Сертифицированные скзи фсб. Применение сертифицированных скзи - точка зрения фсб

Валерий Конявский
Научный руководитель ВНИИПВТИ,
научный консультант ОКБ САПР

Любая операция со случайным числом даст случайное число. Случайная последовательность, сложенная с открытым текстом, даст случайный криптотекст. Чем лучше качество гаммы, тем меньше шансов расшифровать криптотекст. Если гамма действительно случайная, то расшифровать криптотекст нельзя.

Шифр Вернама

Средства криптографической защиты информации (СКЗИ) можно разделить на средства шифрования и средства электронной подписи (СЭП).

Передавать гамму в виде громадных катушек перфолент было не очень удобно и довольно дорого. Поэтому иногда и возникали проблемы с ее повторным использованием и, следовательно, с утечками важной информации.

Чтобы не передавать по дорогим каналам катушки перфолент, придумали способы генерации длинной гаммы из случайного, но короткого ключа. В то время передать короткий случайный ключ было проще, чем длинный.

Сертифицированные СКЗИ

С появлением современных носителей информации ситуация разительно изменилась, и теперь нет проблемы изготовить и передать гигабайты гаммы – лишь бы ДСЧ был хорошим. Программные генераторы псевдослучайной последовательности (ПСП) здесь применять можно только от отчаяния, что хорошего физического генератора нет.

Криптографические стандарты определяют последовательности операций, позволяющих на основе хорошего ключа получать надежно зашифрованный открытый текст. При этом все же ключи должны изготавливаться на хороших датчиках.

Регулятор устанавливает правила, испытательные лаборатории проверяют, выполняются ли требования к операциям, ключам и отсутствию влияния на эти процессы других процессов – вот так и появляются сертифицированные СКЗИ.

Шифрование и электронная подпись

Гамма должна обладать следующими свойствами:

  • быть действительно случайной, то есть формироваться за счет физических, аналоговых, а не цифровых процессов;
  • совпадать по размеру с заданным открытым текстом или превышать его;
  • применяться для каждого сообщения только один раз, и затем уничтожаться.

Такой шифр называется шифром Вернама – и это единственный шифр, который обладает абсолютной криптографической стойкостью. Доказывать сейчас его стойкость нет необходимости, так как это сделал К. Шеннон еще в 1945 г. Большая длина гаммы, формирование ее на основе физических процессов и гарантированное уничтожение – вот условия стойкости шифра.

Шифрование необходимо для того, чтобы доступ к информации имели только те, кому можно. ЭП применяется для того, чтобы зафиксировать волеизъявление человека. И если СКЗИ должны правильно в проверенной среде выполнять криптографические преобразования, то для электронной подписи этого недостаточно. Нужно принять все меры, обеспечивающие фиксацию именно свободного волеизъявления человека . На это направлен ФЗ-63, именно поэтому одним из важнейших его требований является требование правильности визуализации того документа, который подписывает человек. Таким образом, в отличие от СКЗИ для квалифицированных СЭП добавляются проверки средств визуализации. Конечно, выполняются и все необходимые проверки криптографических алгоритмов.

Анализируя ту или иную схему ЭП, обычно ставят вопрос так: "Можно ли быстро подобрать два различных (осмысленных) сообщения, которые будут иметь одинаковые ЭП". Ответ здесь обычно отрицательный. Если используется хорошая хэш-функция, для которой не найден эффективный механизм поиска коллизий, такая атака практически всегда обречена на провал. Михаил Грунтович (см. стр. 48) поставил вопрос по-другому: "Можно ли, имея два сообщения, подобрать ключи подписи так, чтобы ЭП совпадали?". И оказалось, что сделать это чрезвычайно просто!

Атака Грунтовича

Конкретные условия реализации указанной атаки рассмотрим (в весьма упрощенном варианте) на примере подписи по схеме Эль-Гамаля. Вера в стойкость этой схемы основана на (гипотетической) сложности задачи дискретного логарифмирования, но здесь атаке подвергается вовсе не задача дискретной математики.

СКЗИ должны быть аппаратными. Они должны содержать физический ДСЧ нужного качества и обеспечивать неизвлекаемость не только ключа подписи, но и других криптографических элементов, влияющих на стойкость алгоритмов.

Введем следующие обозначения:

  • H – криптографическая хэш-функция;
    Zn – множество чисел {0,1, …, n - 1}, n – натуральное число;
    a (mod p) – остаток от деления целого числа a на натуральное число p.

