СКЗИ (средство криптографической защиты информации) — это программа или устройство, которое шифрует документы и генерирует электронную подпись (ЭП). Все операции производятся с помощью ключа электронной подписи, который невозможно подобрать вручную, так как он представляет собой сложный набор символов. Тем самым обеспечивается надежная защита информации.
Как работает СКЗИ
Виды СКЗИ для электронной подписи
Есть два вида средств криптографической защиты информации: устанавливаемые отдельно и встроенные в носитель.
СКЗИ, устанавливаемое отдельно — это программа, которая устанавливается на любое компьютерное устройство. Такие СКЗИ используются повсеместно, но имеют один недостаток: жесткую привязку к одному рабочему месту. Вы сможете работать с любым количеством электронных подписей, но только на том компьютере или ноутбуке, на котором установлена СКЗИ. Чтобы работать на разных компьютерах, придется для каждого покупать дополнительную лицензию.
При работе с электронными подписями в качестве устанавливаемого СКЗИ чаще всего используется криптопровайдер КриптоПро CSP. Программа работает в Windows, Unix и других операционных системах, поддерживает отечественные стандарты безопасности ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.
Реже используются другие СКЗИ:
СКЗИ, встроенные в носитель, представляют собой «вшитые» в устройство средства шифрования, которые запрограммированы на самостоятельную работу. Они удобны своей самодостаточностью. Все необходимое для того, чтобы подписать договор или отчет, уже есть на самом носителе. Не надо покупать лицензии и устанавливать дополнительное ПО. Достаточно компьютера или ноутбука с выходом в интернет. Шифрование и расшифровка данных производятся внутри носителя. К носителям со встроенным СКЗИ относятся Рутокен ЭЦП, Рутокен ЭЦП 2.0 и JaCarta SE.
Оформление разрешительных документов для ввоза и вывоза ШКС:
Данное определение весьма абстрактно, в связи с чем отнесение или неотнесение конкретного товара к ШКС может вызывать существенные затруднения.
Содержание
Список товаров, относящихся к ШКС
В Положении о ввозе (вывозе) ШКС приведен список функций (компонентов), которые должен содержать товар, чтобы он мог считаться ШКС [2] :
Однако, на практике нередко возникает ситуация, что таможенные органы, руководствуясь перечнем из раздела 2.19 [3] (и даже только кодом ТН ВЭД из перечня), могут решить, что ввозимый продукт является шифровальным средством (и неважно, есть ли там шифрование на самом деле или нет). В этом случае импортеру придется получать разрешительные документы или доказывать таможне, что в товаре отсутствует шифрование.
Процедура импорта (экспорта) ШКС
В зависимости от таможенной процедуры для ввоза (вывоза) ШКС необходимо оформить различные виды документов:
12 категорий ШКС
На практике подавляющее большинство товаров с функцией шифрования ввозятся на основании нотификации.
Нотификация может зарегистрирована только на товары, относящиеся к одной или нескольким из 12 категорий шифровальных средств, технические и криптографические характеристики которых подлежат нотификации. Данный перечень приведен в Положении о нотификации.
Ниже каждая из категорий рассмотрена подробнее.
Категория №1
ШКС данной категории выполняются различные криптографические функции, но определяющим фактором отнесения к данной категории является длина криптографического ключа. Указанные длины ключей существенно меньше рекомендованных минимальных значений для соответствующих групп алгоритмов. Использование таких коротких криптографических ключей делает возможным на современном оборудовании вскрытие зашифрованных сообщений методом полного перебора.
Симметричное шифрование в основном используется для обеспечения конфиденциальности данных, и основано на том, что отправитель и получатель информации используют один и тот же ключ как для зашифровки сообщений, так и для их расшифровки. Этот ключ должен храниться в тайне и передаваться способом, исключающим его перехват. Примеры симметричных алгоритмов шифрования: RC4, DES, AES.
Из перечисленных алгоритмов только DES (считающийся устаревшим) безусловно попадает в категорию 1; также алгоритм RC4 иногда может использоваться с короткими ключами (например, в протоколе WEP технологии связи Wi-Fi: длина ключа 40 или 128 бит).
