Поледняя лекция Епишкиной
.pdfОсновные документы, регламентирующие
разработку и применение средств криптографической защиты информации
В настоящем разделе кратко охарактеризуем основные нормативные документы,
которыми следует руководствоваться при разработке, производстве и применении СКЗИ:
1.Положение о лицензировании разработки, производства шифровальных
(криптографических) средств, защищенных с использованием шифровальных
(криптографических) средств информационных и телекоммуникационных систем
(Положение о лицензировании).
2. Положение о разработке, производстве, реализации и эксплуатации шифровальных
(криптографических) средств защиты информации (Положение ПКЗ-2005).
3.Инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Инструкция).
4.Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации,
не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (Типовые требования).
5.Методические рекомендации ФСБ России «По обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (Методические рекомендации).
6.Требования к средствам электронной подписи и Требования к средствам удостоверяющего центра.
Кроме того, имеется большой набор требований ФСБ России к отдельным видам средств защиты информации, предоставляемый лицензиатам.
Положение о лицензировании определяет порядок лицензирования разработки,
производства СКЗИ, защищенных с использованием СКЗИ информационных и телекоммуникационных систем, выполнение работ, оказание услуг в области защиты информации, техническое обслуживание СКЗИ и указанных выше систем (за исключением случаев, если техническое обслуживание осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
Положение о лицензировании не распространяется на разработку и производство:
а) портативных или мобильных радиотелефонов гражданского назначения, не имеющих функции сквозного шифрования;
б) приемной аппаратуры радиовещания, коммерческого телевидения или иной аппаратуры коммерческого типа для вещания на ограниченную аудиторию без шифрования цифрового сигнала, в которой шифрование ограничено функциями управления видеоили аудиоканалами;
в) применяемых только для банковских и финансовых операций СКЗИ в составе банкоматов, криптографические возможности которых не могут быть изменены пользователями;
г) СКЗИ независимо от их назначения, реализующих симметричные криптографические алгоритмы и обладающих максимальной длиной криптографического ключа менее 40 бит,
а также реализующих асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на дискретном логарифме в группе,
отличной от названной, и обладающих максимальной длиной криптографического ключа
128бит.
Положение ПКЗ-2005 регулирует отношения, возникающие при разработке,
производстве, реализации и эксплуатации СКЗИ с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, т.е. информация конфиденциального характера.
Положением ПКЗ-2005 необходимо руководствоваться при разработке, производстве,
реализации и эксплуатации СКЗИ конфиденциального характера, если:
1)информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
2)криптографическая защита информации конфиденциального характера реализуется
вфедеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, т.е. в государственных органах;
3)криптографическая защита информации конфиденциального характера реализуется
ворганизациях независимо от их организационно-правовой формы и формы собственности при выполнении ими работ для государственных нужд, т.е. в организациях, выполняющих государственные заказы;
4)обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или
наделенных полномочиями по распоряжению сведениями, содержащимися в данной
информации;
5)обрабатывается информация конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования СКЗИ;
6)при обработке информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.
Требования Положения ПКЗ-2005 носят рекомендательный характер при разработке, производстве, реализации и эксплуатации:
1)СКЗИ, доступ к которой ограничивается по решению обладателя или пользователя данной информации, собственника информационных ресурсов (информационных систем) или уполномоченных ими лицами, не являющихся государственными органами или организациями, выполняющими государственные заказы;
2)СКЗИ открытых и общедоступных государственных информационных ресурсов Российской Федерации;
3)средств ЭП, предназначенных для использования в электронном документообороте, информация которого не относится к информации конфиденциального характера;
4) информационно-телекоммуникационных систем, реализующих функции криптографической защиты информации, не относящейся к информации конфиденциального характера.
Положение ПКЗ-2005 не регулирует отношения, связанные с экспортом и импортом СКЗИ, и не распространяется на использование СКЗИ иностранного производства.
Приведем основные общие требования Положения ПКЗ-2005:
1.Вопрос о применении СКЗИ для защиты информации конфиденциального характера решается ее, собственником информационных ресурсов (информационных систем) или уполномоченными ими лицами на основании законодательства Российской Федерации.
