagi ma'lumotlar;
- jismoniy haqida ma'lumot, UC mushuklar joylashtirilgan ob'ektlar zahistu tashrif;
- CA ob'ektlari joylashgan axborot tizimi ob'ektlarining nazorat qilinadigan zonasining xavfsizlik zonasiga qanday kirish haqida ma'lumot;
- turar-joyga qanday kirish mumkinligi, UT qaysi joylarda joylashganligi haqida ma'lumot;
- Utrimannya texnik hujjatlari, CA narxiga bepul kirishda qayta sotib olinadi;
- відомостей про інформацію, що захищається, що використовується в процесі експлуатації засобів УЦ (види інформації, що захищається: службова інформація, парольна та аутентифікуюча інформація, конфігураційна інформація, керуюча інформація, інформація в електронних журналах реєстрації; загальні відомості про зміст кожного виду інформації, nima himoyalangan, terining tashqi ko'rinishi uchun xavfsizlik xususiyatlari, nima himoyalanganligi);
- tashkiliy va texnik qo'ng'iroqlar orqali ma'lumotlarga ruxsatsiz kirishdan (keyingi o'rinlarda - NSD) himoyalanmagan aloqa kanallari orqali ochiq fikrli shaxsga uzatiladigan barcha mumkin bo'lgan ma'lumotlar;
- CA g'alabalaridan himoyalangan axborot uzatiladigan aloqa liniyalari haqidagi ma'lumotlar;
- tashkiliy va texnik qo'ng'iroqlar orqali ma'lumotlarga ruxsatsiz kirishdan himoyalanmagan aloqa kanallaridagi barcha aloqalar to'g'risidagi ma'lumotlar, CA kabellarini ishlatish qoidalarini buzish;
- tashkiliy-texnik qo'ng'iroqlar orqali ma'lumotlarga ruxsatsiz kirishdan himoyalanmagan aloqa kanallaridagi barcha qo'ng'iroqlar to'g'risidagi ma'lumotlar;
- tahlil natijalaridan olingan ma'lumotlar, UT apparat qismlarining signallari konvertatsiya qilish uchun mavjudmi yoki yo'qmi.

9.6. G'alaba:

scho erkin foydalanishda yoki AU va PZ nazorat qilinadigan zonasi chegaralaridan tashqarida, shu jumladan CA ning dasturiy va apparat qismlarida bo'lishi;
- maxsus rozroblenih AS va PZ.

9.7. Vykoristannya, NSD dan himoyalanmagan hujumlar kanali sifatida, tashkiliy va texnik yondashuvlar orqali kanallarni bog'lanishga (nazorat qilinadigan zonaning pozitsiyasi kabi, shuning uchun u chegaralarda), ma'lumot uzatiladigan va UT tomonidan qayta ishlanadi. .

10. Koshti UC KS2 klassi hujumlarga dosh berish uchun birlashgan usullar, tayyorgarlik va bunday g'alabalarni o'tkazishda quyidagi imkoniyatlar mavjud:

10.1. Imkoniyat, 9.3 - 9.7 cich Vimog kichik bandlarida keltirilgan.

10.2. Nazorat qilinadigan zonadan hujumlarni tayyorlash va amalga oshirish.

10.3. Tayyorgarlik va CA har qanday amalga oshirish bo'yicha, AU uchun vikoristannya kirish holda hujumlar o'tkazish.

10.4. Vykoristannya xodimlari zasobív ínformatsíynoí̈ í̈, de vikoristany uts xodimlari.

11. Koshti UC klassi KSZ hujumlarga qarshilik ko'rsatish uchun, kombinatsiyalangan usullar, tayyorgarlik va bunday g'alabalarni o'tkazishda quyidagi imkoniyatlar mumkin:

11.1. Imkoniyat, 10.1, 10.4 cich Vimog kichik bandlarida keltirilgan.

11.2. Autentifikatsiya ma'lumotlarining qonuniy ruxsati asosida CA bilan hamkorlikda dasturiy va apparat qurilmalarining funktsional imkoniyatlariga turlicha kirish imkoniyatiga ega bo'lgan o'zaro boshqariladigan zona tufayli hujumlarni tayyorlash va amalga oshirish yoki kirish huquqi bilan boshqariladigan zonadan hujumlarni tayyorlash va amalga oshirish. to the access stations правами особи, яка не є членом групи фізичних осіб, уповноважених проводити інсталяцію, конфігурування та експлуатацію засобів УЦ, конфігурування профілю та параметрів журналу аудиту (функції системного адміністратора), архівування, резервне копіювання та відновлення інформації після збоїв (функції оператора) , stvorennya ta anulyuvannya EPni qayta tekshirish kalitlarini sertifikatlash (sertifikat ma'murining funktsiyalari), qayta ko'rib chiqish va audit jurnaliga taqdim etish (tekshirish ma'murining funktsiyalari) (keyingi o'rinlarda - ma'murlar guruhi) CA xarajatlari) CA ning bir xil komponenti.

11.3. Volodinnya AS UC obsyazy yilda, scho realizovannykh zakhodyv, spramovavanih bo'yicha pobobígannya pripinennya ruxsat etilmagan faoliyati shaklida depozit qilish.

12. Koshti UC KV1 klassi hujumlarga dosh berish uchun birlashgan usullar, tayyorgarlik va bunday g'alabalarni o'tkazishda quyidagi imkoniyatlar mavjud:

12.1. Imkoniyat, 11.1 - 11.3 cich Vimog kichik bandlarida keltirilgan.

12.2. FAning kriptografik ma'lumotlarini (shu jumladan koridordagi faksimilatsiyalar, liniya uzatishdagi signallarni tahlil qilish va tarmoq signallarini tahlil qilish) ishlab chiqish va tahlil qilish imkonini beradigan faksimillarning nurlanishidan hujumlarni tayyorlash va usullarni yaratish. yon elektromagnit shovqin va yo'l-yo'riq).