Указанные методы относятся к математической базе функционирования асимметричных алгоритмов:
Примеры нотифицируемых ШКС: теоретически любой товар может использовать устаревшие алгоритмы, либо короткие ключи в современных алгоритмах. На практике, однако, это имеет мало смысла, т.к. не обеспечивает достаточный уровень защиты. Одним из реальных примеров может быть Wi-Fi в режиме WEP с ключом длины 40 бит.
Категория №2
Проверка подлинности пользователя в рамках данной категории предусматривает сравнение введённого им пароля или других аналогичных идентифицирующих данных с информацией, сохранённой в базе данных авторизованных пользователей, а сам процесс шифрования заключается в защите секретных данных пользователя от копирования и незаконного использования при их передаче от объекта аутентификации (пользователя) контролирующему устройству.
Примеры нотифицируемых ШКС: устройства систем контроля и управления доступом – считыватели паролей, устройства для хранения и формирования баз данных авторизованных пользователей, сетевые устройства аутентификации – шлюзы, роутеры, маршрутизаторы и т.д., устройства с защитой информации, хранящихся на них – жесткие диски с функцией парольного ограничения доступа.
Процесс подписи реализуется путем криптографического преобразования информации с использованием закрытого ключа подписи и позволяет проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).
Примеры нотифицируемых ШКС: генераторы ЭЦП, программное обеспечение для сопровождения и реализации механизма применения ЭЦП, устройства хранения ключевой информации ЭЦП.
Категория №3
Операционная система это комплекс взаимосвязанных программ, предназначенных для управления ресурсами компьютера и организации взаимодействия с пользователем.
Примеры нотифицируемых ШКС: операционные системы и программные комплексы на их основе.
Категория №4
Смарт-карты это пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, управляющую устройством и контролирующую доступ к объектам в его памяти.
Примеры нотифицируемых ШКС: SIM-карты доступа к услугам мобильных операторов, банковские карты, оснащенные чипом-микропроцессором, интеллектуальные карты идентификации ее владельца.
Категория №5
Данная категория относится к товарам, предназначенных для предоставления пользователю доступа к платным кодированным цифровым спутниковым, эфирным и кабельным телеканалам и радиостанциям (радиоканалам) (примеры стандартов: DVB-CPCM, DVB-CSA).
Примеры нотифицируемых ШКС: Игровые консоли, процессоры, игры, программное обеспечение и т.п.
Категория №7
Товары данной категории должны являться аппаратным устройством, т.е. иметь законченный вид банковского оборудования, применение которого не предполагает дополнительной сборки или доработки за исключением целей модернизации.
Примеры нотифицируемых ШКС: Банкоматы, платежные терминалы, пин-пады (банковские карты относят к категории №4).
Категория №8
В данную категорию отнесены все устройства мобильной сотовой связи, работающие в стандартах GSM, GPRS, EDGE, UMTS, LTE, а также некоторые радиостанции. Главным требованием, предъявляемым к товарам данной категории в области выполняемого функционала – отсутствие способности к сквозному шифрованию, т.е. связь между абонентами должна осуществляться через устройство ретрансляции.
Примеры нотифицируемых ШКС: Мобильные устройства связи и устройства, имеющие в своем составе модули сотовой связи вышеуказанных стандартов, радиостанции.
Категория №9
Сюда относится большинство устройств, которые иначе можно назвать как «радиоэлектронные средства малого радиуса действия». Шифрование происходит при передаче/приеме информации по беспроводному радиоканалу в целях ее защиты от перехвата, проникновения несанкционированных пользователей в сеть связи. Как известно, такую защиту поддерживает большинство беспроводных стандартов передачи данных: Wi-Fi, Bluetooth, NFC, иногда RFID.
Примеры нотифицируемых ШКС: роутеры, точки доступа, модемы, устройства, содержащие в своем составе модули беспроводной радиосвязи ближнего радиуса действия, бесконтактные карты доступа/оплаты/идентификации.
Категория №10
Данная категория описывает товары, которые являются сетевыми устройствами, выполняющие коммутационные и сервисные функции. Как правило большинство данных устройств поддерживают простые сетевые протоколы управления, позволяющие производить мониторинг состояния сети, ее производительность, а также направлять команды администратора сети в ее разные узлы.
