Виды электронных подписей в России и требования к Средствам ЭП
Принятый ещё в апреле 2011 года Федеральный закон N 63-ФЗ ”Об электронной подписи” определил следующие два вида электронной подписи (ЭП): простая ЭП и усиленная ЭП, из которых вторая в свою очередь бывает неквалифицированной и квалифицированной.
Простая ЭП, по большому счёту, даже и не совсем электронная подпись в классическом математическом понимании — в качестве простой ЭП можно использовать хоть одноразовые коды, хоть и вовсе пароли:
Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
Усиленная же электронная подпись обязательно использует криптографические преобразования. Вот требования для усиленной неквалифицированной ЭП (или просто неквалифицированной ЭП):
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
Как видно, усиленная ЭП в отличие от простой ЭП должна позволять обнаруживать изменения в электронном документе (понятно, что с помощью пароля такое не реализовать), а формировать её нужно с использованием Средств ЭП:
средства электронной подписи — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи;
Понятие Средство электронной подписи — очень важное и к нему мы ниже ещё вернёмся. Пока же продолжим разбираться с видами электронных подписей. Осталось рассмотреть квалифицированную усиленную подпись — от неквалифицированной усиленной она отличается двумя принципиальными дополнительными требованиями:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Другими словами для квалифицированной ЭП, абы какой сертификат не годится — нужен именно квалифицированный:
квалифицированный сертификат — сертификат ключа проверки электронной подписи, соответствующий требованиям, установленным настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, и созданный аккредитованным удостоверяющим центром либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи;
Далее по тексту закона приведён исчерпывающий перечень сведений, которые должен содержать квалифицированный сертификат и указано, что создаётся он только с использованием средств аккредитованного удостоверяющего центра.
Используемое для создания и проверки квалифицированной электронной подписи Средство ЭП тоже подойдёт не любое, а только то, которое имеет подтверждение соответствия установленным требованиям.
Понятия “ключ проверки электронной подписи”, “сертификат”, “удостоверяющий центр” и т.п. в этом посте отдельно рассматривать не буду (можно посмотреть начало вот этого поста, например: https://zlonov.ru/2013/12/private-keys-keepers-evolution/), если это необходимо — напишите в комментариях, раскрою всю терминологию отдельно.
Вот такая получается таблица, кратко поясняющая основные различия между видами электронных подписей в соответствии с 63-ФЗ:
Теперь вернёмся к понятию Средство ЭП. Из приведённого выше определения следует, что Средства ЭП — это определённый вид шифровальных (криптографических) средств, которые используются для какой-либо одной или любой комбинации из функций:
- создание электронной подписи,
- проверка электронной подписи,
- создание ключа электронной подписи и ключа проверки электронной подписи.
Замечу на полях, что создание ключа ЭП и ключа проверки ЭП возможно лишь в паре (те самые открытый и закрытый ключи в асимметричной криптографии).
Сами же шифровальные средства определены в Постановлении Правительства РФ от 16 апреля 2012 г. N 313 “Об утверждении Положения о лицензировании деятельности…”, вот выдержка из определения:
К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:
…
в) средства электронной подписи;
По мне, так имеем рекурсивное зацикленное определение понятия через само себя =) Ну, да не будем казуистам. По сути, под понятие средство ЭП попадают в том числе чисто программные, программно-технические средства и даже целые комплексы и системы.
Вернёмся к 63-ФЗ и посмотрим, какие требования есть для Средств ЭП. Вот что они должны делать:
1) позволяют установить факт изменения подписанного электронного документа после момента его подписания;
2) обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки.
Про факт отслеживания изменений уже было выше в требованиях к усиленной ЭП, ну, а практическая невозможность вычисления ключа ЭП из ЭП или из ключа проверки ЭП — это понятное и разумное требование (закрытый ключ не должен вычисляться из открытого или из самой электронной подписи).
Для случаев подписи документов, содержащих гостайну, или при работе Средства ЭП в системах, содержащих гостайну, требуется подтверждение соответствия обязательным требованиям по защите сведений соответствующей степени секретности. Вполне логично, так как Гостайна у нас регулируется отдельно и требования там тоже свои отдельные.
Есть ещё важная оговорка про подпись документов, содержащих информацию ограниченного доступа (в том числе персональные данные): Средства ЭП не должны нарушать конфиденциальность такой информации. Насколько я понимаю, тут идёт речь про то, что для такой информации нельзя, например, использовать облачные незащищённые в соответствии с требованиями законодательства сервисы электронной подписи.