12.3. Ruxsat etilmagan faoliyatni yuqtirishga yo'naltirish, amalga oshirilgan kirishlar shaklida yotqizilishi kerak bo'lgan so'rovda nazorat qilinadigan hududda g'olib bo'lgan UC natijalarini laboratoriya tekshiruvlarini o'tkazish.

13. Koshti UC KV2 klassi hujumlarga dosh berish uchun, birlashgan usullar, tayyorgarlik va bunday g'alabalarni o'tkazishda quyidagi imkoniyatlar mavjud:

13.1. Imkoniyat, 12.1 - 12.3 cich Vimog kichik bandlarida keltirilgan.

13.2. Amaliy va tizimli dasturiy ta'minotning e'lon qilinmagan imkoniyatlariga hujumlarni amalga oshirish uchun vikoristannya galereyasida nurlangan faksimillardan hujumlar tayyorlash va usullarni yaratish mo'ljallangan.

13.3. CA usullarini tadqiq qilish va tahlil qilish sohasida ixtisoslashgan ilmiy va ilg'or markazlarda hujum usullari va usullarini yaratish bo'yicha robotlarning bayonoti.

13.4. Volodinnya axborot tizimida saqlanadigan amaliy dasturiy ta'minot matnlaridan foydalangan, ularda CAning o'z hujjatlari yozilgan, bepul foydalanish mumkin bo'lgan hujjatlar.

14. Koshti UC KA1 klassi hujumlarga qarshilik ko'rsatish uchun, kombinatsiyalangan usullar, tayyorgarlik va bunday g'alabalarni o'tkazishda quyidagi imkoniyatlar mavjud:

14.1. Imkoniyat, 13.1 - 13.4 cich Vimog kichik bandlarida keltirilgan.

14.2. Amaliy va tizimli dasturiy ta'minotning e'lon qilinmagan imkoniyatlariga hujumlarni amalga oshirish uchun SKZI va vikoristannya galereyasini ishlab chiqish va tahlil qilishga ixtisoslashgan tadqiqot va ishlanma markazlaridan usullarni ishlab chiqish va hujumlarni tayyorlash.

14.3. Volodynnya CA apparat va dasturiy ta'minot komponentlar bo'yicha barcha hujjatlar.

14.4. CA ob'ektlarining barcha apparat komponentlari may.

15. CA xarajatlari CA to'lovlari uchun operatsion hujjatlarga muvofiq amalga oshirilishi kerak. CA ob'ektlarining xavfsiz ishlashini ta'minlash uchun tashkiliy va texnik yondashuvlar majmuasi CA xarajatlari uchun operatsion hujjatlarda belgilanishi mumkin.

16. CA akkreditatsiyasiga beriladigan RaI akkreditatsiyalari klassi yuqori CA akkreditatsiya klassi uchun aybdor emas. CA xodimlariga beriladigan RaI topshiriqlari sinfi CA suyaklari uchun operatsion hujjatlarda belgilanishi mumkin.

CA ob'ektlarida g'alaba qozongan SKZI klassi CA ob'ektlarining quyi sinfi uchun aybdor emas. CA muassasalarida vikoristovuyutsya bo'lgan SKZI klassi CA suyaklari uchun operatsion hujjatlarda belgilanishi mumkin.

17. Teri kuchli, u UC foydasi oldida taqdim etiladi, xoh u KA1 jinoyat toifasi bo'ladimi yoki u o'zgarmagan holda hujumkor toifadagi UC foydasi oldida taqdim etiladi (bu holda u bo'lishi mumkin emas edi). hujumchi sinfning UC foydasiga ko'rsatilgan), aks holda bu mumkin bo'ladi ( o'tishning ushbu bosqichida hujumchi sinf UT-lari zhorstke formulasini keltirib chiqarishi mumkin edi). Vymogi hujumchi sinfning UC foydasiga qadar qo'shimcha vimogidan o'ch olishi mumkin, bu esa oldinga siljish sinfining UC afzalliklari bilan mos kelmaydi.

18. Wimogi to PZ Koshtiv UTs:

18.1. Wimogi - Koshtiv UC sinf KS1:

CA xodimlarining dasturiy ta'minoti robotlashtirilgan dasturiy ta'minot algoritmini va CA AS ni o'zgartirish yoki qo'llab-quvvatlash imkonini beruvchi CA xodimlarining javobgarligida aybdor emas.

18.2. Wimogi dan Koshtiv UC sinf KS2 ga:

CAda yozilgan CA va SKZI ning amaliy dasturiy ta'minotini ishlab chiqish tizim dasturiy ta'minotining funktsiyalarini hujjatlashtirishdan ko'ra ko'proq bo'lishi mumkin.

18.3. Wimogi-dan Koshtiv UTs KS3 sinfiga:

Системне та прикладне ПЗ засобів УЦ повинно забезпечувати розмежування доступу системного адміністратора засобів УЦ, адміністратора сертифікації засобів УЦ та осіб, що забезпечуються системним адміністратором засобів УЦ ідентифікуючою та аутентифікуючою інформацією та не є адміністратором сертифікації засобів УЦ (далі - користувачі засобів УЦ) засобами УЦ, виходячи CA tizimi ma'muri tomonidan o'rnatilgan kirishni ajratish qoidalaridan;
- PZ zasobív UTs tizimi va qo'llanilishi e'lon qilinmagan imkoniyatlar mavjudligini nazorat qilish bilan teng 4 amal qilishi mumkin;
- UCning PZ zasobiv tizimli qo'llash kirish mumkin bo'lmagan dzherelah chop etilgan janjal bo'yicha qasos aybdor emas;
- tizim va (yoki) amaliy dasturiy ta'minot omboriga zasobív CA kirishdan ma'lumot to'plash uchun g'olib bo'lgan operatsion va tashqi xotirani tozalashni ta'minlaydigan mexanizmga kirish uchun javobgardir.