Данная категория может быть представлена абсолютно разными типами устройств разных назначений и области применения. Решающим фактором отнесения таких товаров к категории №11 является наличие предустановленного программного или аппаратного обеспечения, которое производит целенаправленную блокировку выполняемых товаром криптографических функций.
Категория №12
Товары данной категории можно объединить под общим словом «прочие».
Наиболее распространенные категории ШКС
Например, код 110000000110 говорит о том, что товар нотифицировался по категориям №№ 1, 2, 10 и 11.
Интересно посмотреть на статистику использования различных категорий.
Как видно из диаграммы, наиболее распространёнными и часто встречающимися криптографическими функциями в ШКС является шифрование данных в беспроводном радиоканале малого радиуса действия (Wi-Fi, Bluetooth) – 27% от общего числа зарегистрированных ШКС, что логично, учитывая объем производимых мобильных средств связи, персональных компьютеров и других технических устройств, оснащенных модулями, поддерживающими данные технологии связи.
Второе место занимают ШКС, поддерживающие функции аутентификации и осуществления контроля доступа к защищенной информации – 19,5%. Данная тенденция также легко объясняется повышенными стандартами и запросами потребителей к защите персональной информации как на физических носителях (жесткие диски, USB-флеш накопители, серверы и т.п.), так и на сетевых (облачные хранилища, сетевые банки данных и т.п.). Дополнительно стоит отметить, что подавляющее большинство ШКС, используемые в системах контроля и управления доступом (более известные как СКУД) также выполняют криптографический функционал, относящийся к категории № 2.
Поскольку работа в сети является неотъемлемой частью функционирования любой информационной системы, то аспекты администрирования данной сетью связи реализованы в сетевых устройствах управления. Безопасность же организуемого данными устройствами интерфейса управления реализована посредством применения механизмов шифрования технологических каналов связи, что является основание для категорирования такого рода ШКС по категории №10, являющейся третьей по распространенности – 16%.
Важно также отметить, что наименее распространенные функции ШКС распределяются по категориям №5 (0,28%), №12 (0,29%) и №7 (0,62%). Товары реализующие данные криптографические функции являются редкими и при проведении регистрации в ЦЛСЗ документация на них подвергается более детальному анализу, т.к. «не поставлена на поток» и наборы используемых криптографических протоколов и алгоритмов могут быть уникальны в каждом отдельном случае. Именно поэтому товарам данных категорий необходимо уделить максимальное внимание при составлении необходимых документов, поскольку в противном случае риск отказа в регистрации нотификации крайне велик.
Описание ввоза (вывоза) шифровальных (криптографических) средств
Что считается шифровальных (криптографическим) средством?
Ввоз и вывоз оборудования имеющего в себе функции (элементы) шифрования ограничен Решением Коллегии Евразийской экономической комиссии от 21.04.2015 N 30 «О мерах нетарифного регулирования». В частности, в пункте 2.19 отражены все общие наименования и коды ТН ВЭД продукции которая ограниченной ко ввозу и вывозу. Описание оборудования которое считается шифровальным (криптографическим) средством (средством криптографической защиты информации) можно найти в Постановлении Правительства от 16.04.2012 № 313. Стандартом обозначения данных устройств является аббревиатура СКЗИ (средством криптографической защиты информации).
а) средства шифрования — аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;
б) средства имитозащиты — аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;
в) средства электронной подписи;
г) средства кодирования — средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;
д) средства изготовления ключевых документов — аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;
е) ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;
ж) аппаратные шифровальные (криптографические) средства — устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;
з) программные шифровальные (криптографические) средства — программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;
и) программно-аппаратные шифровальные (криптографические) средства — устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.
Какие документы могут потребоваться?
В зависимости от таможенной процедуры на шифровальные (криптографические) средства необходимо оформить различные виды документов:
Ввоз для физических лиц для личных нужд в данной статье не рассматривается.
Подробнее о ввозе/вывозе по лицензии
На территории РФ уполномоченным органом по лицензиям на ввоз и вывоз в данной категории товара является Минпромторг. Лицензия требуется на сложную продукцию отраженную в пункте 2.19 не попавшую под упрощение процедуры ввоза/вывоза нотификацией.