2.Необходимость криптографической защиты информации конфиденциального характера при ее обработке и хранении без передачи по каналам связи и выбор применяемых СКЗИ определяются обладателем или пользователем данной информации.
3.СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом Федеральным законом от 27 декабря 2002 года № 184-ФЗ «О техническом регулировании».
4. Для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации,
устанавливаемым в соответствии с законодательством Российской Федерации, а
реализация в конкретных образцах СКЗИ и системах конфиденциальной связи требований по безопасности информации возлагается на разработчика СКЗИ.
Инструкция определяет единый на территории Российской Федерации порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ (в настоящее время, ФСБ) СКЗИ информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, т.е. конфиденциальной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации.
Инструкцией рекомендуется руководствоваться при организации и обеспечении безопасности хранения обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ (в настоящее время, ФСБ) СКЗИ конфиденциальной информации, не подлежащей обязательной защите, доступ к которой ограничивается в соответствии с законодательством Российской Федерации или по решению ее обладателя,
за исключением информации содержащей сведения, к которым в соответствии с законодательством Российской Федерации не может быть ограничен доступ.
Инструкция не регламентирует порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации в учреждениях Российской Федерации за границей.
Наиболее важными положениями Инструкции являются следующие:
1.Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации в сетях конфиденциальной связи организуют и обеспечивают операторы конфиденциальной связи, т.е. операторы связи, предоставляющие на основании лицензии ФАПСИ (в настоящее время, ФСБ) услуги конфиденциальной связи
сиспользованием СКЗИ.
2.Безопасность хранения и обработки с использованием СКЗИ конфиденциальной информации, передаваемой вне сетей конфиденциальной связи, организуют и обеспечивают лица, имеющие лицензию ФАПСИ (в настоящее время, ФСБ).
3.Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ (в
настоящее время, ФСБ), лицензиаты ФАПСИ (в настоящее время, ФСБ) организуют и обеспечивают либо по указанию вышестоящей организации, либо на основании договоров на оказание услуг по криптографической защите конфиденциальной информации.
4. Лицензиаты ФАПСИ (в настоящее время, ФСБ) несут ответственность за соответствие проводимых ими мероприятий по организации и обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации лицензионным требованиям и условиям,
эксплуатационной и технической документации к СКЗИ, а также положениям Инструкции.
При этом лицензиаты ФАПСИ (в настоящее время, ФСБ) должны обеспечивать комплексную защиту конфиденциальной информации, в том числе с применением некриптографических средств защиты.
5.В Инструкции подробно описаны требования к размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, основное из которых заключается в том, что необходимо обеспечивать сохранность конфиденциальной информации, СКЗИ и ключевых документов. Приведенные в Инструкции требования аналогичны требованиям к помещениям, где выполняются работы, связанные с хранением или обработкой конфиденциальной информации и устанавливаются ее обладателем, а при оборудовании указанных помещений должны выполняться требования к размещению, монтажу СКЗИ, а
также другого оборудования, функционирующего с СКЗИ.
6.Контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации осуществляют федеральные органы правительственной связи и информации, а именно главные управления ФАПСИ (в настоящее время, ФСБ), управления ФАПСИ (в настоящее время, ФСБ) в федеральных округах, региональные управления правительственной связи и информации, центры правительственной связи.
Типовые требования регламентируют порядок организации и обеспечения функционирования СКЗИ, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПД.
Типовые требования носят обязательный характер для:
1)оператора, осуществляющего обработку персональных данных;
2)лица, которому на основании договора оператор поручает обработку персональных данных
3)лица, которому на основании договора оператор поручает оказание услуг по организации и обеспечению безопасности защиты персональных данных при их обработке
вИСПД с использованием СКЗИ.
Типовые требования распространяются на СКЗИ, предназначенные для обеспечения безопасности персональных данных при их обработке в ИСПД, и не отменяют требования иных документов, регламентирующих порядок обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти.
Методические рекомендации определяют порядок, в соответствии с которым должна обеспечиваться при помощи СКЗИ безопасность персональных данных при их обработке в ИСПД с использованием средств автоматизации., и предназначены для операторов и разработчиков ИСПД.