18.4. Vymogi uchun zabív UT sinf KV1 zbígayutsya z vymogi koshtyv UC sinf KS3.

18.5. Wimogi dan Koshtiv UC sinf KV2 ga:

Tizimning vihídny matnlari va qo'llaniladigan PZ zasobív UT ularda hujumlarga qarshi turish uchun ma'lumotlarni himoya qilish usullari va usullarini amalga oshirishni qayta tekshirishdan o'tishi, bunday testlarni tayyorlash va o'tkazish, imkoniyatlarning 9 - 13-bandlarida keltirilgan. Vymog;
- tizim matnlari va qo'llaniladigan dasturiy ta'minotni tekshirish e'lon qilinmagan imkoniyatlarning haqiqiyligi uchun qayta tekshirilishi kerak;
- Tizimli va amaliy dasturiy ta'minot xorijiy davlatlarning kompyuter hujumlariga chidamli bo'lishi mumkin.

18.6. Vymogi zasobiv UC sinf KA1 gacha:

Hujumlarga qarshilik ko'rsatish uchun ulardagi ma'lumotlarni himoya qilish usullari va usullarining amalga oshirilishini rasmiy tekshirishdan o'tish, ushbu moddaning 9 - 14-bandlarida sanab o'tilgan bunday o'rinbosar imkoniyatlarni tayyorlash va amalga oshirish CAning mas'uliyati hisoblanadi.

19. Vimogi AS UCga:

19.1. Uy-joy uchun qasos olish, davlat sirini aniqlash, qabul qilish, uzatish tizimini texnik ta'minlash (yoki) akustik va vizual ma'lumotlar mavjud bo'lgan binolarda AT ni joylashtirishni rejalashtirish vaqtida; processing, saving and generating energy, , що становлять державну таємницю, технічні засоби іноземного виробництва, що входять до складу коштів УЦ, повинні бути піддані перевіркам щодо виявлення пристроїв, призначених для негласного отримання інформації, а також дослідженням на відповідність вимогам щодо захисту від витоку інформації po kanalah pobichnix elektromagnitnix vipromyuvan ta naveden ko'rish mumkin bo'lgan manzil toifasiga mos keladi.

19.2. Wimogi - Koshtiv UC sinf KS1:

CAning asosiy funktsiyalarini amalga oshirish samaradorligini qayta tekshirish CA AS test tizimini takomillashtirish bilan amalga oshiriladi.

19.3. Vymogi uchun koshtyv UC sinf KS2, KS3, KV1, KV2 zbígayutsya z vimogi koshtyv UC sinf KS1.

19.4. Vymogi zasobiv UC sinf KA1 gacha:

XK AS omboriga kiruvchi xorijiy ishlab chiqarish texnik vositalarini xo'jalik inshootlari, ma'lumotlarni yashirin olib tashlash belgilarini aniqlash usuli bilan maxsus qayta tekshirishdan o'tkazish;
- Salbiy funktsional imkoniyatlarni istisno qilish usuli bilan CA funktsiyalari amalga oshirilgan ASni yangi tekshirishni o'tkazish (BIOS dastur kodini tahlil qilish bilan birga).

20. Rol ajratishdan oldin Wimogi:

20.1. CA funktsiyalarining ishlashini ta'minlash uchun CA CA ma'mur guruhi a'zolarini ajratish rollarini saqlab qolishi mumkin.

20.2. Wimogi - Koshtiv UC sinf KS1:

Aybdor buti rollarni o'zgartirish va rozpodyl obov'yazkív mizh rollarini tayinladi;
- rollar ro'yxati va rozpodyl obov'yazkív mizh rollari CA qiymati uchun operatsion hujjatlarda tayinlanishi mumkin.

20.3. Vymogami uchun zaobív UT sinf KS2 zbígayutsya z vimogami uchun zaobív UT sinf KS1.

20.4. Wimogi-dan Koshtiv UTs KS3 sinfiga:

UC xarajatlari bir xil til rollarini saqlab qolish uchun javobgardir:

1) asosiy o'rnatish tiliga ega tizim ma'muri, CA funktsiyalarini sozlash va sozlash, CA operatsiyalari ma'murlari guruhi a'zolarining profillarini yaratish va sozlash, profil konfiguratsiyasi va sozlamalardagi parametrlar. audit jurnali;

2) sertifikat ma'muri asosiy bog'lanishlar bilan: RaI tekshirish kalitlari sertifikatlarini tasdiqlash va bekor qilish;

CA xodimlari CA ma'murlari guruhining bir a'zosiga turli rollarni o'ynashga ruxsat berishni imkonsiz qiladigan mexanizmni amalga oshirishi mumkin.

20.5. Vymogy UTs sinf KB1 uchun:

Koshti CA zaxira va yangilash bo'yicha asosiy majburiyatlar bilan operatorning til rolining mavjudligini ta'minlash uchun javobgardir.

20.6. Vymogi uchun zabív UT sinf KV2 zbígayutsya z vymogi koshtyv UT sinf KB1.

20.7. Vymogi zasobiv UC sinf KA1 gacha:

Koshti UTs asosiy ob'ov'yazkami bilan audit ma'murining obov'yazkovoí roli ko'rinishini ta'minlash uchun mas'uldir: audit jurnalini qayta ko'rib chiqish va qo'llab-quvvatlash;
- tizim ma'muri audit jurnaliga o'zgartirishlar kiritish imkoniyati uchun javobgar emas.

21. Vymogi UC narxining yaxlitligiga:

21.1. Koshti UC ruxsatsiz tushkunlik va (yoki) xabardor bo'lmagan (o'zgarishlar, modifikatsiyalar) va (yoki) axborot, dasturiy vositalar va AS CA (keyingi o'rinlarda - yaxlitlikni monitoring qilish mexanizmi) yo'q qilinishini nazorat qilish mexanizmi uchun javobgardir.