Подробнее Вы можете ознакомиться с документами в соответствующих разделах:
Подробнее о ввозе/вывозе по нотификации
Основная сложность, если изготовитель иностранный, заключается в том что для получения документа потребуется легализованная доверенность от изготовителя с заверением полномочий подписанта.
Подробнее о документе Вы можете узнать в соответствующем разделе:
Подробнее о ввозе/вывозе по заключению ФСБ
Рекомендации по заполнению можно найти в Решении Коллегии Евразийской Экономической Комиссии от 16 мая 2012 г. №45.
Подробнее документе в разделе:
Что делать если отсутствует шифрование но документ требуют?
Часто встречаются ситуации когда шифрование (криптография) в товаре отсутствует, но в связи с тем что код ЕТН ВЭД соответствует пункту 2.16 Решения Коллегии Евразийской экономической комиссии от 21.04.2015 N 30 «О мерах нетарифного регулирования». В этом случае таможенные органы имеют право запросить подтверждение отсутствия шифрования. В этом случае, для начала, мы рекомендуем удостовериться в отсутствие шифрования, если изготовитель иностранный запросить данное подтверждение. В практике присутствуют разночтения с иностранными изготовителя понятия шифрования, наличие технологии беспроводной передачи данных Wi-Fi или Bluetooth уже подразумевает наличие шифрования в устройстве.
Алгоритм ввоза/вывоза шифровальных средств
Для определения наличия ограничений стоит обратиться к 30 решению Коллегии Евразийской экономической комиссии от 21.04.2015 N 30 «О мерах нетарифного регулирования». Для начала найти в пункте 2.19 соответствие имеющейся продукцией. Следующим этапом ознакомиться с перечнем категорий товаров, являющихся шифровальными (криптографическими) средствами или содержащих в своем составе шифровальные (криптографические) средства, технические и криптографические характеристики которых подлежат нотификации (также утвержденным 30 решением) и попробовать определить соответствие уже с этим перечнем (что даст возможность идти по «упрощенном пути» ввоза/вывоза).
Использовать электронную подпись не получится без средств криптографической защиты информации (СКЗИ). В статье расскажем, для чего нужны СКЗИ и какими они бывают.
Средствами криптографической защиты информации (СКЗИ) называют специальные программы для шифрования данных. СКЗИ используют в разных сферах, например, для доверенного хранения документов или передачи информации по защищенным каналам связи. В статье рассмотрим только средства, которые нужны для работы с электронной подписью.
Чаще всего пользователи используют СКЗИ двух разработчиков — КриптоПро CSP и ViPNet CSP.
СКЗИ не могут работать сами по себе. Для того, чтобы они выполняли свои функции нужна специальная программа-посредник. Это может быть плагин для браузера или локально устанавливаемая программа. Так, чтобы использовать ЭП в сервисах Контура потребуется установить Контур.Плагин. Многие порталы, информационные системы и электронные торговые площадки используют КриптоПро ЭЦП Browser plug-in. Чтобы подписывать электронные документы на компьютере, подойдет программа Криптопро АРМ. А для работы на портале Госуслуг нужно установить специальный плагин.
Для чего нужны СКЗИ при работе с электронными подписями
Без СКЗИ не получится провести ни одно действие с электронной подписью. Так, средства криптозащиты помогут:
Подписывать документы
С помощью закрытого ключа СКЗИ создает электронную подпись и прикрепляет ее к документу вместе с сертификатом проверки.
Проверять подлинность ЭП
Для этого вам понадобятся СКЗИ, документ с электронной подписью, сертификат ключа проверки и программа, которая умеет проверять ЭП, например, Контур.Крипто или КриптоАРМ. Загрузите сертификат и документ в такую программу, и вы узнаете:
Шифровать и расшифровывать документы
Чтобы защитить документ от посторонних глаз, его можно зашифровать с помощью СКЗИ. Для этого нужно запросить сертификат открытого ключа ЭП получателя. На его основе СКЗИ создадут специальный код и заархивируют документ с помощью криптографических алгоритмов.
Открыть зашифрованный документ сможет только владелец закрытого ключа ЭП получателя и отправителя. Для расшифровки он также использует СКЗИ.
Виды СКЗИ
Программные СКЗИ
Программными называют СКЗИ, которые устанавливаются на компьютер и проводят все действия в его оперативной памяти.
