- Требования к средствам электронной подписи
- Требования к средствам удостоверяющего центра
Требования предназначены для заказчиков и разработчиков средств электронной подписи и удостоверяющих центров при их взаимодействии между собой и с организациями, проводящими криптографические и специальные исследования таких средств, а также при их взаимодействии с ФСБ, подтверждающей соответствие таких средств установленным требованиям.
Меня в первую очередь интересовало, как в этих требованиях отражены вопросы, связанные с управлением документами. Немало соответствующих пунктов нашлось в «Требованиях к средствам электронной подписи».
При создании электронной подписи (ЭП) средства ЭП должны (п.8):
- показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает,
- создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП,
- однозначно показывать, что ЭП создана.
- показывать содержание электронного документа, подписанного ЭП,
- показывать информацию о внесении изменений в подписанный ЭП электронный документ,
- указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.
В зависимости от способности противостоять угрозам, средства ЭП подразделяются на классы (п.12). В зависимости от класса, требования к фиксации событий, связанных с использованием средства ЭП, различаются:
33. Для средств ЭП классов КС1 и КС2 необходимость предъявления требований к регистрации событий и их содержание указываются в ТЗ на разработку (модернизацию) средства ЭП.Установлены и требования к обеспечению сохранности журнала регистрации событий:34. В состав средств ЭП классов КС3, КВ1, КВ2 и КА1 должен входить модуль, производящий фиксацию в электронном журнале регистрации событий в средстве ЭП и СФ, связанных с выполнением средством ЭП своих целевых функций.
Требования к указанному модулю и перечень регистрируемых событий определяются и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.
35. Журнал регистрации событий должен быть доступен только лицам, определенным оператором информационной системы, в которой используется средство ЭП, или уполномоченными им лицами. При этом доступ к журналу регистрации событий должен осуществляться только для просмотра записей и для перемещения содержимого журнала регистрации событий на архивные носители.Крайне спорным в документе мне показался п.36, ограничивающий срок действия открытого ключа ЭП. Сразу возникает вопрос, а что же делать тем организациям, которые будут подписывать электронной подписью документы постоянного или длительного срока хранения? Что им делать с этими документами через 15 лет - выбрасывать на электронную помойку (заодно забыв о связанных с ними правах и обязанностях)?
С моей точки зрения, либо авторы документа не в ладах с русским языком, и не смогли грамотно выразить свою мысль, какой бы она ни была, - либо они не в ладах с законодательством
, которое не предусматривает такой глупости, как потеря подписью своей юридической силы.
36. Срок действия ключа проверки ЭП не должен превышать срок действия ключа ЭП более чем на 15 лет .Встает вопрос и о квалификации специалистов Минюста, который благополучно зарегистрировал данный документ.37. Требования к механизму контроля срока использования ключа ЭП, блокирующего работу средства ЭП в случае попытки использования ключа дольше заданного срока, определяются разработчиком средства ЭП и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.
Стандарты ЭЦП в нашей стране устанавливаются законодательством. Требования, предъявляемые к электронным подписям, содержатся в Федеральном законе №63-ФЗ, и в Приказе ФСБ РФ №796. Они определяют структуру и содержание требований к средствам электронной подписи.
Требования к безопасности ЭЦП
Стандарты защиты указывают на то, что электронная подпись должна создаваться с применением устойчивых к взлому алгоритмов. Прежде всего, это требование касается подбора ключа или возможности воздействия на него с помощью программных либо аппаратных средств. Кроме того, ЭЦП не должна быть чувствительной к атакам, затрагивающим среду функционирования - например, повреждающим BIOS.
Хотя в стандартах и не содержится сведений об использовании внешних ключей, их применение - это один из немногих способов обеспечить требуемый уровень защиты. При этом нужно помнить, что все компоненты ЭЦП не могут располагаться на физическом , обычно представленном USB-ключом. Требование законодательства в этом случае однозначно - шифрование должно производиться установленной на компьютере программой, использующей внешний носитель в качестве подтверждения подлинности. Стандарты также не позволяют выполнять кодирование с помощью облачных сервисов, не имеющих подтвержденного государственными органами уровня безопасности.
Процедура использования электронной подписи
В отношении процесса заверения документа и считывания ЭЦП предъявляются похожие требования:
- Пользователь должен видеть содержание подписываемого документа.
- Пользователь должен подтвердить подписание документа.
- Средства ЭП должны однозначно показать, что подпись создана.
