software-ul CryptoPro CSP se urmărește controlarea integrității software-ului sistemului și aplicației, gestionarea elementelor cheie ale sistemului în conformitate cu reglementarea mijloacelor de protecție, autorizare și asigurarea semnificației legale a documentelor electronice la schimbul acestora între utilizatori. Pe lângă furnizorul criptografic, CryptoPro CSP include CryptoPro TLS, CryptoPro EAP-TLS, CryptoPro Winlogon și CryptoPro Revocation Provider.
Soluția este destinată:
- autorizarea și asigurarea semnificației juridice a documentelor electronice la schimbul acestora între utilizatori, utilizând procedurile de generare și verificare a semnăturilor electronice (PE) în conformitate cu standardele interne GOST R 34.10-2001 / GOST R 34.10-2012 (folosind GOST R 34.11-94 / GOST P 34.11-2012);
- asigurarea confidențialității și monitorizarea integrității informațiilor prin criptarea și protecția imitației sale, în conformitate cu GOST 28147-89;
- asigurarea autenticității, confidențialității și protecției imitației conexiunilor protocolului TLS;
- monitorizarea integrității software-ului sistemului și aplicației pentru a-l proteja de modificări și defecțiuni neautorizate;
- gestionarea elementelor cheie ale sistemului în conformitate cu reglementarea echipamentelor de protecție.
Algoritmi implementabili
- Algoritmul de generare a valorii hash a funcției este implementat în conformitate cu cerințele GOST R 34.11-94 / GOST R 34.11-2012 „Tehnologia informației. Securitatea informațiilor criptografice. Funcția hash. "
- Algoritmii pentru formarea și verificarea semnăturilor electronice sunt implementate în conformitate cu cerințele GOST R 34.10-2001 / GOST R 34.10-2012 „Tehnologia informației. Securitatea informațiilor criptografice. Procesele de formare și verificare a semnăturilor digitale electronice. "
- Algoritmul pentru criptarea / decriptarea datelor și calcularea codului de inserare este implementat în conformitate cu cerințele din GOST 28147-89 „Sisteme de procesare a informațiilor. Protecția criptografică. ”
Când se generează chei private și publice, este posibilă generarea cu diverși parametri în conformitate cu GOST R 34.10-2001 / GOST R 34.10-2012.
Când se generează o valoare și o criptare a funcției hash, este posibil să se utilizeze diferite noduri de înlocuire în conformitate cu GOST R 34.11-94 și GOST 28147-89.
Tipuri de suport cheie suportate
- dischete 3,5;
- carduri inteligente folosind cititoare de carduri inteligente care acceptă protocolul PC / SC;
- tablete Touch-Memory DS1993 - DS1996 folosind dispozitive Accord 4+, Sobol, blocare electronică Krypton sau cititor de tablete Touch-Memory DALLAS (numai pentru versiunea Windows);
- dongle USB (jetoane USB);
- suporturi amovibile cu interfață USB;
- registrul Windows
- fișiere OS Solaris / Linux / FreeBSD.
| CSP 3.6 | CSP 3.9 | CSP 4.0 | CSP 5.0 | |
|---|---|---|---|---|
| Windows Server 2016 | x64 * | x64 ** | x64 | |
| Windows 10 | x86 / x64 * | x86 / x64 ** | x86 / x64 | |
| Windows Server 2012 R2 | x64 | x64 | x64 | |
| Windows 8.1 | x86 / x64 | x86 / x64 | x86 / x64 | |
| Windows Server 2012 | x64 | x64 | x64 | x64 |
| Windows 8 | x86 / x64 | x86 / x64 | x86 / x64 | |
| Windows Server 2008 R2 | x64 / itaniu | x64 | x64 | x64 |
| Windows 7 | x86 / x64 | x86 / x64 | x86 / x64 | x86 / x64 |
| Windows Server 2008 | x86 / x64 / itaniu | x86 / x64 | x86 / x64 | x86 / x64 |
| Windows Vista | x86 / x64 | x86 / x64 | ||
| Windows Server 2003 R2 | x86 / x64 / itaniu | x86 / x64 | x86 / x64 | x86 / x64 |
| Windows Server 2003 | x86 / x64 / itaniu | x86 / x64 | x86 / x64 | x86 / x64 |
| Windows XP | x86 / x64 | |||
| Windows 2000 | x86 |
Situația sa schimbat abia în 1990, când a fost introdus standardul de criptare GOST 28147-89. Inițial, algoritmul avea un gât de PAL și a devenit oficial „complet deschis” abia în 1994.