Для схемы формирования подписи Эль-Гамаля:

  • фиксируется простое число p достаточной разрядности и g – примитивный элемент mod p;
  • личным ключом подписи является любое число x из Zp.

Вычисление подписи сообщения m:

  • вычисляется хэш-код h = H(m);
  • выбирается случайное число k, взаимно простое с p - 1: 1 < k < p - 1;
  • вычисляется r = g k (mod p);
  • вычисляется s = k -1 (h - xr) (mod p - 1);
  • подписью является пара c = (r, s).

Теперь рассмотрим, что нужно делать злоумышленнику для реализации атаки. Он должен сгенерировать хэш-коды:

  • h 1 = H(m 1), h 2 = H(m 2)

и совпадающие подписи с одинаковым случайным числом k:

  • s = k -1 (h 1 - x 1 r)(mod p - 1) и
    s = k -1 (h 2 - x 2 r)(mod p - 1).

А это значит, что:

h 1 - x 1 r (mod p - 1) = h 2 - x 2 r(mod p - 1).

Некоторые особенности, на которые следует обращать внимание при применении СКЗИ.
1. Если в документации на СКЗИ указано, в какой ОС оно может использоваться, то использовать его в этой системе и нужно. Иначе даже если СКЗИ будет работать, то вам придется еще провести исследования на правильность встраивания известной СКЗИ в новую среду. Это несложно (относительно) для аппаратных СКЗИ, но довольно сложно для программных.
2. Если в аппаратном СКЗИ отсутствует проверенный ДСЧ и отсутствуют проверенные средства самотестирования (а иначе и не может быть в СКЗИ, выполненных на универсальных смарт-карточных микросхемах), то обратите внимание на документы по встраиванию и эксплуатации. Так как энтропия откуда-то должна добавляться, а тестирование должно производиться, может оказаться, что это СКЗИ можно использовать автономно совсем недолго, например два-три дня. Это не всегда удобно.
3. Если вам предлагают любой токен и говорят, что он сертифицирован по классу КС2 и выше, – не верьте. Скорее всего, в документации есть требование использовать этот токен в среде, защищенной электронным замком. Без этого класс не будет выше КС1.

Как видно, при выборе ключей x 1 и x 2 , таких, что выполняется вышеприведенное условие, подписи совпадают, несмотря на то что подписываемые сообщения разные! Заметим, что для расчета x 2 по известному x 1 требуемые вычисления минимальны по сравнению с субэкспоненциальной задачей дискретного логарифмирования.

Тем не менее не все так страшно. Дело в том, что полученные результаты никак не дискредитируют собственно криптостойкость ЭП . Они показывают возможную уязвимость при неправильном применении механизмов ЭП.

Этот пример наглядно демонстрирует уязвимости, возникающие при неправильной реализации СКЗИ. Описанная атака возможна в том случае, если пользователь знает свой ключ подписи и может узнать случайное число.

Существует радикальный способ борьбы с атаками такого рода – для этого всего лишь необходимо иметь устройство, в котором:

  • генерируется ключ подписи;
  • вычисляется ключ проверки подписи;
  • открытый ключ экспортируется, в том числе для сертификации в удостоверяющем центре;
  • ключ подписи применяется для выработки ЭП только внутри устройства, его экспорт невозможен! В последнее время такие устройства называют устройствами с неизвлекаемым ключом;
  • случайное число никогда не появляется в среде компьютера, оно генерируется и уничтожается после применения внутри устройства.

Вот отсюда понятно, что более надежным является вариант СЭП и СКЗИ, выполненных в виде аппаратуры. В этом случае может быть обеспечено достаточное качество ДСЧ и надежность хранения ключа подписи.

Шифрование

Вернемся теперь к шифрованию и поговорим о том, когда и зачем его нужно применять как физическим лицам, так и юридическим.

Выделим для начала основные типы шифрования, а это абонентское и канальное. Как следует из названий, в случае абонентского шифрования абонент сначала шифрует информацию (файл, документ), а потом уже в закрытом виде передает ее в канал. При канальном шифровании криптографическими методами защищается собственно канал, и абонент не должен заботиться о том, чтобы зашифровать информацию перед ее передачей по каналу. Если канал – это связь "точка-точка", то применяются канальные шифраторы. Если канал – это не провода, а активная структура типа Интернета, то шифровать нужно не все, а только данные. Адреса искажать нельзя, иначе пакеты просто не попадут к адресату. Здесь применяются механизмы виртуальных частных сетей (VPN). Наиболее известные протоколы – IPsec и SSL. Практически все имеющиеся на рынке средства VPN реализуют один из этих протоколов.