Независимо от типа, в сертификате ЭП должны быть «зашиты» сведения о владельце сертификата подписи. Это значительно облегчает разбор спорных ситуаций, при взаимодействии с государственными органами или контрагентами, обрабатывающими большой поток документооборота в день.
В России в электронном документообороте можно использовать три вида подписи: простую, усиленную неквалифицированную и усиленную квалифицированную. Посмотрим, чем они отличаются друг от друга, при каких условиях равнозначны собственноручной и придают подписанным файлам юридическую силу.
Простая электронная подпись, или ПЭП
Простая подпись — это знакомые всем коды доступа из СМС, коды на скретч-картах, пары “логин-пароль” в личных кабинетах на сайтах и в электронной почте. Простая подпись создается средствами информационной системы, в которой ее используют, и подтверждает, что электронную подпись создал конкретный человек.
Где используется?
Простая электронная подпись чаще всего применяется при банковских операциях, а также для аутентификации в информационных системах, для получения госуслуг , для заверения документов внутри корпоративного электронного документооборота (далее — ЭДО).
Простую электронную подпись нельзя использовать при подписании электронных документов или в информационной системе, которые содержат гостайну.
Юридическая сила
Простая подпись приравнивается к собственноручной, если это регламентирует отдельный нормативно-правовой акт или между участниками ЭДО заключено соглашение, где прописаны:
- правила, по которым подписанта определяют по его простой электронной подписи.
- обязанность пользователя соблюдать конфиденциальность закрытой части ключа ПЭП (например, пароля в паре “логин-пароль” или СМС-кода, присланного на телефон).
Во многих информационных системах пользователь должен сначала подтвердить свою личность во время визита к оператору систему, чтобы его ПЭП в будущем имела юридическую силу. Например, для получения подтвержденной учетной записи на портале Госуслуг, нужно лично прийти в один из центров регистрации с документом, удостоверяющим личность.
Неквалифицированная электронная подпись, или НЭП
Усиленная неквалифицированная электронная подпись (далее — НЭП) создается с помощью программ криптошифрования с использованием закрытого ключа электронной подписи. НЭП идентифицирует личность владельца, а также позволяет проверить, вносили ли в файл изменения после его отправки.
Человек получает в удостоверяющем центре два ключа электронной подписи: закрытый и открытый. Закрытый ключ хранится на специальном ключевом носителе с пин-кодом или в компьютере пользователя — он известен только владельцу и его нужно держать в тайне. С помощью закрытого ключа владелец генерирует электронные подписи, которыми подписывает документы.
Открытый ключ электронной подписи доступен всем, с кем его обладатель ведет ЭДО. Он связан с закрытым ключом и позволяет всем получателям подписанного документа проверить подлинность ЭП.
То, что открытый ключ принадлежит владельцу закрытого ключа, прописывается в сертификате электронной подписи. Сертификат также выдается удостоверяющим центром. Но при использовании НЭП сертификат можно не создавать. Требования к структуре неквалифицированного сертификата не установлены в федеральном законе № 63-ФЗ “Об электронной подписи”.
Где используется?
НЭП можно использовать для внутреннего и внешнего ЭДО, если стороны предварительно договорились об этом.
Юридическая сила
Участникам ЭДО нужно соблюдать дополнительные условия, чтобы электронные документы, заверенные НЭП, считались равнозначными бумажным с собственноручной подписью. Сторонам нужно обязательно заключить между собой соглашение о правилах использования НЭП и взаимном признании ее юридической силы.
средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из функций:
создание ЭП с использованием закрытого ключа ЭИ
подтверждение с использованием открытого ключа ЭП
создание закрытого и открытого ключей ЭП.
4. Средства кодирования (ручные шифры)
Средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций.
5. Средства изготовления ключевых документов.
Независимо от вида носителя ключевой информации
6.Ключевые документы (независимо от вида носителя)
Компрометация криптографических ключей – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптографические ключи могут стать доступными несанкционированным лицам и/или процессам.
Персональные данные (ПД) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе его фамилия, имя, отчество, дата рождения, адрес, семейное, социальное, имущественное положение, образование, профессия и другая информация.
Оператор ПД – государственный орган или муниципальный орган, юридическое или физическое лицо, организующее и/или осуществляющее обработку ПД, а также определяющие цели и содержание обработки ПД.
ЭП – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связанной с такой информацией и которая используется для определения лица, подписавшего информацию.