21.2. Wimogi - Koshtiv UC sinf KS1:

Quvvatni nazorat qilish mexanizmiga Vymogi CA qutilarini taqsimlash (modernizatsiya qilish) uchun TKga berilishi mumkin;
- CA ning dasturiy ta'minoti va ASning yaxlitligini nazorat qilish muddati va CA xarajatlari uchun operatsion hujjatlardagi belgilar belgilanishi mumkin;
- dasturiy ta'minotning yaxlitligini nazorat qilish va UC AS ning operatsion tizimning (keyingi o'rinlarda OT deb yuritiladi) teriga tushishi uchun javobgardir;
- UC mushuklarining yaxlitligini yangilash uchun butiga qarzdormiz.

21.3. Vymogami uchun zaobív UT sinf KS2 zbígayutsya z vimogami uchun zaobív UT sinf KS1.

21.4. Wimogi-dan Koshtiv UTs KS3 sinfiga:
- yaxlitlik nazorati hosil boshiga 1 martadan kam bo'lmagan vikonuvatisya uchun javobgardir.

21.5. Vymogy UTs sinf KB1 uchun:
- Butunlikni nazorat qilish OT CA tomonidan qabul qilinmaguncha vikonuvatisya mas'uliyati hisoblanadi.

21.6. Vymogi uchun zabív UT sinf KV2 zbígayutsya z vymogi koshtyv UT sinf KB1.

21.7. Vymogi zasobiv UC sinf KA1 gacha:
- yaxlitlikni nazorat qilish CA ob'ektlari faoliyati davomida dinamik ishlashi uchun javobgardir.

22. Kirish nazorati uchun Wimogi:

22.1. Koshti UTlari xavfsiz kirishni ta'minlay oladi.

22.2. Wimogi - Koshtiv UC sinf KS1:
- kirishni boshqarishga tayinlanishi va CAni tarqatish (modernizatsiya qilish) uchun TKga tayinlanishi mumkin.

22.3. Vymogami uchun zaobív UT sinf KS2 zbígayutsya z vimogami uchun zaobív UT sinf KS1.

22.4. Wimogi-dan Koshtiv UTs KS3 sinfiga:
- CA kirishni boshqarishning ixtiyoriy printsipi uchun javobgardir.

22.5. Vymogi uchun zabív UT sinf KV1 zbígayutsya z vymogi koshtyv UC sinf KS3.

22.6. Wimogi dan Koshtiv UC sinf KV2 ga:
- may buti yopiq ish muhitini yaratishni ta'minlash mumkin 4 sobív UT.

22.7. Vymogi zasobiv UC sinf KA1 gacha:
- CAda kirishni boshqarishning majburiy printsipini ta'minlash mumkin; sertifikat ma'murining ES kalitini joriy qilish uchun kamida ikkita ishonchli shaxs talab qilinadi 5 .

23. Identifikatsiya va autentifikatsiyadan oldin Wimogi:

23.1. Identifikatsiya va autentifikatsiya CA xodimini, CA ma'mur guruhi a'zosini tan olish yoki ularning haqiqiyligini tekshirish jarayonini o'z ichiga oladi. Autentifikatsiya mexanizmi autentifikatsiyaning salbiy natijasi uchun ushbu sub'ektlarning CA funktsiyalariga kirishini bloklashda aybdor.

23.2. CA ob'ektlarida autentifikatsiya qilish tartib-qoidalarining amalga oshirilganligi yoki amalga oshirilmasligi uchun kirish ob'ektini autentifikatsiya qilish bo'yicha ko'p sonli oldinga urinishlar almashish uchun blokirovkalash mexanizmlari mavjud bo'lishi mumkin, ularning soni uchtadan ko'p bo'lishi mumkin emas. Agar o'rnatilgan chegara qiymatiga kirish huquqiga ega bo'lgan bir ob'ektni autentifikatsiya qilish bo'yicha yaqinlashib kelayotgan urinishlar soni oshib ketgan bo'lsa, ushbu ob'ektning CA ob'ektlariga kirish huquqi bir soat davomida bloklanishi mumkin, bu kengaytirish (modernizatsiya) uchun TK tomonidan ko'rsatilgan. ) CA qiymati.

23.3. Wimogi - Koshtiv UC sinf KS1:

CA hisoblarini ro'yxatdan o'tkazish tartibining tavsifi (CA hisoblari reestriga ma'lumotlarni kiritish) CA hisoblari bo'yicha operatsion hujjatlarda bo'lishi mumkin;
- CA ob'ektlariga kirishga ruxsat beruvchi barcha tizimlar uchun autentifikatsiya o'tkazilishi mumkin. Agar shunday bo'lsa, autentifikatsiya qilish uchun faqat vaqti-vaqti bilan o'zgartiriladigan, kamida 8 belgidan, alifbo kuchlanishi 36 belgidan kam bo'lmagan ramziy paroldan foydalanishga ruxsat beriladi. Parolni o'zgartirish muddati 6 oyni o'zgartirish uchun javobgar emas.

23.4. Wimogi dan Koshtiv UC sinf KS2 ga:

Shaxsni tasdiqlovchi hujjatlarni yogo ro'yxatdan o'tkazishning CA ning koristuvannye koshtív píd soatini taqdim etish zarurati UT ning ekspluatatsion hujjatlariga kiritilishi mumkin;
- barcha CA larga masofadan autentifikatsiya qilish mexanizmlarini o'zgartirishga ruxsat berilgan. CA aktivlari va axborotlashtirish ob'ektlarining haqiqiyligini qayta tekshirish doirasida akkreditatsiyani tasdiqlash tufayli masofaviy autentifikatsiya qilish mexanizmlarining o'ziga xos xususiyatlari, masalan, aholini ro'yxatga olishning o'zgaruvchanligi, cim Wimogam;
- CA xizmatlaridan mahalliy foydalanish imkoniyati mavjud bo'lsa, CA ma'murlari guruhi a'zolarining autentifikatsiyasi CA xizmatlarining ish stantsiyasiga o'tishdan oldin (masalan, bazaviy OT qabul qilinmaguncha) tugatilishi kerak.