VPN

Для того чтобы осознанно выбрать то или иное средство, нужно понять, чем же они различаются и с какими трудностями придется столкнуться на этапе эксплуатации этих средств. Вот что как минимум нужно иметь в виду:

  • криптографическую защиту каналов следует использовать в том случае, если есть угроза того, что передаваемые вами данные настолько интересны для нарушителя, что он присоединится к каналу и станет "слушать" весь ваш обмен. Конечно, начинать защищать каналы нужно после того, как будет надежно защищена внутренняя сеть, так как инсайдер обычно обходится дешевле, чем атака на канал; 1 оба протокола – эти протоколы предназначены для взаимодействия не клиентов, а сетей, поэтому они настраиваются с трудом. Таким образом, важнейшее значение имеют средства управления безопасностью сети – их и нужно выбирать в первую очередь;
  • в стеке протоколов TCP/IP IPsec работает на уровне IP, а SSL – на уровне TCP. То есть если IPsec обеспечивает защиту скорее на системном уровне, то SSL – на прикладном. Так как IPsec функционирует значительно "ниже", то он тем самым "инкапсулирует" в область защиты значительно большее число протоколов, чем SSL, что, конечно, лучше;
  • при эксплуатации VPN ваша основная задача – это управление ключами. Ключи нужно своевременно выдавать, менять – одним словом, ими нужно управлять. Каждая СКЗИ имеет свою систему генерации и управления ключами. Если у вас уже используется какая-нибудь ключевая система, продолжайте ее использовать. Не заводите "зоопарк" – сложным является сопровождение даже одной системы, а уж нескольких – практически неподъемная задача;
  • если ваша задача связана с обеспечением деятельности многих распределенных в пространстве объектов информатизации, то применяйте VPN. Это относится лишь к тем объектам, между которыми осуществляется интенсивное информационное взаимодействие защищаемыми данными, которые могут быть интересны нарушителю настолько, что он готов "слушать" каналы. Если все не так запущено – попробуйте ограничиться абонентскими СКЗИ.

Абонентские СКЗИ

Они характеризуются не алгоритмами (определены стандартами), а утилитами, позволяющими эти СКЗИ применять, и условиями, которые необходимо выполнить. Желательно, чтобы применять эти средства было удобно.

И главное – помните о достаточности средств защиты. Нет необходимости применять дорогостоящие СКЗИ там, где можно обойтись без них.

И еще: СКЗИ и СЭП, которые удовлетворяют всем требованиям, которые мы обсуждали, – есть. Вплоть до класса КВ2. Не называю их только для того, чтобы статья не стала рекламной.

Литература

  1. Конявский В.А. Компьютерная преступность. Т. II. – М., 2008.
  2. Ященко В.В. Введение в криптографию. Новые математические дисциплины. – М., 2001.

Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ".

А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ). А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ.

С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных”, утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622. Но после выхода ПП РФ №1119, данный документ потерял актуальность и ФСБ России сообщила что необходимо руководствоваться именно Инструкцией.


В рамках гос. контроля именно по выполнению положений данной Инструкции находится большое количество нарушений.


По применению Инструкции есть много вопросов, ведь писалась она в те времена, когда сертифицированные СКЗИ применялись в редких организациях в единичных экземплярах. Сейчас же, когда серт. криптография становится повсеместной, вызывает сложности дословное выполнение Инструкции.

Сразу же хочу обратить внимание на тот факт, что Инструкция в связке с 99-ФЗ дают однозначные результаты о необходимости получения лицензии ФСБ России или заключения договора с лицензиатом:

Ст.12 99-ФЗ: “1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

1) … выполнение работ … в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);”

Постановление правительства РФ №313. Приложение к положению: “ПЕРЕЧЕНЬ ВЫПОЛНЯЕМЫХ РАБОТ И ОКАЗЫВАЕМЫХ УСЛУГ, СОСТАВЛЯЮЩИХ ЛИЦЕНЗИРУЕМУЮ ДЕЯТЕЛЬНОСТЬ, В ОТНОШЕНИИ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ

12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.