Сертификат ключа проверки ЭП – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром или доверенным лицом УЦ, и подтверждающий принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП.
УЦ – юридическое лицо или индивидуальный предприниматель, осуществляющий функционирование по созданию и выдаче открытых ключей проверки ЭП, а также иные функции, связанные с ЭП и предусмотренные законодательством.
Аккредитация УЦ – признание федеральным органом исполнительной власти, уполномоченным в сфере использования ЭП, соответствия УЦ требованиям законодательства.
Средства УЦ – программные и/или аппаратные средства, используемые для реализации функций УЦ.
Средства ЭП – шифровальные или криптографические средства, используемые для реализации хотя бы 1 из функций:
создание ЭП
проверка ЭП
создание ключа ЭП
создание ключа проверки ЭП
Ключ ЭП – уникальная последоватедьность символов, предназначенная для создания ЭП. Ключ проверки ЭП - … однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП.
Квалифицированные сертификаты ключей проверки ЭП – сертификат ключа проверки ЭП, выдан аккредитованным УЦ или доверенным лицом аккредитованного УЦ или федеральным органом исполнительной власти, умолномоченным в сфере использования ЭП (уполномоченным федеральным органом)
ГОСТ Р 51275
ЗИ. Объекты информатизации. Факторы, воздействующие на информацию. Основные положения.
Область применения – Стандарт устанавливает классификацию и перечень факторов, воздействующих на результативность защиты информации в интересах обоснованных угроз безопасности информации к требованиям по ЗИ на объекте информатизации. Стандарт распространяется на объекты информатизации, создание и эксплуатирование в различных областях деятельности (оборона, экономика, наука и другие)
Выявление и учет факторов, воздействующих или тех, которые могут воздействовать на защищаемую информацию в конкретных условиях, составляют основу для планирования и осуществления эффективных мероприятий, направленных на ЗИ на объекте информатизации.
Полнота и достоверность выявляемых факторов достигается путем рассмотрения полного множества факторов, воздействующих на все элементы ОИ (технические и программные средства обработки информации, средства обеспечения ОИ и так далее) и на всех этапах обработки информации.
Выявление факторов, воздействующих на защищаемую информацию, должно осуществляться с учетом требований:
достаточность уровней классификации факторов, позволяющая формировать их полное множество;
гибкость классификации. Позволяющая рассматривать множество классифицируемых факторов, а также вносить изменения без нарушения структуры классификаций.
Факторы, воздействующие на информацию:
Объективные внутренние
передача сигналов извлечение сигналов, функций, присущих техническим средствам ОИ побочные ЭМИ |
Объективные внешние явления техногенного характера природные явления, стихийные бедствия |
Субъективные внутренние разглашение защищаемой информации лицами, имеющими к ней право доступа неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации НСД к защищаемой информации недостатки организации обеспечения ЗИ ошибки обслуживания персонала ОИ |
Субъективные внешние доступ к защищаемой информации с применением ТС НСД к защищаемой информации блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку действия криминальных групп и отдельных преступных субъектов искажение, уничтожение или блокирование информации с применением ТС |
1. Для создания и проверки электронной подписи, создания ключа электронной подписи и ключа проверки электронной подписи должны использоваться средства электронной подписи, которые:
1) позволяют установить факт изменения подписанного электронного документа после момента его подписания;
2) обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки;
3) позволяют создать электронную подпись в формате, устанавливаемом федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, и обеспечивающем возможность ее проверки всеми средствами электронной подписи.
2. При создании электронной подписи средства электронной подписи должны:
1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписываемой с использованием указанных средств, лицу, осуществляющему создание электронной подписи, содержание информации, подписание которой производится;
2) создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;
3) однозначно показывать, что электронная подпись создана.
3. При проверке электронной подписи средства электронной подписи должны:
1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписанной с использованием указанных средств, содержание электронного документа, подписанного электронной подписью;
(см. текст в предыдущей редакции)
2) показывать информацию о внесении изменений в подписанный электронной подписью электронный документ;
3) указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы.
4. Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих сведения , составляющие государственную тайну, или предназначенные для использования в информационной системе, содержащей сведения, составляющие государственную тайну, подлежат подтверждению соответствия обязательным требованиям по защите сведений соответствующей степени секретности в соответствии с законодательством Российской Федерации. Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих информацию ограниченного доступа (в том числе персональные данные), не должны нарушать конфиденциальность такой информации.