23.5. Wimogi-dan Koshtiv UTs KS3 sinfiga:

CA xodimlari mahalliy CAlarni autentifikatsiya qilish mexanizmini amalga oshirishi mumkin, bu esa CA xodimlariga kirish imkonini beradi, lekin CA ma'mur guruhining omboriga kirmaydi.

23.6. Vymogy UTs sinf KB1 uchun:

CA ob'ektlariga masofadan kirish bilan faqat ramziy parolni o'zgartirish mumkin, kriptografik protokollarga asoslangan autentifikatsiya mexanizmlari tekshirish uchun javobgardir.

23.7. Vymogi uchun zabív UT sinf KV2 zbígayutsya z vymogi koshtyv UT sinf KB1.

23.8. Vymogi zasobiv UC sinf KA1 gacha:

CA ob'ektlarida, har qanday amalga oshirilgan autentifikatsiya mexanizmi uchun, foydalanish sohasida CA xizmatlariga kirishni blokirovka qiluvchi vaqtga kirish uchun bir ob'ektni autentifikatsiya qilish uchun ilgari urinishlarning maksimal ruxsat etilgan sonini belgilash imkoniyatini amalga oshirish mumkin.

24. Wimogi to zahistu danikh, scho to come (export) to (h) UC:

24.1. CA EP tasdiqlash kalitining o'z-o'zidan imzolangan sertifikati kiritilganligini ta'minlash uchun javobgardir.

24.2. Wimogi - Koshtiv UC sinf KS1:

CA xarajatlari NRSdan o'g'irlash usullaridan foydalangan holda CAga etib borishi mumkin bo'lgan va CAdan eksport qilinadigan kirish uchun almashiladigan ma'lumotni himoya qilish uchun ma'lumotlarni uzatishni ta'minlash uchun javobgardir;
- CA idoralarida gibni tan olish deklaratsiyasini himoya qilish tartibi amalga oshirilishi mumkin 6;
- zahistu vyd nav'yazuvannya khibnykh podomlen tartibini o'tkazishdan oldin CA komplektlarini tarqatish (modernizatsiya qilish) uchun TKga tayinlanadi.

24.3. Wimogi dan Koshtiv UC sinf KS2 ga:

CA xarajatlari RaI qayta tekshirish kaliti sertifikati uchun asosiy to'lovni ta'minlash uchun javobgardir;
- agar CA CA faoliyati uchun muhim bo'lgan ma'lumotlarni qabul qilish uchun javobgar bo'lsa, u RaI tomonidan imzolanmaydi.

24.4. Wimogi-dan Koshtiv UTs KS3 sinfiga:

CA xodimlari RaI g'alabasi asosida soliq to'lovchilarni himoya qilish mexanizmini amalga oshirishi mumkin, shuning uchun ular RaIning RaI mukofotiga mosligini tasdiqlovchi hujjatni olib qo'yishdi.

24.5. Vymogy UTs sinf KB1 uchun:

CA ob'ektlari kriptografik axborotni himoya qilish tizimini takomillashtirish bilan jismoniy ajratilgan komponentlar o'rtasida ma'lumotlarni uzatish uchun ma'lumotlarni himoya qilish mexanizmini amalga oshirishi mumkin.

24.6. Vymogi uchun zabív UT sinf KV2 va KA1 zbígayutsya z vimogi koshtyv UT sinf KB1.

25. Ro'yxatdan o'tishdan oldin Wimogi:

25.1. Baza OS zasobív UTs pídtrimuvati vednya jurnali audit tizimi podíy mumkin.

25.2. Wimogi - Koshtiv UC sinf KS1:

CA xodimlari CA o'z vazifalarini bajarishi bilan bog'liq jurnalning audit hisobotlarini vibratsiyali ro'yxatga olishni amalga oshirish mexanizmiga ega bo'lishi mumkin;
- ro'yxatga olingan bo'linmalar ro'yxati CAning operatsion hujjatlari uchun javobgardir.

25.3. Vymogami uchun zaobív UT sinf KS2 zbígayutsya z vimogami uchun zaobív UT sinf KS1.

25.4. Wimogi-dan Koshtiv UTs KS3 sinfiga:

Iltimos, agar ular CA ma'mur guruhi a'zosi bo'lmasa, CA xodimlari tomonidan audit jurnaliga ruxsatsiz o'zgartirishlar kiritish uchun audit jurnaliga keling.

25.5. Vymogi uchun zabív UT sinf KV1 zbígayutsya z vymogi koshtyv UC sinf KS3.

25.6. Wimogi dan Koshtiv UC sinf KV2 ga:

Iltimos, audit jurnalidagi teri yozuvidagi ruxsatsiz o'zgarishlarni ko'rish uchun qaytib keling.

25.7. Vymogi zasobiv UC sinf KA1 gacha:

Audit jurnali faqat audit ma'murida mavjud bo'lishi mumkin, uni faqat ko'rib chiqish, nusxalash va tozalash mumkin. Jurnaldagi birinchi yozuvni tozalagandan so'ng, audit belgilangan kundan boshlab, soat va operatsiya amalga oshirilganligi sababli shaxs to'g'risidagi ma'lumotlarni tozalash fakti uchun avtomatik ravishda javobgar bo'ladi.

26. Vymogi schodo ishonchliligi va CA xususiyatlarining ishlashi barqarorligi:

26.1. Aybdorlar CA xodimlari faoliyatining ishonchliligi va barqarorligi va CA xodimlarini rivojlantirish (modernizatsiya qilish) bo'yicha TKni tayinlash uchun tayinlangan.

26.2. Wimogi - Koshtiv UC sinf KS1:

AS funktsiyalarining ishdan chiqishiga olib kelishi uchun AS ning nosozliklari va nosozliklarini bartaraf etish bo'yicha tekshiruv o'tkazdi.