13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.

14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.

15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.

20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая , если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.”

Но Инструкция содержит более строгие требования.

Инструкция ФАПСИ №152: 4. Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ, лицензиаты ФАПСИ организуют и обеспечивают... на основании договоров на оказание услуг по криптографической защите конфиденциальной информации.

6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты…”

Основной вывод следующий: организация без лицензии ФСБ не может самостоятельно организовать работы по правильной эксплуатации СКЗИ. Для этого организации обязательно нужно обратится к лицензиату, заключить с ним договор на обслуживание. У лицензиата ФСБ в структуре выделяется ОКЗИ, который организует работы по обеспечению безопасности в организации-заказчике и контролирует их выполнение (а иногда и сам выполняет).

PS : По применению отдельных пунктов Инструкции у меня также было много вопросов, самые интересные я задавал регулятору и в следующей статье поделюсь наиболее интересной информацией…

Также интересно увидеть какие у Вас, коллеги, были сложности или наоборот положительный опыт применения Инструкции.

Пользование криптографических средств защиты (СКЗИ) тема весьма неоднозначная и скользкая. Тем немее у Оператора ПДн есть такое право в случае актуальных угроз применить СКЗИ для обеспечения защиты. Только вот не всегда понятно как использовать это право. И вот ФСБ облегчает на жизнь, в свет вышел документ методические рекомендации применимый как для государственных ИС так и всеми остальными Операторами ПДн. Рассмотрим этот документ более подробно.

И так, это случилось, 8-й Центр ФСБ выложил описывающий рекомендации в области разработки нормативно-правовых актов по защите ПДн. Одновременно этим же документом рекомендуется пользоваться операторам ИСПДн при разработке частных моделей угроз.


Так что же думает ФСБ о том, как и где нужно применять СКЗИ?


Достаточно важно, что данный документ опубликован только на сайте ФСБ, не имеет регистрации в Минюсте и не несет ничьей подпис и — то есть его юридическая значимость и обязательность остается только в рамках рекомендаций . Об этом важн помнить.


Давайте заглянем внутрь, в преамбуле документа определяется, что рекомендации «для федеральных органов исполнительной власти… иных государственных органов… которые… принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее – ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности» . Т.е. явно дается отсылка к государственным информационным системам.



Однако, одновременно этими же нормами «целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных». Т.е. документ в таком случае становится универсальным для всех пользователей.



Когда же необходимо использовать СКЗИ?


Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:

  1. если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
  2. если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.

  1. передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
  2. хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.

И вот к чем мы приходим. Если второй пункт так же достаточно логичен, то вот первый не так очевиден. Дело в том, что согласно текущей редакции закона «О персональных данных» имя, фамилия и отчество уже являются персональными данными. Соответственно любая переписка или регистрация на сайте (с учетом того, сколько данных сейчас требуют при регистрации) попадают формально под это определение.



Но, как говорится, нет правил без исключения. В конце документа есть две таблицы. Приведем лишь одну строку Приложения № 1 .



Актуальная угроза:

1.1. проведение атаки при нахождении в пределах контролируемой зоны.

Обоснование отсутствия (список немного сокращен):

  1. сотрудники, являющиеся пользователями ИСПДн, но не являющиеся пользователями СКЗИ, проинформированы о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;
  2. пользователи СКЗИ проинформированы о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;
  3. помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;
  4. утверждены правила доступа в помещения, где располагаются СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
  5. утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ;
  6. осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;
  7. осуществляется регистрация и учет действий пользователей с ПДн;

  8. на АРМ и серверах, на которых установлены СКЗИ:

    используются сертифицированные средства защиты информации от несанкционированного доступа;
  9. используются сертифицированные средства антивирусной защиты.

То есть, если пользователи проинформированы о правилах и ответственности, а и меры защиты применяются, то получается и беспокоиться не о чем.



  • для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия.

Правда чуть ниже говорится, что список сертифицированных СКЗИ можно найти на сайте ЦЛСЗ ФСБ. Про то, что оценка соответствия не есть сертификация, говорилось неоднократно.


  • в случае отсутствия прошедших в установленном порядке процедуру оценки соответствия СКЗИ… на этапе аванпроекта или эскизного (эскизно-технического) проекта разработчиком информационной системы с участием оператора (уполномоченного лица) и предполагаемого разработчика СКЗИ готовится обоснование целесообразности разработки нового типа СКЗИ и определяются требования к его функциональным свойствам.