Чаще всего, чтобы работать с программными СКЗИ, нужно купить лицензию. Срок действия лицензии может быть ограниченным, например, на один год, или бессрочным. Некоторые разработчики предлагают бесплатный тестовый период на несколько месяцев. Однако после истечения этого срока вы сможете продолжить работать с СКЗИ только после оплаты лицензии.
Если вы используете ЭП на нескольких компьютерах, придется приобрести несколько лицензий на СКЗИ для каждого рабочего места.
Аппаратные СКЗИ
Такие СКЗИ встраиваются в специальное устройство, например, токен, и считаются более безопасными. Все операции они проводят в памяти устройства и закрытый ключ сертификата ЭП не попадает в память компьютера.
Работать с аппаратными СКЗИ проще — их не нужно устанавливать на компьютер и покупать лицензию. Программа уже предустановлена в устройство и вы сможете сразу ее использовать. При этом СКЗИ не привязана к определенной электронной подписи. Так, после окончания действия ЭП вы можете удалить ее и загрузить на устройство новую. СКЗИ переустанавливать не нужно — они продолжат работу и с новой подписью.
Наши электронные подписи работают с СКЗИ, которые отвечают всем требованиям законодательства. Вам не нужно самостоятельно искать лицензию. Просто выберите вид СКЗИ, который вам подходит, при оформлении заявки на подпись.
Использование шифровальных криптографических средств что это
Политика применения средств криптографической защиты информации.
Общие положения
1.1. Настоящая Политика применения средств криптографической защиты информации (далее — Политика) определяет порядок организации и обеспечения функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну (далее – СКЗИ, криптосредство) в случае их использования для обеспечения безопасности конфиденциальной информации и персональных данных при их обработке в информационных системах.
1.2. Настоящая Политика разработана во исполнение:
1.3. Настоящая Политика распространяется на крипто средства, предназначенные для обеспечения безопасности конфиденциальной информации и персональных данных при их обработке в информационных системах;
1.4. Криптографические средства защиты информации (далее – СКЗИ), реализующие функции шифрования и электронной подписи применяются для защиты электронных документов, передаваемых по общедоступным каналам связи, например, публичная сеть Интернет, либо по коммутируемым каналам связи.
1.5. Для обеспечения безопасности необходимо использовать СКЗИ, которые:
1.6. СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2.
1.7. СКЗИ реализуются на основе алгоритмов, соответствующих национальным стандартам РФ, условиям договора с контрагентом.
1.8. СКЗИ, лицензии, сопутствующие ключевые документы, инструкции к СКЗИ приобретаются организацией самостоятельно или могут быть получены у сторонней организации, инициирующей защищенный документооборот.
1.9. СКЗИ, включая инсталляционные носители, ключевые документы, описания и инструкции к СКЗИ, составляют коммерческую тайну в соответствии с Положением о конфиденциальной информации.
Порядок применения СКЗИ
Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с криптосредствами, в режимных помещениях должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ. Необходимо предусмотреть организационно-технические меры, исключающие возможность использования СКЗИ посторонними лицами. Физическое размещение СКЗИ должно обеспечивать безопасность СКЗИ, предотвращение несанкционированного доступа к СКЗИ. Доступ лиц в помещения, где располагаются средства защиты, ограничивается в соответствии со служебной необходимостью и определяется списком, утвержденным директором.
Снятие СКЗИ с эксплуатации осуществляется при соблюдении процедур, обеспечивающих гарантированное удаление информации, несанкционированное использование которой может нанести ущерб бизнес — деятельности организации, и информации, используемой средствами обеспечения информационной безопасности, из постоянной памяти и с внешних носителей (за исключением архивов электронных документов и протоколов электронного взаимодействия, ведение и сохранность которых в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами) и оформляется Актом. СКЗИ уничтожают (утилизируют) по решению владельца криптосредства, и с уведомлением организации, ответственной в соответствии за организацию поэкземплярного учета криптосредств.
Намеченные к уничтожению (утилизации) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом криптосредства считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения криптосредств и они полностью отсоединены от аппаратных средств.
Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с криптосредствами оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.), разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта).