26.3. Wimogi dan Koshtiv UC sinf KS2 ga:

UC faoliyatining barqarorligini tekshirish kerak.

26.4. Wimogi-dan Koshtiv UTs KS3 sinfiga:

Nosozlikdan keyin UC narxini yangilash uchun imkon qadar tezroq tayinlangan aybdor buti va UT narxini taqsimlash (modernizatsiya qilish) uchun TKga tayinlangan;

Kiring va UC xarajatlari resurslarini kotirovka qilish mexanizmi tufayli UC resurslarining ishonchliligi va barqarorligini oshirishga yordam bering.

26.5. Vymogy UTs sinf KB1 uchun:

Imovirníst zboív va uning funktsiyalari nevikonannya UTs olib keladi AS UTs nosozliklar, uzoq vaqt davomida vikoristovuvanih SKZI uchun analog ymovírnosti qayta ko'rib aybdor emas.

26.6. Vymogi uchun zabív UT sinf KV2 va KA1 zbígayutsya z vimogi koshtyv UT sinf KB1.

27. Asosiy ma'lumotlarga vakolat beradi:

27.1. Asosiy ma'lumotlarni yaratish, tanlash, tanlash va qisqartirish tartibi CA tomonidan beriladigan EP va boshqa SKZI uchun operatsion hujjatlarga qarab belgilanadi.

27.2. RaIning díí̈ kaliti atamasi CA tomonidan yutilgan RaI bilan bog'liq bo'lib, hokimiyat tomonidan tasdiqlanishi mumkin, biz uni RaIdan oldin o'rnatamiz.

27.3. Wimogi - Koshtiv UC sinf KS1:

Asosiy hujjatlarning ma'lumotlarini (kriptografik kalitlar, shu jumladan EP kalitlari) burunga (masalan, qattiq disk), agar kalit burunlarida bo'lmasa, oldinga shifrlashsiz nusxalashga yo'l qo'yilmaydi (chunki SKZI-dan foydalanish mumkin bo'lishi mumkin). funktsiyasi). Asosiy hujjatlarning nusxalari faqat SKZI g'olib rekordi bo'yicha operatsion hujjatlardan oldin talab qilinishi mumkin;

Key, Pidpis CertifiTív Klovyv Perekhvyv Tu tinglang Nonikaliv Numifítív Klovyv Perekhvyv, Diyki uchun kalit, Vikoristovoye Vikoristovoy, Bula qo'shiq lahzasida, Termini DII dan o'g'irlangan (Dali - Anulovye sertifikatlari ro'yxati),

Barcha kalitlar uchun shartlar operatsion hujjatlarda CA kodi bilan belgilanishi mumkin.

27.4. KS2 va CC3 UC sinflarini olish vakolatlari KS1 sinfidagi CAlarni olish uchun etarlilik bilan birlashtiriladi.

27.5. Vymogy UTs sinf KB1 uchun:

RaI kalitining buzilishining oldini olish uchun tashkiliy va texnik masalalar bilan bog'lanish, kalit buzilgan taqdirda EP tasdiqlash kalitlari va bekor qilingan sertifikatlar ro'yxatidagi sertifikatlarni imzolash uchun yutib olish sizga bog'liq. ma'lumot, mavjud.

27.6. Wimogi dan Koshtiv UC sinf KV2 ga:

RaI tasdiqlash kalitlari va bekor qilish sertifikatlari roʻyxati uchun sertifikatlarni imzolashda gʻolib boʻlgan RaI kaliti RaIni yaratish, saqlash, gʻalaba qozonish va anderrayting uchun javobgardir. Federal qonunga muvofiq, RaIning himoyasi oldida taqdim etilgan qonun hujjatlarida belgilangan vakolatlarni tasdiqlovchi hujjatlarni olib qo'ygan bo'lsa, faqat RaI mas'uliyatini qo'lga kiritishga ruxsat etiladi;
- ES kalitining buzilishining oldini olish uchun tashkiliy va texnik tashriflar mas'uliyati, ESni tekshirish kalitlari va bekor qilingan sertifikatlar ro'yxatidagi sertifikatlarni imzolash uchun g'alaba qozonish, agar asosiy ma'lumotlar buzilgan bo'lsa, mavjud bo'lsa. ikki kishiga.

27.7. Vymogi zasobiv UC sinf KA1 gacha:

RaI kalitining buzilishiga yo'l qo'ymaslik uchun tashkiliy va texnik bo'limlar bilan bog'lanish, EP tasdiqlash kalitlari va bekor qilingan sertifikatlar ro'yxatidagi sertifikatlarni imzolash uchun g'alaba qozonish kerak, agar asosiy ma'lumotlar buzilgan bo'lsa, uch kishi uchun mavjud.

28. CA xarajatlarini zaxiralash va yangilash uchun:

28.1. Koshti CA turli vaqtlarda AS va (yoki) CA tomonidan qayta ishlanadigan ma'lumotlarning zaxira nusxasini olish va yangilash funktsiyalarini amalga oshirish uchun javobgardir. Zaxiralash jarayonida kriptografik kalitlarni nusxalash imkoniyati o'chirib qo'yilishi mumkin.

28.2. Wimogi - Koshtiv UC sinf KS1:

Ma'lumotlar, zaxiralangan taqdirda tejash, UC lageri fayllari ishlashini yangilash uchun etarli, ammo nusxa ko'chirish vaqtida qayd etiladi.

28.3. KS2 va CC3 UC sinflarini olish vakolatlari KS1 sinfidagi CAlarni olish uchun etarlilik bilan birlashtiriladi.

28.4. Vymogy UTs sinf KB1 uchun:

Aybdor, lekin tirik, ma'lumotlarni saqlashdagi ruxsatsiz o'zgarishlarni aniqlash uchun keling;
- tayinlanganligi sababli, iloji boricha tezroq, ular CA qutilarini tarqatish (modernizatsiya qilish) uchun TKga va CA qutilari uchun operatsion hujjatlarga tayinlangan.