Методическими рекомендациями следует руководствоваться, если:
1)оператор персональных данных определяет необходимость обеспечения безопасности персональных данных с использованием СКЗИ, за исключением случая, когда оператором является физическое лицо, использующее персональные данные исключительно для личных и семейных нужд);
2)безопасность персональных данных обеспечивается при их обработке в информационных системах, отнесенных к компетенции ФСБ.
Методические рекомендации не распространяются на ИСПД, в которых:
1)персональные данные обрабатываются без использования средств автоматизации;
2)обрабатываются персональные данные, отнесенные в установленном порядке к сведениям, составляющим государственную тайну;
3)технические средства частично или целиком находятся за пределами Российской Федерации.
Требования к средствам электронной подписи и Требования к средствам
удостоверяющего центра подробно рассмотрены в следующей главе пособия,
посвященной государственному регулированию применения ЭП.
Положение о разработке, производстве, реализации и эксплуатации
шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
Положение принято приказом ФСБ от 09 февраля 2005 года № 66.
Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее – информация конфиденциального характера).
Область применения. Положением необходимо руководствоваться при разработке,
производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:
1.Если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
2.При организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации (далее - государственные органы);
3.При организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее - организации, выполняющие государственные заказы);
4.Если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
5.При обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в
случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;
6.При обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.
Требования Положения ПКЗ-2005 носят рекомендательный характер при разработке, производстве, реализации и эксплуатации:
1. СКЗИ, доступ к которой ограничивается по решению обладателя, пользователя
(потребителя) данной информации, собственника (владельца) информационных ресурсов
(информационных систем) или уполномоченных ими лицами, не являющихся государственными органами или организациями, выполняющими государственные заказы;
2.СКЗИ открытых и общедоступных государственных информационных ресурсов Российской Федерации;
3.Средств ЭЦП, предназначаемых для использования в электронном документообороте, информация которого не относится к информации конфиденциального характера;
4.Информационно-телекоммуникационных систем, реализующих функции криптографической защиты информации, не относящейся к информации конфиденциального характера.
Положение не регулирует отношения, связанные с экспортом и импортом СКЗИ, и не распространяется на использование шифровальных (криптографических) средств иностранного производства.
Необходимость криптографической защиты информации конфиденциального характера при ее обработке и хранении без передачи по каналам связи, а также выбор применяемых СКЗИ определяются обладателем или пользователем (потребителем) данной информации.
СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом Федеральным законом от 27 декабря 2002 года № 184-ФЗ «О техническом регулировании».
Качество криптографической защиты информации конфиденциального характера, осуществляемой СКЗИ, обеспечивается реализацией требований по безопасности информации, предъявляемых к СКЗИ, ключевой системе СКЗИ, а также к сетям связи (системам), используемым СКЗИ с целью защиты информации при ее передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении (далее – сети (системы) конфиденциальной связи) и условиям размещения СКЗИ при их использовании (далее – требования по безопасности информации).
Для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством Российской Федерации.
Реализация в конкретных образцах СКЗИ и сетях (системах) конфиденциальной связи требований по безопасности информации возлагается на разработчика СКЗИ.
Порядок разработки СКЗИ. Задание разработки СКЗИ для федеральных государственных нужд осуществляется государственным заказчиком по согласованию с ФСБ России. Разработка СКЗИ в интересах негосударственных организаций может осуществляться по заказу конкретного потребителя информации конфиденциального характера или по инициативе разработчика СКЗИ. При этом в качестве заказчика СКЗИ может выступать любое лицо.
Разработка СКЗИ осуществляется путем постановки и проведения необходимых научноисследовательских работ (далее – НИР) по исследованию возможности создания нового образца СКЗИ и опытно-конструкторских работ (далее – ОКР) по созданию нового образца СКЗИ или модернизации действующего образца СКЗИ.