Este greu de spus exact când s-a făcut descoperirea informației exact în criptografia rusă. Cel mai probabil, acest lucru s-a întâmplat atunci când Internetul a devenit disponibil publicului larg, după care au început să fie publicate în rețea numeroase materiale cu descrieri de algoritmi și protocoale criptografice, articole despre criptanaliză și alte informații legate de criptare.
În aceste condiții, criptografia nu mai putea rămâne doar prerogativa statului. În plus, dezvoltarea tehnologiei informației și a comunicațiilor a necesitat utilizarea protecției criptografice de către companii și organizații comerciale.
Astăzi să mijloace de protecție a informațiilor criptografice (CIPF) includ: mijloace de criptare, mijloace de protecție a imitațiilor, mijloace de semnătură digitală electronică, mijloace de codificare, mijloace de producere a documentelor cheie și tu însuți documente cheie.
- protejarea sistemelor de informare a datelor cu caracter personal;
- protecția informațiilor confidențiale ale companiei;
- criptare de e-mail corporativă;
- crearea și verificarea semnăturilor digitale.
Utilizarea criptografiei și a protecției criptografice în companiile rusești
1. Introducerea criptomonedelor în sistemele de protecție a datelor cu caracter personal
Activitățile aproape a oricărei companii ruse astăzi sunt asociate cu stocarea și procesarea datelor cu caracter personal (PD) din diverse categorii, a căror protecție legislația Federației Ruse stabilește o serie de cerințe. Pentru implementarea lor, conducerea companiei, în primul rând, se confruntă cu necesitatea formării modele de amenințare date personale și dezvoltare bazată pe acestea sisteme de protecție a datelor cu caracter personal, care ar trebui să includă un instrument de securitate a informațiilor criptografice.Sistemul criptografic de protecție a informațiilor implementat în sistemul de protecție a datelor cu caracter personal are următoarele cerințe:
- Instrumentul criptografic ar trebui să funcționeze fără probleme în combinație cu hardware și software care pot afecta îndeplinirea cerințelor pentru acesta.
- Pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora, ar trebui utilizate criptomonede certificate în sistemul de certificare al FSB din Rusia.
Astfel, instrumentele de protecție criptografică sunt acum utilizate în mod eficient de companii și organizații pentru a proteja datele personale ale cetățenilor ruși și sunt una dintre cele mai importante componente ale sistemelor de protecție a datelor cu caracter personal.
2. Protecția informațiilor corporative
Dacă în clauza 1 utilizarea fondurilor krpitogarficheskie este determinată, în primul rând, de cerințele legislației Federației Ruse, apoi în acest caz, conducerea companiei în sine este interesată de aplicarea CIPF. Folosind un instrument de criptare, compania este capabilă să-și protejeze informațiile corporative - informații reprezentând secrete comerciale, proprietate intelectuală, informații operaționale și tehnice etc.Astăzi, pentru o utilizare eficientă într-un mediu corporativ, un program de criptare ar trebui să furnizeze:
- criptarea datelor pe un server la distanță;
- suport pentru criptografie asimetrică;
- criptare transparentă;
- criptarea folderelor de rețea;
- capacitatea de a diferenția drepturile de acces la informații confidențiale între angajații companiei;
- posibilitatea de a stoca chei private pe suporturi de stocare externe (jetoane).
3. Semnătura electronică
Semnătura electronică (EP) este astăzi un analog complet al unei semnături scrise de mână și poate fi folosită de persoane juridice și fizice pentru a oferi forță juridică unui document digital. Utilizarea documentelor electronice în sistemele electronice de gestionare a documentelor crește semnificativ viteza de încheiere a tranzacțiilor comerciale, reduce volumul documentelor contabile pe hârtie și economisește timp angajaților. În plus, PE reduce cheltuielile întreprinderii pentru încheierea contractelor, întocmirea documentelor de plată, primirea de certificate diverse de la agențiile guvernamentale și multe altele.Instrumentele de protecție criptografică, de regulă, încorporează funcțiile de creare și verificare a semnăturilor electronice. Legislația rusă prevede următoarele cerințe prin legislația rusă:
Când creează ES, trebuie:
- arată persoanei care semnează documentul electronic conținutul informațiilor pe care le semnează;
- creați semnătura electronică numai după confirmarea de către persoana care semnează documentul electronic al operațiunii pentru a crea semnătură electronică;
- arată fără ambiguitate că semnătura electronică a fost creată.
- arata continutul unui document electronic semnat prin semnatura electronica;
- arată informații despre modificările documentului electronic semnat;
- indicați persoana care folosește cheia electronică pentru care sunt semnate documentele electronice.