Если средство электронной подписи используется для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе, то на этом требования к нему заканчиваются. Автоматическое создание, например, может применяться при оказании государственных услуг. Тогда в сертификате вовсе может быть не указано конкретное физическое лицо, а создание ЭП осуществляется, скажем, системой принятия отчётности (для подтверждения того факта, что отчётность была получена в срок, например).
В случаях же неавтоматического создания и проверки электронной подписи к Средствами ЭП предъявляются дополнительные требования.
При создании электронной подписи Средства ЭП должны:
1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписываемой с использованием указанных средств, лицу, осуществляющему создание электронной подписи, содержание информации, подписание которой производится;
2) создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;
3) однозначно показывать, что электронная подпись создана.
Первое требование означает, что сам по себе, например, токен не может быть Средством ЭП — требуется некая обвязка вокруг него, которая будет показывать подписываемый документ. Второе требование запрещает создание подписи без подтверждения человеком. Наконец, третье требование указывает, что нужно недвусмысленно дать понять, что подпись была создана.
При проверке электронной подписи Средство ЭП должно:
1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписанной с использованием указанных средств, содержание электронного документа, подписанного электронной подписью;
2) показывать информацию о внесении изменений в подписанный электронной подписью электронный документ;
3) указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы.
Должно быть чётко видно и понятно — что подписано, были ли внесены изменения и кто подписывал.
Таковы, вкратце, основные требования к Средствам ЭП в 63-ФЗ. Однако, в нём также содержится статья про полномочия федеральных органов исполнительной власти в сфере использования электронной подписи, где указано:
Федеральный орган исполнительной власти в области обеспечения безопасности:
1) устанавливает требования к форме квалифицированного сертификата;
2) устанавливает требования к средствам электронной подписи и средствам удостоверяющего центра;
3) осуществляет подтверждение соответствия средств электронной подписи и средств удостоверяющего центра требованиям, установленным в соответствии с настоящим Федеральным законом, и публикует перечень таких средств;
4) по согласованию с уполномоченным федеральным органом устанавливает дополнительные требования к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей, а также к обеспечению информационной безопасности аккредитованного удостоверяющего центра.
Прежде всего данный приказ ФСБ устанавливает требования в части разработки, производства, реализации и эксплуатации Средств ЭП:
предъявляются требования, закрепленные Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 г. N 66 (с изменениями, внесенными приказом ФСБ России от 12 апреля 2010 г. N 173 для шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
ПКЗ-2005 — основополагающий регламент для всех разработчиков криптографических средств, что и не удивительно, раз Средства ЭП — это, в первую очередь, средство шифрования. К слову, в ПКЗ-2005 есть вот такое определение для средств электронной цифровой подписи:
- создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи,
- подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи,
- создание закрытых и открытых ключей электронной цифровой подписи.
Да, речь здесь про Средства ЭЦП, а не ЭП, но мы же уже решили не быть казуистами =)
Вернёмся к требованиям к Средствам ЭП, которым в приказе ФСБ посвящен весь раздел II (статьи с 8 по 39). Статьи 8-10 дублируют то, что есть в 63-ФЗ в части требований при создании и проверке ЭП при неавтоматической работе, за исключением того, что согласно требованиям ФСБ Средство ЭП должно данные требования выполнять самостоятельно, а не “с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации“ .
Статья 11 определяет, что :
Статья 11. Средства ЭП должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемой средством ЭП информации или с целью создания условий для этого (далее — атака).
В последующих статьях 12-18 определяются классы Средств ЭП КС1, КС2, КС3, КВ2, КА1 в зависимости от их способности противостоять таким атакам.
В дальнейших статьях 19-39 сформулированы ещё более детальные требования к составу Средств ЭП для разных классов и к особенностям их работы, из которых особо выделю статьи 20, 22 и 38:
Статья 20. При разработке средств ЭП должны использоваться криптографические алгоритмы, утвержденные в качестве государственных стандартов или имеющие положительное заключение ФСБ России по результатам их экспертных криптографических исследований
Статья 22. В средстве ЭП должны быть реализованы только заданные в ТЗ на разработку (модернизацию) средства ЭП алгоритмы функционирования средства ЭП.