|
|
Задание разработки СКЗИ |
|
|
Федеральные государственные нужды |
государственный заказчик по |
|
||
|
|
|
согласованию с ФСБ |
|
Интересы негосударственных организаций |
заказчик СКЗИ – любое лицо |
|
||
|
|
|
|
|
|
|
|
|
|
НИР по |
|
ОКР по созданию нового образца СКЗИ или |
|
|
исследованию |
|
модернизации действующего образца СКЗИ |
|
|
возможности |
|
|
|
|
|
|
Необходимо ТТЗ (ТЗ) |
|
|
создания нового |
|
|
|
|
образца СКЗИ |
|
Предварительное выполнение НИР опционально |
|
|
|
|
|
|
|
|
Заказчик СКЗИ |
ТТЗ (ТЗ) |
ФСБ |
Мотивированный |
|
|
|
|
отказ |
|
Письменное согласие |
|
|
|
НИР |
ОКР |
|
|
|
Результат НИР |
Выбор носителя ключевой информации и разработка |
|||
|
|
|
ключевых документов |
|
|
Проект |
|
|
|
|
ТТЗ (ТЗ) |
|
|
|
|
на ОКР |
Создание правил пользования СКЗИ и |
||
Технико-эко- |
|
согласование их с ФСБ |
||
|
номическое |
|
|
|
|
обоснование |
Создание РКД на СКЗИ и опытные образцы СКЗИ |
||
|
ОКР |
|||
|
|
|
|
|
|
|
Проведение тематических исследований и их |
||
|
|
|
экспертиза ФСБ |
|
Оценка влияния средств сети конфиденциальной связи на выполнение предъявляемых к ним требований
Передача РКД на СКЗИ в производство
Положительные результаты испытаний функционирования СКЗИ в штатных режимах и экспертизы тематических исследований СКЗИ Правила пользования СКЗИ согласованы с ФСБ
При разработке СКЗИ рекомендуется использовать криптографические алгоритмы,
утвержденные в качестве национальных стандартов или определенные перечнями, утверждаемыми в порядке установленном постановлением Правительства Российской Федерации от 23 сентября 2002 года № 691.
Выбор носителя ключевой информации должен производиться с учетом возможности его приобретения изготовителем ключевых документов в течение всего предполагаемого срока эксплуатации СКЗИ. Оценка эксплуатационных характеристик применяемого носителя осуществляется разработчиком СКЗИ.
В случае использования внешней системы изготовления ключей разработанные тактикотехнические требования на ключевые документы направляются в экспертную организацию для проведения экспертизы и утверждения.
На основе утвержденных тактико-технических требований выполняются работы,
необходимые для организации серийного выпуска ключевых документов (включая разработку или приобретение аппаратно-программных средств, обеспечение требований по безопасности информации, подготовку технической, конструкторско-технологической и эксплуатационной документации и т.п.). В рамках этих работ создаются опытные образцы (макеты) ключевых документов, используемые при испытаниях штатного функционирования СКЗИ.
ФСБ России проводит экспертизу результатов разработки внешней системы изготовления ключей и подготавливает заключение о соответствии изготавливаемых с ее использованием ключевых документов требованиям по безопасности информации.
Разработка ключевых документов может осуществляться путем задания и проведения отдельной ОКР.
Правила пользования создаваемым новым образцом СКЗИ или модернизируемым действующим образцом СКЗИ составляются разработчиком СКЗИ и согласовываются с ФСБ России.
Составной частью разработки СКЗИ является проведение криптографических, инженерно-
криптографических и специальных исследований СКЗИ (далее – тематические исследования СКЗИ), целью которых является оценка достаточности мер противодействия возможным угрозам безопасности информации, определенным моделью нарушителя, изложенной в СТЗ или ТТЗ (ТЗ) на проведение ОКР (составной части ОКР).
Тематические исследования СКЗИ выполняются в процессе всего цикла создания,
производства и эксплуатации СКЗИ организациями, имеющими право на осуществление отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами (далее - специализированные организации).
Экспертиза результатов тематических исследований СКЗИ осуществляется ФСБ России, по результатам которой определяется возможность допуска СКЗИ к эксплуатации.
Тематические исследования СКЗИ и экспертиза их результатов, являются отдельным этапом опытно-конструкторской работы, составляют ее неотъемлемую часть и не могут быть объединены с другими этапами выполнения ОКР.
Состав аппаратных, программно-аппаратных и программных средств сети (системы)
конфиденциальной связи, совместно с которыми предполагается штатное функционирование создаваемого нового образца СКЗИ или модернизируемого действующего образца СКЗИ,
влияющих на выполнение заданных требований к СКЗИ, определяется разработчиком СКЗИ и согласовывается с заказчиком СКЗИ, специализированной организацией и ФСБ России.