Это действительно радует. Дело в том, что сертификация процесс очень длительный — до полугода и больше. Зачастую клиенты используют новейшие ОС, не поддерживаемые сертифицированной версией. В соответствии с этим документом клиенты могут использовать продукты, находящиеся в процессе сертификации.



В документе указывается, что:

При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:

  1. описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
  2. выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы.
    3.


  • характеристики безопасности (конфиденциальность, целостность, доступность, подлинность), которые необходимо обеспечивать для обрабатываемых персональных данных;
  • используемые в каждой подсистеме или в информационной системе в целом каналы (линии) связи, включая кабельные системы, и меры по ограничению несанкционированного доступа к защищаемой информации, передаваемой по этим каналам (линиям) связи, с указанием каналов (линий) связи, в которых невозможен несанкционированный доступ к передаваемой по ним защищаемой информации, и реализуемые для обеспечения этого качества меры;
  • носители защищаемой информации, используемые в каждой подсистеме информационной системы или в информационной системе в целом (за исключением каналов (линий) связи).

    • В требованиях по безопасности информации при проектировании информационных систем указываются признаки, характеризующие применяемые средства защиты информации. Они определены различными актами регуляторов в области обеспечения информационной безопасности, в частности - ФСТЭК и ФСБ России. Какие классы защищенности бывают, типы и виды средств защиты, а также где об этом узнать подробнее, отражено в статье.

    Введение

    Сегодня вопросы обеспечения информационной безопасности являются предметом пристального внимания, поскольку внедряемые повсеместно технологии без обеспечения информационной безопасности становятся источником новых серьезных проблем.

    О серьезности ситуации сообщает ФСБ России: сумма ущерба, нанесенная злоумышленниками за несколько лет по всему миру составила от $300 млрд до $1 трлн. По сведениям, представленным Генеральным прокурором РФ, только за первое полугодие 2017 г. в России количество преступлений в сфере высоких технологий увеличилось в шесть раз, общая сумма ущерба превысила $ 18 млн. Рост целевых атак в промышленном секторе в 2017 г. отмечен по всему миру. В частности, в России прирост числа атак по отношению к 2016 г. составил 22 %.

    Информационные технологии стали применяться в качестве оружия в военно-политических, террористических целях, для вмешательства во внутренние дела суверенных государств, а также для совершения иных преступлений. Российская Федерация выступает за создание системы международной информационной безопасности.

    На территории Российской Федерации обладатели информации и операторы информационных систем обязаны блокировать попытки несанкционированного доступа к информации, а также осуществлять мониторинг состояния защищенности ИТ-инфраструктуры на постоянной основе. При этом защита информации обеспечивается за счет принятия различных мер, включая технические.

    Средства защиты информации, или СЗИ обеспечивают защиту информации в информационных системах, по сути представляющих собой совокупность хранимой в базах данных информации, информационных технологий, обеспечивающих ее обработку, и технических средств.

    Для современных информационных систем характерно использование различных аппаратно-программных платформ, территориальная распределенность компонентов, а также взаимодействие с открытыми сетями передачи данных.

    Как защитить информацию в таких условиях? Соответствующие требования предъявляют уполномоченные органы, в частности, ФСТЭК и ФСБ России. В рамках статьи постараемся отразить основные подходы к классификации СЗИ с учетом требований указанных регуляторов. Иные способы описания классификации СЗИ, отраженные в нормативных документах российских ведомств, а также зарубежных организаций и агентств, выходят за рамки настоящей статьи и далее не рассматриваются.

    Статья может быть полезна начинающим специалистам в области информационной безопасности в качестве источника структурированной информации о способах классификации СЗИ на основании требований ФСТЭК России (в большей степени) и, кратко, ФСБ России.

    Структурой, определяющей порядок и координирующей действия обеспечения некриптографическими методами ИБ, является ФСТЭК России (ранее - Государственная техническая комиссия при Президенте Российской Федерации, Гостехкомиссия).

    Если читателю приходилось видеть Государственный реестр сертифицированных средств защиты информации , который формирует ФСТЭК России, то он безусловно обращал внимание на наличие в описательной части предназначения СЗИ таких фраз, как «класс РД СВТ», «уровень отсутствия НДВ» и пр. (рисунок 1).