Статья 38. Криптографические протоколы, обеспечивающие операции с ключевой информацией средства ЭП, должны быть реализованы непосредственно в средстве ЭП.
Смысл тут, упрощённо, в том, что в Средстве ЭП можно использовать только криптографические ГОСТ алгоритмы, при этом они должны быть реализованы в нём самом (нельзя использовать, например, какие-то внешние средства) и никакие другие криптографические алгоритмы и протоколы в Средстве ЭП не должны быть реализованы.
Итоговая таблица с основными требованиями к Средствам ЭП в 63-ФЗ и приказе ФСБ №796 выглядит так:
Таким образом, для использования простой ЭП можно использовать любые средства, для усиленной неквалифицированной ЭП (или просто неквалифицированной ЭП) — только Средства ЭП, базовые требования к которым определены в 63-ФЗ, и, наконец для усиленной квалифицированной ЭП (или просто квалифицированной ЭП) — только Средства ЭП, имеющие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ и Приказом ФСБ №796. Подтверждением такого соответствия является сертификат соответствия, выданный ФСБ России, в котором такое соответствие упоминается в явном виде.
В перечне средств защиты информации, сертифицированных ФСБ России (по состоянию на 1 октября 2016 года) значится немногим меньше 100 таких сертификатов — есть из чего выбрать =)
Класс защиты КС2 и КС1, в чем разница? Актуальные возможности источников атак
Ситуация изменилась лишь в 1990 году, когда в действие был введен стандарт шифрования ГОСТ 28147-89 . Изначально алгоритм имел гриф ДСП и официально «полностью открытым» стал лишь в 1994 году.
Сложно точно сказать, когда именно в отечественной криптографии был совершен информационный прорыв. Скорее всего, это произошло с появлением у широкой общественности доступа в интернет, после чего в сети начали публиковаться многочисленные материалы с описаниями криптографических алгоритмов и протоколов, статьи по киптоанализу и другая информация, имеющая отношение к шифрованию.
В сложившихся условиях криптография больше не могла оставаться прерогативой одного лишь государства. Кроме того, развитие информационных технологий и средств связи обусловило потребность в использовании средств криптографической защиты коммерческими компаниями и организациями.
Сегодня к средствам криптографической защиты информации (СКЗИ) относят: средства шифрования, средства имитозащиты, средства электронной цифровой подписи, средства кодирования, средства изготовления ключевых документов и сами ключевые документы .
- защита информационных систем персональных данных;
- защита конфиденциальной информации компании;
- шифрования корпоративной электронной почты;
- создание и проверки цифровых подписей.
Применение криптографии и СКЗИ в российских компаниях
1. Внедрение криптосредств в системы защиты персональных данных
К СКЗИ, внедренному в систему защиты персональных данных, выдвигаются следующие требования:
- Криптографическое средство должно штатно функционировать совместно с техническими и программными средствами, которые способны повлиять на выполнение предъявляемых к нему требований.
- Для обеспечения безопасности персональных данных при их обработке должны использоваться сертифицированные в системе сертификации ФСБ России криптосредства.
Таким образом, средства криптографической защиты сегодня эффективно используются компаниями и организациями для защиты персональных данных российских граждан и являются одной из наиболее важных составляющих в системах защиты персональных данных.
2. Защита корпоративной информации
На сегодняшний день для эффективного применения в корпоративной среде, программа для шифрования должна обеспечивать:
- шифрование данных на удаленном сервере;
- поддержку асимметричной криптографии;
- прозрачное шифрование;
- шифрование сетевых папок;
- возможность разграничения прав доступа к конфиденциальной информации между сотрудниками компании;
- возможность хранения сотрудниками закрытых ключей на внешних носителях информации (токенах).
3. Электронная подпись
Средства криптографической защиты, как правило, имеют в своем составе функции по созданию и проверке электронных подписей. Российским законодательством к таким СКЗИ выдвигаются следующие требования :
При создании ЭП они должны:
- показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
- создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП;
- однозначно показывать, что ЭП создана.
- показывать содержание электронного документа, подписанного ЭП;
- показывать информацию о внесении изменений в подписанный ЭП электронный документ;
- указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.
4. Шифрование электронной почты
Поэтому защита корпоративной почты – крайне важная составляющая в обеспечении информационной безопасности компании, реализация которой становится возможной также благодаря использованию криптографии и средств шифрования.