28.5. Wimogi dan Koshtiv UC sinf KV2 ga:

Zaxiralashda saqlanadigan ma'lumotlar faqat shifrlangan shaklda saqlanishi kerak.

28.6. Vymogi uchun zasobív UT sinf KA1 zbígayutsya z vimogi koshtyv UT sinf KV2.

29. Vymogi EPni tekshirish kalitlari sertifikatlarini yaratish va bekor qilishdan oldin:

29.1. RaI tasdiqlash kalitlari sertifikatlarini yaratish va bekor qilish protokollari CA uchun operatsion hujjatlarda tasvirlangan bo'lishi mumkin.

29.2. ITU-T X.509 7 xalqaro tavsiyalariga (keyingi o'rinlarda X.509 tavsiyalari deb yuritiladi) muvofiq EP tekshirish kalitlarining CA sertifikatlarini va bekor qilingan aybdorlik guvohnomalari ro'yxatini yaratish. RaI qayta tekshirish kaliti sertifikatidan oldin kiritilishi kerak bo'lgan barcha maydonlar va qo'shimchalar va X.509 tavsiyasidan oldin qayta tekshirilishi kerak bo'lgan bekor qilingan sertifikatlar ro'yxati. RaIni qayta tekshirish kalitlarida sertifikatlar uchun muqobil formatlar tanlansa, ularni RaI qayta tekshirish kalitlarida sertifikatlarni yaratish va bekor qilish protokollari tuzilgunga qadar belgilash va TKga tayinlash mumkin bo'ladi. CAni tarqatish (modernizatsiya qilish).

29.3. Agar CA turli xil bekor qilingan sertifikatlar ro'yxatidan EP qayta tekshirish kaliti sertifikatini bekor qilish protokolini amalga oshira olsa.

29.4. Bekor qilish protokollarini bekor qilingan sertifikatlar ro'yxatini o'zgartirmasdan amalga oshirishga ruxsat beriladi, garchi ular CA xarajatlarini taqsimlash (modernizatsiya qilish) uchun TKga berilishi mumkin.

29.5. Wimogi - Koshtiv UC sinf KS1:

CA muassasalarida qog'oz burundagi SP tekshirish kaliti uchun sertifikat tayyorlash funktsiyasi amalga oshirilishi mumkin. Qog'oz burunga ES muvofiqlashtirish kaliti sertifikatini berish tartibi, shuningdek qog'oz burundagi elektron shaklda ES muvofiqlashtirish kaliti sertifikatining amal qilish muddatini nazorat qilish tartibi operatsion hujjatlarda belgilanishi kerak. CA qiymati bo'yicha;

CA ob'ektlarida RaI qayta tekshirish kalitining o'ziga xosligini qayta tekshirish va EPni qayta tekshirish kalitini tekshirish mexanizmini amalga oshirish mumkin.

29.6. Vymogami uchun zaobív UT sinf KS2 zbígayutsya z vimogami uchun zaobív UT sinf KS1.

29.7. Wimogi-dan Koshtiv UTs KS3 sinfiga:

RaI kalitini qayta tekshirish sertifikatlari va bekor qilingan sertifikatlar ro'yxatidagi soat qiymatining o'zgarishi 10 daqiqani qayta ko'rib chiqish uchun javobgar emas.

29.8. Vymogy UTs sinf KB1 uchun:

RaI kalitini qayta tekshirish sertifikatlari va bekor qilingan sertifikatlar ro'yxatidagi soat qiymatining o'zgarishi 5 daqiqani qayta ko'rib chiqish uchun javobgar emas.

29.9. Vymogi zabív UT sinf KV2 va KA1 zbígayutsya z vimogi koshtyv UT sinf KB 1 ga.

30. RaI qayta tekshirish kaliti sertifikati tuzilishiga va yaroqsiz sertifikatlar roʻyxatiga yordam bering:

30.1. Wimogi - Koshtiv UC sinf KS1:

EPni qayta tekshirish kaliti sertifikatining ruxsat etilgan tuzilishi va bekor qilingan sertifikatlar ro'yxati CA xarajatlari uchun operatsion hujjatlarda to'lanishi mumkin;
- CA EPni qayta tekshirish kalitlari va topshiriqlar tuzilmasidagi sertifikatlarni bekor qilish ro'yxatlarida sertifikatlar yaratishning haqiqiyligini monitoring qilish mexanizmini amalga oshirish uchun javobgardir;
- RaI qayta tekshirish kaliti sertifikati tuzilmasida CA xizmatlari klassi toʻgʻrisidagi maʼlumotlarni tekshirish uchun EP qayta tekshirish kalitining toʻgʻri sertifikati yaratilgan maydon oʻtkazildi. ESni qayta tekshirish kaliti sertifikatining ES sinfi haqidagi ma'lumotlarni o'chiring.

30.2. KS2 va CC3 UC sinflarini olish vakolatlari KS1 sinfidagi CAlarni olish uchun etarlilik bilan birlashtiriladi.

30.3. KV1 sinfining zasobiv UTs uchun Vymogy:

CA lar tizim ma'muri uchun EPni qayta tekshirish kaliti sertifikatiga va bekor qilingan sertifikatlar ro'yxatiga tegishli qo'shimchalar to'plamini o'rnatish mexanizmini amalga oshirishi mumkin.

30.4. Vymogi uchun zabív UT sinf KV2 va KA1 zbígayutsya z vimogi koshtyv UT sinf KB1.

31. EP kalitlarini tekshirish va yangilariga kirish xavfsizligi uchun sertifikatlar reestriga yordam bering:

31.1. Wimogi - Koshtiv UC sinf KS1:

CA ob'ektlarida EPni qayta tekshirish kalitlarining barcha yaratilgan sertifikatlarini va reestrdagi sertifikatlarni bekor qilish ro'yxatlarini, shuningdek reestrga kirishni saqlash va tekshirish mexanizmini joriy qilish mumkin.