    Рисунок 1. Фрагмент реестра сертифицированных СЗИ

    Классификация криптографических средств защиты информации

    ФСБ России определены классы криптографических СЗИ: КС1, КС2, КС3, КВ и КА.

    К основным особенностям СЗИ класса КС1 относится их возможность противостоять атакам, проводимым из-за пределов контролируемой зоны. При этом подразумевается, что создание способов атак, их подготовка и проведение осуществляется без участия специалистов в области разработки и анализа криптографических СЗИ. Предполагается, что информация о системе, в которой применяются указанные СЗИ, может быть получена из открытых источников.

    Если криптографическое СЗИ может противостоять атакам, блокируемым средствами класса КС1, а также проводимым в пределах контролируемой зоны, то такое СЗИ соответствует классу КС2. При этом допускается, например, что при подготовке атаки могла стать доступной информация о физических мерах защиты информационных систем, обеспечении контролируемой зоны и пр.

    В случае возможности противостоять атакам при наличии физического доступа к средствам вычислительной техники с установленными криптографическими СЗИ говорят о соответствии таких средств классу КС3.

    Если криптографическое СЗИ противостоит атакам, при создании которых участвовали специалисты в области разработки и анализа указанных средств, в том числе научно-исследовательские центры, была возможность проведения лабораторных исследований средств защиты, то речь идет о соответствии классу КВ.

    Если к разработке способов атак привлекались специалисты в области использования НДВ системного программного обеспечения, была доступна соответствующая конструкторская документация и был доступ к любым аппаратным компонентам криптографических СЗИ, то защиту от таких атак могут обеспечивать средства класса КА.

    Классификация средств защиты электронной подписи

    Средства электронной подписи в зависимости от способностей противостоять атакам принято сопоставлять со следующими классами: КС1, КС2, КС3, КВ1, КВ2 и КА1. Эта классификация аналогична рассмотренной выше в отношении криптографических СЗИ.

    Выводы

    В статье были рассмотрены некоторые способы классификации СЗИ в России, основу которых составляет нормативная база регуляторов в области защиты информации. Рассмотренные варианты классификации не являются исчерпывающими. Тем не менее надеемся, что представленная сводная информация позволит быстрее ориентироваться начинающему специалисту в области обеспечения ИБ.

    Регистрационный N 33620

    В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" 1 приказываю:

    утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

    Директор А. Бортников

    1 Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. I), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. I), ст. 4038.

    Приложение

    Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности

    I. Общие положения

    1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационная система) с использованием средств криптографической защиты информации (далее - СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

    2. Настоящий документ предназначен для операторов, использующих СКЗИ для обеспечения безопасности персональных данных при их обработке в информационных системах.

    3. Применение организационных и технических мер, определенных в настоящем документе, обеспечивает оператор с учетом требований эксплуатационных документов на СКЗИ, используемые для обеспечения безопасности персональных данных при их обработке в информационных системах.

    4. Эксплуатация СКЗИ должна осуществляться в соответствии с документацией на СКЗИ и требованиями, установленными в настоящем документе, а также в соответствии с иными нормативными правовыми актами, регулирующими отношения в соответствующей области.

    II. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 4 уровня защищенности

    5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119 1 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

    а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

    б) обеспечение сохранности носителей персональных данных;

    в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

    г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

    6. Для выполнения требования, указанного в подпункте "а" пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее - Помещения), лиц, не имеющих права доступа в Помещения, которое достигается путем:

    а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;

    б) утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях;

    в) утверждения перечня лиц, имеющих право доступа в Помещения.

    7. Для выполнения требования, указанного в подпункте "б" пункта 5 настоящего документа, необходимо:

    а) осуществлять хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);

    б) осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.

    8. Для выполнения требования, указанного в подпункте "в" пункта 5 настоящего документа, необходимо:

    а) разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

    б) поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

    9. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем:

    а) получения исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак;

    б) формирования и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ;

    в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.

    10. СКЗИ класса КС1 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих:

    а) создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ;

    б) создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ 2 ;

    в) проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее контролируемая зона) 3 ;

    г) проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:

    внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программых средств, совместно с которыми штатнофункционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;

    внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ;

    д) проведение атак на этапе эксплуатации СКЗИ на:

    персональные данные;

    ключевую, аутентифицирующую и парольную информацию СКЗИ;

    программные компоненты СКЗИ;

    аппаратные компоненты СКЗИ;

    программные компоненты СФ, включая программное обеспечение BIOS;

    аппаратные компоненты СФ;

    данные, передаваемые по каналам связи;

    иные объекты, которые установлены при формировании совокупности предложений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее - АС) и программного обеспечения (далее - ПО);

    е) получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация:

    общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);

    сведения об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационной системе совместно с СКЗИ;

    общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;

    сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее - канал связи);

    все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами;

    сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;

    сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;

    сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ;

    ж) применение:

    находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;

    специально разработанных АС и ПО;

    з) использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:

    каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами;

    каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ;

    и) проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети;

    к) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства).

    11. СКЗИ класса КС2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пункте 10 настоящего документа и не менее одной из следующих дополнительных возможностей:

    а) проведение атаки при нахождении в пределах контролируемой зоны;

    б) проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

    документацию на СКЗИ и компоненты СФ.

    Помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ;

    в) получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

    сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;

    сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;

    сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ;

    г) использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

    12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:

    а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;

    б) возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

    13. СКЗИ класса KB применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 - 12 настоящего документа и не менее одной из следующих дополнительных возможностей:

    а) создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО;

    б) проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий;

    в) проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.

    14. СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 - 13 настоящего документа и не менее одной из следующих дополнительных возможностей:

    а) создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО;

    б) возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ;

    в) возможность располагать всеми аппаратными компонентами СКЗИ и СФ.

    15. В процессе формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, дополнительные возможности, не входящие в число перечисленных в пунктах 10 - 14 настоящего документа, не влияют на порядок определения требуемого класса СКЗИ.

    III. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 3 уровня защищенности

    16. В соответствии с пунктом 14 Требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 5 настоящего документа, необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

    17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе.

    18. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо вместо меры, предусмотренной подпунктом "в" пункта 9 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:

    IV. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 2 уровня защищенности

    19. В соответствии с пунктом 15 Требований к защите персональных данных для обеспечения 2 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктами 5 и 16 настоящего документа, необходимо выполнение требования о том, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

    20. Для выполнения требования, указанного в пункте 19 настоящего документа, необходимо:

    а) утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии;

    б) обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений;

    в) обеспечение информационной системы автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений;

    г) обеспечение периодического контроля работоспособности указанных в подпунктах "б" и "в" настоящего пункта автоматизированных средств (не реже 1 раза в полгода).

    21. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо вместо мер, предусмотренных подпунктом "в" пункта 9 и пунктом 18 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:

    СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;

    СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.

    V. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 1 уровня защищенности

    22. В соответствии с пунктом 16 Требований к защите персональных данных для обеспечения 1 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктами 5, 16 и 19 настоящего документа, необходимо выполнение следующих требований:

    а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

    б) создание отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение его функций на одно из существующих структурных подразделений.

    23. Для выполнения требования, указанного в подпункте "а" пункта 22 настоящего документа, необходимо:

    а) обеспечение информационной системы автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

    б) отражение в электронном журнале безопасности полномочий сотрудников оператора персональных данных по доступу к персональным данным, содержащимся в информационной системе. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;

    в) назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям (не реже 1 раза в месяц).

    24. Для выполнения требования, указанного в подпункте "б" пункта 22 настоящего документа, необходимо:

    а) провести анализ целесообразности создания отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе;

    б) создать отдельное структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возложить его функции на одно из существующих структурных подразделений.

    25. Для выполнения требования, указанного в подпункте "а" пункта 5 настоящего документа, для обеспечения 1 уровня защищенности необходимо:

    а) оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;

    б) оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.

    26. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо вместо мер, предусмотренных подпунктом "в" пункта 9, пунктами 18 и 21 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:

    СКЗИ класса КА в случаях, когда для информационной системы актуальны угрозы 1 типа;

    СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа.

    1 Собрание законодательства Российской Федерации, 2012, N 45, 6257.

    2 К этапам жизненного цикла СКЗИ относятся разработка (модернизация) указанных средств, их производство, хранение, транспортировка, ввод в эксплуатацию (пусконаладочные работы), эксплуатация.

    3 Границей контролируемой зоны могут быть периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

    mob_info