2.2. Эксплуатация СКЗИ осуществляется лицами, назначенными приказом директора организации и прошедшими обучение работе с ними. При наличии двух и более пользователей СКЗИ обязанности между ними распределяются с учетом персональной ответственности за сохранность криптосредств, ключевой, эксплуатационной и технической документации, а также за порученные участки работы.
Пользователи криптосредств обязаны:
Безопасность обработки информации с использованием СКЗИ обеспечивается:
При необходимости передачи по техническим средствам связи служебных сообщений ограниченного доступа, касающихся организации и обеспечения функционирования СКЗИ, указанные сообщения необходимо передавать только с использованием криптосредств. Передача по техническим средствам связи криптоключей не допускается, за исключением специально организованных систем с децентрализованным снабжением криптоключами.
СКЗИ подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров криптосредств определяется Федеральной службой безопасности Российской Федерации.
Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету. Форма Журнала учета СКЗИ приведена в Приложении № 1, Журнала учета ключевых носителей в Приложении № 2 к настоящей Политике. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные СКЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие криптосредства учитываются также совместно с соответствующими аппаратными средствами.
Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования, ключевой блокнот. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.
Все полученные экземпляры криптосредств, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям криптосредств, несущим персональную ответственность за их сохранность.
Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями криптосредств и (или) ответственным пользователем криптосредств под расписку в соответствующих журналах поэкземплярного учета. Такая передача между пользователями криптосредств должна быть санкционирована.
Хранение инсталлирующих носителей СКЗИ, эксплуатационной и технической документации, ключевых документов осуществляется в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) криптосредств, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей криптосредств указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища.
Внесение изменений в программное обеспечение СКЗИ и техническую документацию на СКЗИ осуществляется на основании полученных от производителя СКЗИ и документально подтвержденных обновлений с фиксацией контрольных сумм.
Эксплуатация СКЗИ предполагает ведение не менее двух резервных копий программного обеспечения и одной резервной копии ключевых носителей. Восстановление работоспособности СКЗИ в аварийных ситуациях осуществляется в соответствии с эксплуатационной документацией.
Ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными ответственными пользователями криптосредств и сотрудниками при соблюдении мер, исключающих бесконтрольный доступ к ключевым документам во время доставки.
Для пересылки ключевых документов они должны быть помещены в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия. На упаковках указывают ответственного пользователя для которых эти упаковки предназначены. На таких упаковках делают пометку «Лично». Упаковки опечатывают таким образом, чтобы исключалась возможность извлечения из них содержимого без нарушения упаковок и оттисков печати.
До первоначальной высылки (или возвращения) адресату сообщают отдельным письмом описание высылаемых ему упаковок и печатей, которыми они могут быть опечатаны.
Для пересылки ключевых документов готовится сопроводительное письмо, в котором необходимо указывается: что посылается и в каком количестве, учетные номера документов, а также, при необходимости, назначение и порядок использования высылаемого отправления. Сопроводительное письмо вкладывают в одну из упаковок.
Полученные упаковки вскрывает только ответственный пользователь криптосредств, для которых они предназначены. Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать — их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то получатель составляет акт, который высылает отправителю. Полученные с такими отправлениями ключевые документы до получения указаний от отправителя применять не разрешается.
При обнаружении бракованных ключевых документов или криптоключей один экземпляр бракованного изделия следует возвратить изготовителю для установления причин происшедшего и их устранения в дальнейшем, а оставшиеся экземпляры хранить до поступления дополнительных указаний от изготовителя.
Получение ключевых документов должно быть подтверждено отправителю в соответствии с порядком, указанным в сопроводительном письме. Отправитель обязан контролировать доставку своих отправлений адресатам. Если от адресата своевременно не поступило соответствующего подтверждения, то отправитель должен направить ему запрос и принять меры к уточнению местонахождения отправлений.
Заказ на изготовление очередных ключевых документов, их изготовление и рассылку на места использования для своевременной замены действующих ключевых документов производится заблаговременно. Указание о вводе в действие очередных ключевых документов дается ответственным пользователем криптосредств только после поступления от них подтверждения о получении очередных ключевых документов.
Неиспользованные или выведенные из действия ключевые документы подлежат возвращению ответственному пользователю криптосредств или по его указанию должны быть уничтожены на месте.