31.2. Vymogami uchun zaobív UT sinf KS2 zbígayutsya z vimogami uchun zaobív UT sinf KS1.

31.3. Wimogi-dan Koshtiv UTs KS3 sinfiga:

CA turli atributlar bo'yicha RaI qayta tasdiqlash kalitlari sertifikatlari reestridan RaI qayta tasdiqlash kalitlari sertifikatlari va bekor qilingan sertifikatlar ro'yxatini qidirish mexanizmini amalga oshirish uchun javobgardir;
- RaIni qayta tekshirish kalitlari sertifikatlari reestriga kiritilgan barcha o'zgarishlar audit jurnalida ro'yxatga olinishi kerak.

31.4. Vymogi gacha zabív UT sinf KB1, KV2 va KA1 zbígayutsya z vimogi koshtyv UC sinf KS3.
32. RaIni qayta tekshirishdan oldin RaI qayta tekshirish kaliti sertifikati:

32.1. CA kodi uchun operatsion hujjatlardagi belgilarning elektron almashinuvi ishtirokchisining iltimosiga binoan EPni qayta tekshirish kaliti sertifikatining imzosini qayta tekshirish mexanizmi aybdor.

32.2. CA o'zi ko'rgan URni tekshirish kalitlari sertifikatlarida UR SPni qayta tekshirish mexanizmini amalga oshirish uchun javobgardir.

32.3. ESni qayta tekshirish kaliti sertifikatida ESni qayta tekshirish X.509 tavsiyalariga, jumladan, barcha muhim qoʻshimchalarning majburiy qayta tekshirilishiga boʻysunadi.

32.4. Biroq, CA ob'ektlarining ishlashining o'ziga xos xususiyatlaridan kelib chiqqan holda, RaI muvofiqlashtirish kaliti sertifikatida muqobil formatlarni, so'ngra EP qayta tekshirish kaliti sertifikatining imzolanishini qayta tekshirish mexanizmini va TKni tayinlash uchun ruxsat etiladi. CAning yarashuvlarini taqsimlash (modernizatsiya qilish) aybdor.

33. CA xavfsizligiga hujumlar kanallarini rag'batlantirish imkoniyatlarini almashish uchun ekranning vositachi himoyasi bilan aloqa qilish kanallarning mas'uliyati hisoblanadi.

34. Aybdorlar CA ni kompyuter viruslari va kompyuter hujumlaridan himoya qilishga yordam berish uchun tayinlangan va CA to'plamlarini tarqatish (modernizatsiya qilish) uchun TKga tayinlangan.

35. Agar CA axborot va telekommunikatsiya vositalariga ulangan bo'lsa, tarmoqqa kirish osibning asosiy soni bilan cheklanmagan bo'lsa, CA ning belgilanishi KV2 chi KA1 CA sinfini qo'llab-quvvatlash uchun zarur bo'lishi mumkin.

36. UC yo'qotishlarining asosliligini tasdiqlash uchun UC natijalarini baholash Rossiya Federal xavfsizlik xizmati tomonidan ishlab chiqilayotgan, mudofaa parametrlari va xususiyatlarining raqamli qiymatlari yordamida amalga oshiriladi. UC 8 protseduralarida amalga oshiriladigan mexanizmlar.

1 Rossiya Adliya vazirligi tomonidan 2005 yil 3 fevralda ro'yxatga olingan, ro'yxatga olish raqami 6382.
2 Rossiya Adliya vazirligi tomonidan 2010 yil 25 mayda ro'yxatga olingan, ro'yxatga olish raqami 17350.
3 Bosh bo'lmagan toifadagi epidemiyalar (modernizatsiyalar) vannyga umurtqa pog'onasi (tashqi novda) tomonidan mahalliy konjugatsiyaning sog'lig'ini qo'lga olish chuqurligining konjugatsiyasini olib tashlash, hujumlarni biriktirish orqali amalga oshiriladi. UTs qutilarini taqsimlash (modernizatsiya qilish) dan (keyingi o'rinlarda - UTs qutilarini tarqatish (modernizatsiya) uchun T3) dan taktik-texnik isitgichni loyihalash ishlarida yoki qurilishdan oldingi ishlarning saqlash qismida 9- 14 tsinli podval.
4 Dasturiy ta'minot vositasi, go'yo u kamroq qat'iy sub'ektlar to'plamiga (dasturlar, jarayonlar) imkon beradi.
5 UC ma'murlar guruhiga a'zo bo'lgan va qoidabuzar bo'lmagan shaxslar.
6 Nav'yazuvannya hibnogo podomlennya ê díêyu, elektron vza'modííí priymanoy ishtirokchilari yoki CA orqali, bir tarzda bir sprzhny voídomlennya uzatish sifatida, biz NSD turini himoya qiladi.
7 ITU-T tavsiyasi X.509. Texnologiya ma'lumotlari - Ochiq tizimlar o'zaro bog'lanishi - Katalog: Ochiq kalit va atribut sertifikatlari ramkalari. 2008. http://www.itu.int/rec/T-REC-X.509-200811-i.
8 Rossiya Federatsiyasi Prezidentining 2003 yil 11 sentyabrdagi Farmoni bilan tasdiqlangan Rossiya Federatsiyasi Federal xavfsizlik xizmati to'g'risidagi Nizomning 9-bandi 47-bandi. 960-son (Ukraina Qonun hujjatlari to‘plami, 2003 y., N 33, 3254-modda; 2004 y., No 28, 2883-modda; 2005 y., 36-modda, 3665-modda, No 49, 5206-modda; 25-modda, 2699-modda, 49-modda, 6133-modda, 53-modda, 6554-modda, 2008-yil, 36-modda, 4087-modda, 43-modda, 4921-modda, 2011-yil, 47-modda, 2435-modda, 2-son. , 267-modda; 9-son, 1222-modda).

brauzerlar