Большинство почтовых клиентов, таких как Outlook, Thinderbird, The Bat! и др., позволяют настроить обмен зашифрованными сообщениями на основе сертификатов открытого и закрытого ключа (сертификаты в форматах X.509 и PKCS#12 соответственно), создаваемых при помощи средств криптографической защиты.
Здесь также следует упомянуть о возможности криптографических средств работать в качестве удостоверяющих центров (УЦ). Основное предназначение удостоверяющего центра — выдача сертификатов шифрования и подтверждение подлинности ключей шифрования. В соответствии с российским законодательством, УЦ подразделяются на классы (КС1, КС2, КС3, КВ1, КВ2, КА1), к каждому из которых выдвигается ряд требований . При этом, класс СКЗИ, использующегося в средствах УЦ, должен быть не ниже соответствующего класса УЦ .
Использование CyberSafe Enterprise
Наличие в CyberSafe сервера публичных ключей позволяет компаниям организовать удобный обмен ключами между своими сотрудниками, где каждый из них может опубликовать свой открытый ключ, а также скачать открытые ключи других пользователей.
Далее более подробно остановимся на возможности внедрения CyberSafe Enterprise в системы защиты персональных данных. Эта возможность существует благодаря поддержке программой криптопровайдера КриптоПро CSP , сертифицированного ФСБ РФ в качестве СКЗИ классов КС1, КС2 и КС3 (в зависимости от исполнения) и оговорена в п. 5.1 «Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных» :
После установки КриптоПро CSP на компьютер пользователя при создании сертификата в CyberSafe Enterprise появится возможность создать сертификат КриптоПРО:
После завершения создания сертификата CyberSafe ключи КриптоПРО также созданы, отображаются на вашей связке и доступны для использования:
В том случае, если возникает необходимость экспортировать ключи КриптоПро в отдельный файл, это можно сделать через стандартную функцию экспорта ключей CyberSafe:
Если вы хотите зашифровать файлы для передачи другим пользователям (или подписать их своей цифровой подписью) и использовать для этого ключи КриптоПро, из списка доступных криптопровайдеров необходимо выбрать КриптоПро:
В том случае, если вы хотите использовать ключи КриптоПро для прозрачного шифрования файлов, в окне выбора сертификатов в качестве криптопровайдера также следует указать КриптоПро:
В CyberSafe существует возможность использовать КриптоПРО и алгоритм ГОСТ для шифрования логических дисков/разделов и создания виртуальных зашифрованных дисков:
Также, на основе сертификатов КриптоПро, может быть настроено шифрование электронной почты . В КприптоПро CSP алгоритмы формирования и проверки ЭП реализованы в соответствии с требованиями стандарта ГОСТ Р 34.10-2012, алгоритм шифрования/дешифрования данных реализован в соответствии с требованиями стандарта ГОСТ 28147-89.
На сегодняшний день CyberSafe является единственной программой, которая сочетает в себе функции по шифрованию файлов, сетевых папок, логических дисков, электронной почты и возможность работы в качестве удостоверяющего центра с поддержкой стандартов шифрования ГОСТ 28147-89 и ГОСТ Р 34.10-2012.
Документы:
Компания КриптоПро разработала полный спектр программных и аппаратных продуктов для обеспечения целостности, авторства и конфиденциальности информации с применением ЭП и шифрования для использования в различных средах (Windows, Unix, Java). Новое направление продуктов компании — программно-аппаратные средства криптографической защиты информации с использованием смарткарт и USB ключей, позволяющие существенно повысить безопасность систем, использующих ЭП.
Наша компания является дилером КриптоПро и имеет соответствующий .