Уничтожение криптоключей (исходной ключевой информации) может производиться путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптоключей (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования).
Криптоключи (исходную ключевую информацию) стирают по технологии, принятой для соответствующих ключевых носителей многократного использования (дискет, компакт-дисков (CD-ROM), Data Key, Smart Card, Touch Memory и т.п.). Непосредственные действия по стиранию криптоключей (исходной ключевой информации), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).
Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).
Бумажные и прочие сгораемые ключевые носители уничтожают путем сжигания или с помощью любых бумагорезательных машин.
Ключевые документы уничтожаются в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Факт уничтожения оформляется в соответствующих журналах поэкземплярного учета.
Уничтожение по акту производит комиссия в составе не менее двух человек. В акте указывается что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, инсталлирующих СКЗИ носителей, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делаются отметки в соответствующих журналах поэкземплярного учета.
Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации СКЗИ. В чрезвычайных случаях, когда отсутствуют криптоключи для замены скомпрометированных, допускается, по решению ответственного пользователя криптосредств, согласованного с оператором, использование скомпрометированных криптоключей. В этом случае период использования скомпрометированных криптоключей должен быть максимально коротким, а защищаемая информация как можно менее ценной.
О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшихся (хранящихся) с их использованием данных, пользователи криптосредств обязаны сообщать ответственному пользователю криптосредств.
Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения).
В случаях недостачи, не предъявления ключевых документов, а также неопределенности их местонахождения ответственный пользователь принимает срочные меры к их розыску и локализации последствий компрометации ключевых документов.
Порядок управления ключевой системой
Регистрация лиц, обладающих правами по управлению ключами осуществляется в соответствии с эксплуатационной документацией на СКЗИ.
Управление ключами – информационный процесс, включающий в себя три элемента:
В информационных системах организации используются специальные аппаратные и программные методы генерации случайных ключей. Как правило, используются датчики псевдо случайных чисел (далее — ПСЧ), с достаточно высокой степенью случайности их генерации. Вполне приемлемы программные генераторы ключей, которые вычисляют ПСЧ как сложную функцию от текущего времени и (или) числа, введенного пользователем.
Под накоплением ключей понимается организация их хранения, учета и удаления.
Секретные ключи не должны записываться в явном виде на носителе, который может быть считан или скопирован.
Вся информация об используемых ключах должна храниться в зашифрованном виде. Ключи, зашифровывающие ключевую информацию, называются мастер-ключами. Мастер-ключи каждый пользователь должен знать наизусть, запрещается хранение их на каких-либо материальных носителях.
Для условия безопасности информации необходимо периодическое обновление ключевой информации в информационных системах. При этом переназначаются как обычные ключи, так и мастер-ключи.
При распределении ключей необходимо выполнить следующие требования:
— оперативность и точность распределения;
— скрытость распределяемых ключей.
Альтернативой является получение двумя пользователями общего ключа от центрального органа – центра распределения ключей (ЦРК), с помощью которого они могут безопасно взаимодействовать. Для организации обмена данными между ЦРК и пользователем последнему при регистрации выделяется специальный ключ, которым шифруются сообщения, передаваемые между ними. Каждому пользователю выделяется отдельный ключ.
УПРАВЛЕНИЕ КЛЮЧАМИ, ОСНОВАННОЕ НА СИСТЕМАХ С ОТКРЫТЫМ КЛЮЧОМ
До использования криптосистемы с открытым ключом для обмена обычными секретными ключами пользователи должны обменяться своими открытыми ключами.
Управление открытыми ключами может быть организовано с помощью оперативной или автономной службы каталогов, пользователи могут также обмениваться ключами непосредственно.
Мониторинг и контроль применения СКЗИ
Для повышения уровня безопасности при эксплуатации СКЗИ в системе следует реализовать процедуры мониторинга, регистрирующие все значимые события, состоявшиеся в процессе обмена электронными сообщениями, и все инциденты информационной безопасности. Описание и перечень данных процедур должны быть установлены в эксплуатационной документации на СКЗИ.
Контроль применения СКЗИ обеспечивает:
Скачать ZIP файл (43052)
Пригодились документы — поставь «лайк» или поддержи сайт материально:
