Класс средств эп кс1 и кс2 что это

Класс защиты КС2 и КС1, в чем разница? Решение предназначено для

Программное обеспечение «КриптоПро CSP» предназначено для контроля целостности системного и прикладного ПО, управления ключевыми элементами системы в соответствии с регламентом средств защиты, авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями. В «КриптоПро CSP» помимо самого криптопровайдера входят продукты «КриптоПро TLS», «КриптоПро EAP-TLS», «КриптоПро Winlogon» и «КриптоПро Revocation Provider».

Решение предназначено для:

• авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
• обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
• обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
• контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
• управления ключевыми элементами системы в соответствии с регламентом средств защиты.

Реализуемые алгоритмы

• Алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
• Алгоритмы формирования и проверки электронной подписи реализованы в соответствии с требованиями ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
• Алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».

При генерации закрытых и открытых ключей обеспечена возможность генерации с различными параметрами в соответствии ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012.
При выработке значения хэш-функции и шифровании обеспечена возможность использования различных узлов замены в соответствии с ГОСТ Р 34.11-94 и ГОСТ 28147-89.

Поддерживаемые типы ключевых носителей

Средства криптографической защиты информации классов защиты КС2 и КС1 в соответствии с требованиями ФСБ России различаются актуальными возможностями источников атак и принятыми мерами по противодействию атакам.

1. Актуальные возможности источников атак

Средства криптографической защиты информации (СКЗИ) класса КС1 применяют при актуальных возможностях источников атак, а именно самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны.

СКЗИ класса КС2 применяют при актуальных возможностях источников атак:

1. самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны;
2. самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования (СФ).

Таким образом, СКЗИ класса КС2 отличается от КС1 по нейтрализации актуальной возможностью источников атак, самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и СФ.

2. Варианты исполнения СКЗИ класса защиты КС3, КС2 и КС1

Вариант 1, это базовое программное обеспечение СКЗИ обеспечивающий класс защиты КС1.

Вариант 2, это СКЗИ класса КС2, состоящего из базового СКЗИ класса КС1 совместно с сертифицированным аппаратно-программным модулем доверенной загрузки (АПМДЗ).

Вариант 3, это СКЗИ класса КС3, состоящего из СКЗИ класса КС2 совместно со специализированным программным обеспечением для создания и контроля замкнутой программной среды.

Таким образом, программное обеспечение СКЗИ класса КС2 отличается от КС1 только добавлением к СКЗИ класса КС1 сертифицированного АПМДЗ. Отличия СКЗИ класса КС3 от класса КС1 — это использование СКЗИ класса КС1 совместно с сертифицированным АПМДЗ и специализированным программным обеспечением для создания и контроля замкнутой программной среды. И также отличие СКЗИ класса КС3 от класса КС2 — это использование СКЗИ класса КС2 совместно со специализированным программным обеспечением для создания и контроля замкнутой программной среды.

3. Меры по противодействию атакам

В СКЗИ класса КС2 не применяются меры по противодействию атакам, который обязательны для выполнения при эксплуатации СКЗИ класса КС1, а именно:

1. утвержден перечень лиц, имеющих право доступа в помещения;
2. утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ;
3. утверждены правила доступа в помещения, где располагаются СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
4. доступ в контролируемую зону и помещения, где располагается ресурсы информационные системы персональных данных (ИСПДн) и(или) СКЗИ, обеспечивается в соответствии с контрольно-пропускным режимом;
5. сведения о физических мерах защиты объектов, в которых размещены ИСПДн, доступны ограниченному кругу сотрудников;
6. документация на СКЗИ хранится у ответственного за СКЗИ в металлическом сейфе (шкафу);
7. помещения, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;
8. представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены СКЗИ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации;
9. сотрудники, являющиеся пользователями ИСПДн, но не являющиеся пользователями СКЗИ, проинформированы о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;
10. пользователи СКЗИ проинформированы о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;
11. осуществляется регистрация и учет действий пользователей с персональными данными;
12. осуществляется контроль целостности средств защиты информации.

Компания КриптоПро разработала полный спектр программных и аппаратных продуктов для обеспечения целостности, авторства и конфиденциальности информации с применением ЭП и шифрования для использования в различных средах (Windows, Unix, Java). Новое направление продуктов компании — программно-аппаратные средства криптографической защиты информации с использованием смарткарт и USB ключей, позволяющие существенно повысить безопасность систем, использующих ЭП.

Наша компания является дилером КриптоПро и имеет соответствующий .

Стоимость продуктов КриптоПро CSP:

Наименование

Лицензия на право использования СКЗИ «КриптоПро CSP» версии 4.0 на одном рабочем месте

Лицензия на право использования СКЗИ «КриптоПро CSP» версии 4.0 на сервере

Сертификат на годовую техническую поддержку СКЗИ «КриптоПро CSP» на рабочем месте

Сертификат на годовую техническую поддержку СКЗИ «КриптоПро CSP» на сервере

Дистрибутив СКЗИ «КриптоПро CSP» версии 4.0 КС1 и КС2 на CD. Формуляры

Лицензия на право использования СКЗИ «КриптоПро CSP» версии 5.0 на одном рабочем месте

* Лицензия на рабочее место не позволит использовать КриптоПро CSP в среде серверных операционных систем

Лицензия на право использования СКЗИ «КриптоПро CSP» версии 5.0 на сервере

Сертификат на установку и (или) обновление СКЗИ «КриптоПро CSP» на рабочем месте или сервере

*Работы по установке СКЗИ КриптоПро CSP выполняются в офисе ООО «КРИПТО-ПРО» или в режиме удаленного доступа к рабочему месту или серверу

Обращаем внимание, что для продолжения работы с ГОСТ Р 34.10-2001 в 2019 году (отключая предупреждающие окна или запреты при обращении к ключам ГОСТ Р 34.10-2001 после 1 января 2019 года) с использованием продуктов КриптоПро необходимо применить следующие рекомендации:

• Рекомендации по отключению предупреждающих окон ;
• Рекомендации по переносу даты блокировки работы с ГОСТ Р.34.10-2001 для пользователей КриптоПро CSP 4.0, функционирующем в режиме усиленного контроля ключей* ;
• Рекомендации по переносу даты блокировки работы с ГОСТ Р.34.10-2001 для пользователей КриптоПро JCP 2.0 .

*По умолчанию в данных версиях отключен. Подробнее в ЖТЯИ.00087-01 95 01. Правила пользования.

В эксплуатационной документации на КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 явно указан запрет на формирование электронной подписи по ГОСТ Р 34.10-2001 с 1 января 2019 года. Но, в связи с переносом сроков перехода на ГОСТ Р 34.10-2012 до 1 января 2020 года, нами были направлены соответствующие извещения в ФСБ России, корректирующие эту дату. Информация о согласовании извещений будет опубликована на нашем сайте.

Попытка использования ГОСТ Р 34.10-2001 (кроме проверки подписи) на всех выпущенных к настоящему моменту сертифицированных версиях КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 с 1 января 2019 года вызовет ошибку или предупреждение (в зависимости от продукта и режима работы), в соответствии с изначально принятым в 2014 году порядком перехода на ГОСТ Р 34.10-2012 до 1 января 2019 года. Ошибки/предупреждающие окна могут привести к неработоспособности автоматических/автоматизированных систем при использовании ими ключей ГОСТ Р 34.10-2001, в связи с чем просим заблаговременно применить упомянутые инструкции.

Также сообщаем, что на данный момент завершается сертификация обновленных версий КриптоПро CSP 4.0 R4 и КриптоПро JCP 2.0 R2, о чем будет сообщено на нашем сайте. Рекомендуем обновиться до этих версий после их выхода.

Немногим более двух десятилетий тому назад криптография в России находилась приблизительно на том же уровне секретности, что и технологии производства оружия – ее практическое применение относилось к сфере деятельности исключительно военных и спецслужб, то есть было полностью подконтрольно государству. В открытом доступе встретить какие-либо издания и научные работы по этому вопросу не представлялось возможным – тема криптографии была закрыта.

Ситуация изменилась лишь в 1990 году, когда в действие был введен стандарт шифрования ГОСТ 28147-89 . Изначально алгоритм имел гриф ДСП и официально «полностью открытым» стал лишь в 1994 году.

Сложно точно сказать, когда именно в отечественной криптографии был совершен информационный прорыв. Скорее всего, это произошло с появлением у широкой общественности доступа в интернет, после чего в сети начали публиковаться многочисленные материалы с описаниями криптографических алгоритмов и протоколов, статьи по киптоанализу и другая информация, имеющая отношение к шифрованию.

В сложившихся условиях криптография больше не могла оставаться прерогативой одного лишь государства. Кроме того, развитие информационных технологий и средств связи обусловило потребность в использовании средств криптографической защиты коммерческими компаниями и организациями.

Сегодня к средствам криптографической защиты информации (СКЗИ) относят: средства шифрования, средства имитозащиты, средства электронной цифровой подписи, средства кодирования, средства изготовления ключевых документов и сами ключевые документы .

• защита информационных систем персональных данных;
• защита конфиденциальной информации компании;
• шифрования корпоративной электронной почты;
• создание и проверки цифровых подписей.

Применение криптографии и СКЗИ в российских компаниях

1. Внедрение криптосредств в системы защиты персональных данных

Деятельность практически любой российской компании сегодня связана с хранением и обработкой персональных данных (ПДн) различных категорий, к защите которых законодательством РФ выдвигается ряд требований . Для их выполнения руководство компании, прежде всего, сталкивается с необходимостью формирования модели угроз персональным данным и разработки на ее основе системы защиты персональных данных , в состав которой должно входить средство криптографической защиты информации.

К СКЗИ, внедренному в систему защиты персональных данных, выдвигаются следующие требования:

• Криптографическое средство должно штатно функционировать совместно с техническими и программными средствами, которые способны повлиять на выполнение предъявляемых к нему требований.
• Для обеспечения безопасности персональных данных при их обработке должны использоваться сертифицированные в системе сертификации ФСБ России криптосредства.

Таким образом, средства криптографической защиты сегодня эффективно используются компаниями и организациями для защиты персональных данных российских граждан и являются одной из наиболее важных составляющих в системах защиты персональных данных.

2. Защита корпоративной информации

Если в п.1 использование крпитогарфических средств обусловлено, прежде всего, требованиями законодательства РФ, то в данном случае в применении СКЗИ заинтересовано руководство самой компании. С помощью средства шифрования компания получает возможность защитить свою корпоративную информацию – сведения, представляющие коммерческую тайну, интеллектуальную собственность, оперативную и техническую информацию и др.

На сегодняшний день для эффективного применения в корпоративной среде, программа для шифрования должна обеспечивать:

• шифрование данных на удаленном сервере;
• поддержку асимметричной криптографии;
• прозрачное шифрование;
• шифрование сетевых папок;
• возможность разграничения прав доступа к конфиденциальной информации между сотрудниками компании;
• возможность хранения сотрудниками закрытых ключей на внешних носителях информации (токенах).

3. Электронная подпись

Электронная подпись (ЭП) сегодня является полноценным аналогом собственноручной подписи и может быть использована юридическими и физическими лицами для того, чтобы обеспечить документу в цифровом формате юридическую силу. Применение ЭП в электронных системах документооборота значительно увеличивает скорость заключения коммерческих сделок, уменьшает объем бумажных бухгалтерских документов, экономит время сотрудников. Кроме того, ЭП сокращает расходы предприятия на заключение договоров, оформление платежных документов, получение различных справок от государственных учреждений и многое другое.

Средства криптографической защиты, как правило, имеют в своем составе функции по созданию и проверке электронных подписей. Российским законодательством к таким СКЗИ выдвигаются следующие требования :

При создании ЭП они должны:

• показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
• создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП;
• однозначно показывать, что ЭП создана.

• показывать содержание электронного документа, подписанного ЭП;
• показывать информацию о внесении изменений в подписанный ЭП электронный документ;
• указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.

4. Шифрование электронной почты

Для большинства компаний электронная почта является основным средством коммуникации между сотрудниками. Ни для кого не секрет, что по корпоративной электронной почте сегодня пересылается огромное количество конфиденциальной информации: договора, счета, сведения о продуктах и ценовых политиках компании, финансовые показатели и др. Если подобная информация окажется доступной для конкурентов, это может нанести значительный ущерб компании вплоть до прекращения ее деятельности.

Поэтому защита корпоративной почты – крайне важная составляющая в обеспечении информационной безопасности компании, реализация которой становится возможной также благодаря использованию криптографии и средств шифрования.

Большинство почтовых клиентов, таких как Outlook, Thinderbird, The Bat! и др., позволяют настроить обмен зашифрованными сообщениями на основе сертификатов открытого и закрытого ключа (сертификаты в форматах X.509 и PKCS#12 соответственно), создаваемых при помощи средств криптографической защиты.

Здесь также следует упомянуть о возможности криптографических средств работать в качестве удостоверяющих центров (УЦ). Основное предназначение удостоверяющего центра — выдача сертификатов шифрования и подтверждение подлинности ключей шифрования. В соответствии с российским законодательством, УЦ подразделяются на классы (КС1, КС2, КС3, КВ1, КВ2, КА1), к каждому из которых выдвигается ряд требований . При этом, класс СКЗИ, использующегося в средствах УЦ, должен быть не ниже соответствующего класса УЦ .

Использование CyberSafe Enterprise

Разрабатывая программу CyberSafe Enterprise мы постарались учесть все вышеописанные возможности, включив их в функциональный набор программы. Так, она поддерживает функции, перечисленные в п.2 данной статьи, шифрование электронной почты, создание и проверку цифровых подписей, а также работу в качестве удостоверяющего центра.

Наличие в CyberSafe сервера публичных ключей позволяет компаниям организовать удобный обмен ключами между своими сотрудниками, где каждый из них может опубликовать свой открытый ключ, а также скачать открытые ключи других пользователей.

Далее более подробно остановимся на возможности внедрения CyberSafe Enterprise в системы защиты персональных данных. Эта возможность существует благодаря поддержке программой криптопровайдера КриптоПро CSP , сертифицированного ФСБ РФ в качестве СКЗИ классов КС1, КС2 и КС3 (в зависимости от исполнения) и оговорена в п. 5.1 «Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных» :

«Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы)».

Таким образом, имея в своем составе встроенное СКЗИ КриптоПро CSP, программа CyberSafe Enterprise может быть использована в системе защиты персональных данных классов КС1 и КС2.

После установки КриптоПро CSP на компьютер пользователя при создании сертификата в CyberSafe Enterprise появится возможность создать сертификат КриптоПРО:

После завершения создания сертификата CyberSafe ключи КриптоПРО также созданы, отображаются на вашей связке и доступны для использования:

В том случае, если возникает необходимость экспортировать ключи КриптоПро в отдельный файл, это можно сделать через стандартную функцию экспорта ключей CyberSafe:

Если вы хотите зашифровать файлы для передачи другим пользователям (или подписать их своей цифровой подписью) и использовать для этого ключи КриптоПро, из списка доступных криптопровайдеров необходимо выбрать КриптоПро:

В том случае, если вы хотите использовать ключи КриптоПро для прозрачного шифрования файлов, в окне выбора сертификатов в качестве криптопровайдера также следует указать КриптоПро:

В CyberSafe существует возможность использовать КриптоПРО и алгоритм ГОСТ для шифрования логических дисков/разделов и создания виртуальных зашифрованных дисков:

Также, на основе сертификатов КриптоПро, может быть настроено шифрование электронной почты . В КприптоПро CSP алгоритмы формирования и проверки ЭП реализованы в соответствии с требованиями стандарта ГОСТ Р 34.10-2012, алгоритм шифрования/дешифрования данных реализован в соответствии с требованиями стандарта ГОСТ 28147-89.

На сегодняшний день CyberSafe является единственной программой, которая сочетает в себе функции по шифрованию файлов, сетевых папок, логических дисков, электронной почты и возможность работы в качестве удостоверяющего центра с поддержкой стандартов шифрования ГОСТ 28147-89 и ГОСТ Р 34.10-2012.

Документы:

1. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.
2. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных , утвержденное Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781.
3. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации , утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144.
4. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации , утвержденное Приказом ФСБ РФ от 9 февраля 2005 г.№ 66.
5. Требования к средствам электронной подписи и Требования к средствам удостоверяющего центра , утвержденные Приказом Федеральной службы безопасности Российской Федерации от 27 декабря 2011 г. № 796.

Выбор класса средства ЭП

Вопрос кажется настолько легким но, все же лучше убедиться один раз чем потом несколько раз накатывать создание сертификата.
Вопроса бы не возникало если бы не ФЗС.

В одних инструкциях показывают на скриншотах что нужно указывать КС1 а в других инструкция на скриншотах так понимаю как образец указывают КС2 так какой класс средства ЭП, все же выбрать для простого госучреждения? Правильно понимаю, что нужно выбирать КС2 или выбирать в соответствии с формуляром выданной ФК?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

• Сообщений: 2045
• Спасибо получено: 270

07 фев 2019 04:39 — 07 фев 2019 04:41 #10225 от Gvinpin
Gvinpin ответил в теме Выбор класса средства ЭП

ikmz пишет: Вопрос кажется настолько легким но, все же лучше убедиться один раз чем потом несколько раз накатывать создание сертификата.
Вопроса бы не возникало если бы не ФЗС.

В одних инструкциях показывают на скриншотах что нужно указывать КС1 а в других инструкция на скриншотах так понимаю как образец указывают КС2 так какой класс средства ЭП, все же выбрать для простого госучреждения? Правильно понимаю, что нужно выбирать КС2 или выбирать в соответствии с формуляром выданной ФК?

Вам выдавали один формуляр или два? Не 2 экземпляра, а один рег. номер и для КС1, и для КС2? (Собственно, дистрибутив КС1 сертифицирован по классу защиты КС1, дистрибутив КС2 — по КС2))).
КС2 — более высокий класс защиты в соответствии с классификацией, используемой при сертификации ФСБ. При условии использования дополнительных аппаратных средств («соболь», SecretNet и т.д.) нужно выбирать КС2, в противном случае — КС1.

______________________________
лучше уже было

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

• Сообщений: 1935
• Спасибо получено: 520

26 июль 2022 08:57 — 26 июль 2022 09:26 #21289 от Alex67
Alex67 ответил в теме Выбор класса средства ЭП

А у нас тут появились желающие перевыпустить сертификаты ЮЛ всему району с классом средства ЭП КС2 вместо КС1.
Потому что гадский СБИС при подписании какого то одного отчета проверяет, чтобы класс средств ЭП в сертификате был указан не менее КС 2
(так со слов потерпевших).
При этом, как мы понимаем соболя на компе не появятся, и по факту там может быть вообще КС0 — ключ в реестре.

Такая вот профанация.
Помним, что речь идёт про класс средств ЭП владельца квалифицированного сертификата (а не УЦ)

«Кто людям помогает — лишь тратит время зря. Хорошими делами прославиться нельзя» (с) Шапокляк

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

• Сообщений: 194
• Спасибо получено: 25

26 июль 2022 09:23 #21290 от gurazor
gurazor ответил в теме Выбор класса средства ЭП

Потому что гадский СБИС при подписании какого то одного отчета проверяет, чтобы класс средств ЭП в сертификате был указан не менее КС 2
(так со слов потерпевших).

Весной тоже слышал эту историю, не поверил
Вроде всё улеглось.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

• Сообщений: 1935
• Спасибо получено: 520

26 июль 2022 12:17 #21291 от Alex67
Alex67 ответил в теме Выбор класса средства ЭП
Пообщался с ТП СБИС

Вопрос:
По ссылке в статье средство электронной подписи указано КС1 и КС2
Является ли наличие в сертификате КС2 необходимым? у нас в сертификате только КС1?
Под предлогом того что класс КС 2 якобы обязателен хотят перевыпустить все ранее полученные сертификаты,
если в этом нет необходимости хотелось бы этого избежать
Ответ:
Любой класс должен подходить для работы в сбис.
Не нужно перевыпускать.

Но героев не остановить.
«Кто людям помогает — лишь тратит время зря. Хорошими делами прославиться нельзя» (с) Шапокляк

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

• Сообщений: 156
• Спасибо получено: 42

26 июль 2022 13:29 #21292 от ful
ful ответил в теме Выбор класса средства ЭП
МФЦ получали серты с КС2. Так им написали в инструкции)) но серты по факту в реестре.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

• Сообщений: 1935
• Спасибо получено: 520

26 июль 2022 16:07 #21294 от Alex67
Alex67 ответил в теме Выбор класса средства ЭП
МФЦ получали серты с КС2. Так им написали в инструкции)) но серты по факту в реестре.

Да чего уж там кс2 пусть сразу кс3 ставят, там установка скзи под контролем ФСБ самое оно.
«Кто людям помогает — лишь тратит время зря. Хорошими делами прославиться нельзя» (с) Шапокляк
Спасибо сказали: ranger

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Уровень криптографической защиты при реализации обмена электронными сообщениями, защищенными электронной подписью

Уровень криптографической защиты при реализации обмена электронными сообщениями, защищенными электронной подписью

Уровень криптографической защиты при реализации обмена электронными сообщениями, защищенными электронной подписью

В настоящей статье рассматривается ряд аспектов обеспечения ИБ электронного взаимодействия при использовании усиленной квалифицированной электронной подписи (КЭП).

Группа экспертов ФСБ России

С точки зрения качественных характеристик криптографической защиты электронного взаимодействия при использовании КЭП следует рассмотреть следующие вопросы:

• правила обработки информации о классе средств электронной подписи, имеющейся в квалифицированном сертификате;
• принципы организации инфраструктуры аккредитованных удостоверяющих центров (УЦ).

Если класс средств ЭП ГУЦ окажется низким, возможна ситуация, когда появятся аккредитованные УЦ, имеющие средства ЭП, класс которых выше класса средств ЭП ГУЦ. В этом случае пользователи таких УЦ, обладающие средствами ЭП, класс которых выше класса средств ЭП ГУЦ, будут принудительно ограничены уровнем криптографической защиты, задаваемым классом средств ЭП ГУЦ, и не смогут реализовать необходимую политику безопасности.

В соответствии с Требованиями к средствам электронной подписи и Требованиями к средствам УЦ, утвержденными приказом ФСБ России от 27 декабря 2011 г. № 796 устанавливается шесть классов – КС1, КС2, КС3, КВ1, КВ2, КА1, определяющих иерархию уровней криптографической защиты информации.

Исходя из этой иерархии, участник информационного взаимодействия для подписания электронных документов может самостоятельно выбрать средства, обеспечивающие необходимую защиту. Выбор класса осуществляется на основе модели угроз безопасности информации в соответствующей информационной системе.

Механизм, позволяющий автоматизированным образом в процессе проверки КЭП определять достигнутый уровень криптографической защиты, закреплен в Требованиях к форме квалифицированного сертификата ключа проверки электронной подписи, утвержденных приказом ФСБ России от 27 декабря 2011 г. № 795 (далее – Требования к форме квалифицированного сертификата), и заключается в следующем.