Стоимость продуктов КриптоПро CSP:
Наименование
Лицензия на право использования СКЗИ «КриптоПро CSP» версии 4.0 на одном рабочем месте
Лицензия на право использования СКЗИ «КриптоПро CSP» версии 4.0 на сервере
Сертификат на годовую техническую поддержку СКЗИ «КриптоПро CSP» на рабочем месте
Сертификат на годовую техническую поддержку СКЗИ «КриптоПро CSP» на сервере
Дистрибутив СКЗИ «КриптоПро CSP» версии 4.0 КС1 и КС2 на CD. Формуляры
Лицензия на право использования СКЗИ «КриптоПро CSP» версии 5.0 на одном рабочем месте
* Лицензия на рабочее место не позволит использовать КриптоПро CSP в среде серверных операционных систем
Лицензия на право использования СКЗИ «КриптоПро CSP» версии 5.0 на сервере
Сертификат на установку и (или) обновление СКЗИ «КриптоПро CSP» на рабочем месте или сервере
*Работы по установке СКЗИ КриптоПро CSP выполняются в офисе ООО «КРИПТО-ПРО» или в режиме удаленного доступа к рабочему месту или серверу
Обращаем внимание, что для продолжения работы с ГОСТ Р 34.10-2001 в 2019 году (отключая предупреждающие окна или запреты при обращении к ключам ГОСТ Р 34.10-2001 после 1 января 2019 года) с использованием продуктов КриптоПро необходимо применить следующие рекомендации:
- Рекомендации по отключению предупреждающих окон ;
- Рекомендации по переносу даты блокировки работы с ГОСТ Р.34.10-2001 для пользователей КриптоПро CSP 4.0, функционирующем в режиме усиленного контроля ключей* ;
- Рекомендации по переносу даты блокировки работы с ГОСТ Р.34.10-2001 для пользователей КриптоПро JCP 2.0 .
*По умолчанию в данных версиях отключен. Подробнее в ЖТЯИ.00087-01 95 01. Правила пользования.
В эксплуатационной документации на КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 явно указан запрет на формирование электронной подписи по ГОСТ Р 34.10-2001 с 1 января 2019 года. Но, в связи с переносом сроков перехода на ГОСТ Р 34.10-2012 до 1 января 2020 года, нами были направлены соответствующие извещения в ФСБ России, корректирующие эту дату. Информация о согласовании извещений будет опубликована на нашем сайте.
Попытка использования ГОСТ Р 34.10-2001 (кроме проверки подписи) на всех выпущенных к настоящему моменту сертифицированных версиях КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 с 1 января 2019 года вызовет ошибку или предупреждение (в зависимости от продукта и режима работы), в соответствии с изначально принятым в 2014 году порядком перехода на ГОСТ Р 34.10-2012 до 1 января 2019 года. Ошибки/предупреждающие окна могут привести к неработоспособности автоматических/автоматизированных систем при использовании ими ключей ГОСТ Р 34.10-2001, в связи с чем просим заблаговременно применить упомянутые инструкции.
Также сообщаем, что на данный момент завершается сертификация обновленных версий КриптоПро CSP 4.0 R4 и КриптоПро JCP 2.0 R2, о чем будет сообщено на нашем сайте. Рекомендуем обновиться до этих версий после их выхода.
Средства криптографической защиты информации классов защиты КС2 и КС1 в соответствии с требованиями ФСБ России различаются актуальными возможностями источников атак и принятыми мерами по противодействию атакам.
1. Актуальные возможности источников атак
Средства криптографической защиты информации (СКЗИ) класса КС1 применяют при актуальных возможностях источников атак, а именно самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны.
СКЗИ класса КС2 применяют при актуальных возможностях источников атак:
- самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны;
- самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования (СФ).
Таким образом, СКЗИ класса КС2 отличается от КС1 по нейтрализации актуальной возможностью источников атак, самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и СФ.
2. Варианты исполнения СКЗИ класса защиты КС3, КС2 и КС1
Вариант 1, это базовое программное обеспечение СКЗИ обеспечивающий класс защиты КС1.
Вариант 2, это СКЗИ класса КС2, состоящего из базового СКЗИ класса КС1 совместно с сертифицированным аппаратно-программным модулем доверенной загрузки (АПМДЗ).
Вариант 3, это СКЗИ класса КС3, состоящего из СКЗИ класса КС2 совместно со специализированным программным обеспечением для создания и контроля замкнутой программной среды.
Таким образом, программное обеспечение СКЗИ класса КС2 отличается от КС1 только добавлением к СКЗИ класса КС1 сертифицированного АПМДЗ. Отличия СКЗИ класса КС3 от класса КС1 — это использование СКЗИ класса КС1 совместно с сертифицированным АПМДЗ и специализированным программным обеспечением для создания и контроля замкнутой программной среды. И также отличие СКЗИ класса КС3 от класса КС2 — это использование СКЗИ класса КС2 совместно со специализированным программным обеспечением для создания и контроля замкнутой программной среды.