Определяем достигнутый уровень криптографической защиты

В дополнении certificatePolicies должны указываться сведения о классе средств ЭП, используемых владельцем квалифицированного сертификата для подписания электронного документа. Данные сведения указываются путем включения набора соответствующих объективных идентификаторов (пункты 27, 28 Требований к форме квалифицированного сертификата).

Алгоритм обработки данного дополнения certificatePolicies в процессе верификации цепочки сертификатов подробно описан в RFC 5280. Целью работы данного алгоритма является определение набора таких объективных идентификаторов, которые входят во все сертификаты верифицируемой цепочки. В соответствии с правилами заполнения дополнения certificatePolicies (пункт 28 Требований к форме квалификационного сертификата) данный набор во всех случаях не может быть пустым и всегда включает как минимум объектный идентификатор класса КС1 (1.2.643.100.113.1).

Надежная и безопасная инфраструктура аккредитованных УЦ является тем фундаментом, который позволит выйти на новый качественный уровень предоставления государственных и муниципальных услуг в электронной форме и обеспечить современное высокотехнологичное исполнение государственных функций федеральными органами исполнительной власти. Приоритетными задачами в этой области должны стать высокая степень автоматизации процедур создания и проверки КЭП в электронном документе (минимизация организационного фактора, повышение защищенности индивидуальных средств ЭП), а также обеспечение информационных систем всех уровней адекватными условиями применения средств ЭП.

Например, если в квалифицированных сертификатах цепочки встречается только класс средств ЭП КС1, то на выходе алгоритма обработки политик будет идентификатор (1.2.643.100.113.1), обозначающий, что достигнут уровень криптографической защиты электронного взаимодействия при использовании КЭП КС1.

Если в цепочке квалифицированных сертификатов встречается следующий набор классов средств ЭП – КВ2, КС3, КС2, то на выходе алгоритма обработки политик будет пара объектных идентификаторов (1. 2 .643.100.113.1, 1.2.643.100.113.2), обозначающая, что достигнут уровень криптографической защиты электронного взаимодействия при использовании КЭП КС2.

Из описанного механизма следует, что уровень криптографической защиты электронного взаимодействия при использовании КЭП, не превышает класс средств ЭП, используемых головным удостоверяющим центром (ГУЦ) для создания ключа КЭП, используя который аккредитованные УЦ подписывают квалифицированные сертификаты участников электронного взаимодействия (то есть класс средств ЭП ГУЦ является максимально возможным).

В общем случае, если класс средств ЭП ГУЦ окажется низким, возможна ситуация, когда появятся аккредитованные УЦ, имеющие средства ЭП, класс которых выше класса средств ЭП ГУЦ. В этом случае пользователи таких УЦ, обладающие средствами ЭП, класс которых выше класса средств ЭП ГУЦ, будут принудительно ограничены уровнем криптографической защиты, задаваемым классом средств ЭП ГУЦ, и не смогут реализовать необходимую политику безопасности.

Для некоторых государственных информационных систем такое положение дел с точки зрения ИБ может оказаться неприемлемым.

Таким образом, для задач использования КЭП полагаем необходимым обеспечить класс КВ2 или КА1 для средств ЭП, входящих в состав ГУЦ и используемых для создания и выдачи ключей КЭП аккредитованным УЦ.

Далее рассмотрим особенности верификации цепочки квалифицированных сертификатов.

Особенности верификации

В современной практике применения электронной подписи для известных схем построения PKI-инфраструктуры (иерархической, сетевой на основе кросс-сертификатов, TSL-схемы) проверка действительности ЭП осуществляется путем построения и верификации соответствующей цепочки сертификатов ключей проверки электронных подписей. Данная цепочка начинается корневым самоподписанным сертификатом ключа проверки электронной подписи корневого УЦ и заканчивается проверяемым сертификатом. Подробно процедура проверки действительности сертификата описана в рекомендациях Х.509 и, например, в RFC 5280.

Федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи (далее – УФО), осуществляет функции ГУЦ в отношении аккредитованных УЦ и выдает аккредитованным УЦ квалифицированные сертификаты.

Указанные положения делают возможным применение механизма автоматизированного контроля статуса аккредитации УЦ в момент проверки КЭП в электронном документе (путем определения статуса его квалифицированного сертификата, выданного ГУЦ).

Предположим, что аккредитация некоторого УЦ приостановлена (отозвана) в некоторый момент времени. Тогда ГУЦ достаточно приостановить (прекратить) действие соответствующего квалифицированного сертификата и возможность признания квалифицированной электронной подписи участника электронного взаимодействия действительной будет исключена, так как соответствующая цепочка сертификатов не будет верифицирована.

Недостатки

Нарушение изложенного подхода и использование в процедурах проверки КЭП самоподписанных сертификатов аккредитованных УЦ порождает такие недостатки, как:

• отсутствие однозначной (технически контролируемой) взаимосвязи статуса самоподписанного сертификата со статусом аккредитации УЦ;
• отсутствие возможности автоматизированной проверки действительности КЭП (как результата верификации цепочки квалифицированного сертификата, начинающейся с квалифицированного сертификата, выданного ГУЦ аккредитованному УЦ, и заканчивающейся квалифицированным сертификатом участника электронного взаимодействия).

Обозначенные недостатки могут приводить к следующим негативным последствиям:

• признание КЭП в электронном документе действительной в условиях отозванной (приостановленной) аккредитации УЦ;
• появление «ложных» квалифицированных сертификатов участников электронного взаимодействия (например, созданных «ложными аккредитованными УЦ», не имевшими аккредитации).

Как следствие, создаются предпосылки для оспаривания в правовом поле действительности КЭП в электронном документе.

Таким образом, в качестве базовой архитектуры построения инфраструктуры аккредитованных УЦ необходимо реализовывать иерархическую схему с ГУЦ в качестве корневого.

Опубликовано: Журнал «Information Security/ Информационная безопасность» #4, 2013

Выпуск КЭП класса защиты КС3. Новая услуга от УЦ ITCOM

Для получения бесплатной консультации звоните по телефону горячей линии: 8 800 333 91 03 или оставьте заявку.

Теперь в удостоверяющем центре ITCOM можно заказать квалифицированную электронную подпись класса защиты КС3.

Подобные ЭП подходят для банков, МФЦ, газо- и нефтеперерабатывающих предприятий, организаций, обеспечивающих охранную деятельность и видеонаблюдение, и других компаний, в деятельности которых необходима дополнительная защита конфиденциальности передачи данных.

Чем отличаются классы защиты КС1, КС2 и КС3?

Класс защиты КС1 — это базовое программное обеспечение средств криптографической защиты информации (СКЗИ). Подобным уровнем защиты обладают обычные электронные подписи.

Класс защиты КС2 — это КС1, дополненный сертифицированным аппаратно-программным модулем доверенной загрузки (АПМДЗ).

Класс защиты КС3 представляет собой ПО класса КС2 плюс специализированное программное обеспечение для создания и контроля замкнутой программной среды.

Таким образом, данные три класса защиты отличаются друг от друга дополнительными программными элементами, обеспечивающим более высокий уровень безопасности.

Выбор необходимой степени защиты ЭП зависит от типов атак, которым может подвергнуться ваша организация. Чем больше угроз вы выявляли в процессе работы и чем конфиденциальнее информация, которую вы храните и с которой работаете, тем более защищенная электронная подпись вам нужна.

СКЗИ класса КС3 нейтрализуют атаки, направленные на персональные данные, аппаратные компоненты СКЗИ, ключевую, аутентифицирующую и парольную информацию СКЗИ, содержание документации и др.

Чтобы оставить заявку на выпуск сертификата, перейдите по ссылке.