3. Меры по противодействию атакам
В СКЗИ класса КС2 не применяются меры по противодействию атакам, который обязательны для выполнения при эксплуатации СКЗИ класса КС1, а именно:
- утвержден перечень лиц, имеющих право доступа в помещения;
- утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ;
- утверждены правила доступа в помещения, где располагаются СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
- доступ в контролируемую зону и помещения, где располагается ресурсы информационные системы персональных данных (ИСПДн) и(или) СКЗИ, обеспечивается в соответствии с контрольно-пропускным режимом;
- сведения о физических мерах защиты объектов, в которых размещены ИСПДн, доступны ограниченному кругу сотрудников;
- документация на СКЗИ хранится у ответственного за СКЗИ в металлическом сейфе (шкафу);
- помещения, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;
- представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены СКЗИ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации;
- сотрудники, являющиеся пользователями ИСПДн, но не являющиеся пользователями СКЗИ, проинформированы о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;
- пользователи СКЗИ проинформированы о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;
- осуществляется регистрация и учет действий пользователей с персональными данными;
- осуществляется контроль целостности средств защиты информации.
Программное обеспечение «КриптоПро CSP» предназначено для контроля целостности системного и прикладного ПО, управления ключевыми элементами системы в соответствии с регламентом средств защиты, авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями. В «КриптоПро CSP» помимо самого криптопровайдера входят продукты «КриптоПро TLS», «КриптоПро EAP-TLS», «КриптоПро Winlogon» и «КриптоПро Revocation Provider».
Решение предназначено для:
- авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
- обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
- обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
- контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
- управления ключевыми элементами системы в соответствии с регламентом средств защиты.
Реализуемые алгоритмы
- Алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
- Алгоритмы формирования и проверки электронной подписи реализованы в соответствии с требованиями ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
- Алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».
При генерации закрытых и открытых ключей обеспечена возможность генерации с различными параметрами в соответствии ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012.
При выработке значения хэш-функции и шифровании обеспечена возможность использования различных узлов замены в соответствии с ГОСТ Р 34.11-94 и ГОСТ 28147-89.
Выбор класса средства ЭП
Вопрос кажется настолько легким но, все же лучше убедиться один раз чем потом несколько раз накатывать создание сертификата.
Вопроса бы не возникало если бы не ФЗС.
В одних инструкциях показывают на скриншотах что нужно указывать КС1 а в других инструкция на скриншотах так понимаю как образец указывают КС2 так какой класс средства ЭП, все же выбрать для простого госучреждения? Правильно понимаю, что нужно выбирать КС2 или выбирать в соответствии с формуляром выданной ФК?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Gvinpin
- —>
- Не в сети
- Сообщений: 2044
- Спасибо получено: 270
ikmz пишет: Вопрос кажется настолько легким но, все же лучше убедиться один раз чем потом несколько раз накатывать создание сертификата.
Вопроса бы не возникало если бы не ФЗС.
В одних инструкциях показывают на скриншотах что нужно указывать КС1 а в других инструкция на скриншотах так понимаю как образец указывают КС2 так какой класс средства ЭП, все же выбрать для простого госучреждения? Правильно понимаю, что нужно выбирать КС2 или выбирать в соответствии с формуляром выданной ФК?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex67
- —>
- Не в сети
- Сообщений: 1933
- Спасибо получено: 520
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- gurazor
- —>
- Не в сети
- Сообщений: 194
- Спасибо получено: 25
Потому что гадский СБИС при подписании какого то одного отчета проверяет, чтобы класс средств ЭП в сертификате был указан не менее КС 2
(так со слов потерпевших).
Весной тоже слышал эту историю, не поверил
Вроде всё улеглось.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex67
- —>
- Не в сети
- Сообщений: 1933
- Спасибо получено: 520
Вопрос:
По ссылке в статье средство электронной подписи указано КС1 и КС2
Является ли наличие в сертификате КС2 необходимым? у нас в сертификате только КС1?
Под предлогом того что класс КС 2 якобы обязателен хотят перевыпустить все ранее полученные сертификаты,
если в этом нет необходимости хотелось бы этого избежать
Ответ:
Любой класс должен подходить для работы в сбис.
Не нужно перевыпускать.
Класс средств эп кс1 и кс2 что это
Для выполнения новых требований Роскомнадзора предлагаем пройти курс
«Практика работы с персональными данными»
Новые требования законодательства с 1 сентября 2022 года. Полный алгоритм работы с персональными данными. Взаимодействие с Роскомнадзором. Успешное прохождение проверок