4. Criptare prin e-mail
Pentru majoritatea companiilor, e-mailul este mijlocul principal de comunicare între angajați. Nu este un secret faptul că astăzi e-mailurile corporative trimit o cantitate uriașă de informații confidențiale: contracte, facturi, informații despre produsele companiei și politici de prețuri, indicatori financiari, etc. Dacă aceste informații sunt disponibile pentru concurenți, acest lucru poate provoca daune semnificative companiei până la încetarea activităților sale.Prin urmare, protecția poștei corporative este o componentă extrem de importantă în asigurarea securității informaționale a unei companii, a cărei implementare este posibilă și datorită utilizării instrumentelor de criptografie și criptare.
Majoritatea clienților de e-mail, cum ar fi Outlook, Thinderbird, The Bat! etc., vă permit să configurați schimbul de mesaje criptate bazate pe certificate de chei publice și private (certificate în formatele X.509 și respectiv PKCS # 12) create folosind instrumente de protecție criptografică.
De menționat este și posibilitatea ca instrumentele criptografice să funcționeze ca centre de certificare (CA). Scopul principal al centrului de certificare este emiterea de certificate de criptare și confirmarea autenticității cheilor de criptare. În conformitate cu legislația rusă, CA-urile sunt împărțite în clase (KS1, KS2, KS3, KV1, KV2, KA1), fiecare dintre acestea având o serie de cerințe. În acest caz, clasa mijloacelor de protecție a informațiilor criptografice utilizate în activele CA nu trebuie să fie mai mică decât clasa CA corespunzătoare.
Utilizarea CyberSafe Enterprise
Când am dezvoltat programul CyberSafe Enterprise, am încercat să luăm în considerare toate caracteristicile de mai sus, inclusiv în setul funcțional al programului. Prin urmare, acceptă funcțiile enumerate în clauza 2 a acestui articol, criptarea prin e-mail, crearea și verificarea semnăturilor digitale, precum și funcționează ca centru de certificare.Disponibilitate la CyberSafe server de chei publice permite companiilor să organizeze un schimb de chei convenabil între angajații lor, unde fiecare dintre ei își poate publica cheia publică, precum și să descarce cheile publice ale altor utilizatori.
Mai departe, vom analiza mai detaliat posibilitatea introducerii CyberSafe Enterprise în sistemele de protecție a datelor cu caracter personal. Această posibilitate există datorită suportului programului de cripto-furnizor CryptoPro CSP, certificat de Serviciul Federal de Securitate al Federației Ruse ca clase de protecție a informațiilor criptografice KS1, KS2 și KS3 (în funcție de versiune) și este specificat în clauza 5.1. „Instrucțiuni pentru asigurarea securității datelor personale cu criptocurrency înseamnă”:
„Încorporarea criptomonedelor din clasele KC1 și KC2 se realizează fără control de către FSB din Rusia (dacă acest control nu este prevăzut de termenii de referință pentru dezvoltarea (modernizarea) sistemului informațional)."
Astfel, încorporând CIP-ul CryptoPro CSP integrat, programul CyberSafe Enterprise poate fi utilizat în sistemul de protecție a datelor cu caracter personal din clasele KC1 și KC2.
După instalarea CryptoPro CSP pe computerul utilizatorului la crearea unui certificat în CyberSafe Enterprise, va fi posibil să se creeze un certificat CryptoPro:
După finalizarea creării certificatului CyberSafe, tastele CryptoPRO sunt de asemenea create, afișate pe linkul dvs. și sunt disponibile pentru utilizare:
În cazul în care este necesară exportarea cheilor CryptoPro către un fișier separat, acest lucru se poate realiza prin funcția standard de export a cheilor CyberSafe:
Dacă doriți să criptați fișierele pentru transfer către alți utilizatori (sau să le semnați cu semnătura dvs. digitală) și utilizați tastele CryptoPro pentru aceasta, din lista furnizorilor criptografici disponibili, trebuie să selectați CryptoPro:
În cazul în care doriți să utilizați tastele CryptoPro pentru criptarea fișierelor transparente, în fereastra de selectare a certificatelor ar trebui să specificați și CryptoPro ca furnizor criptografic:
În CyberSafe, este posibil să utilizați CryptoPRO și algoritmul GOST pentru criptarea discurilor / partițiilor logice și crearea de discuri criptate virtuale:
De asemenea, pe baza certificatelor CryptoPro, se poate configura criptarea prin e-mail. În KryptoPro CSP, algoritmii pentru generarea și verificarea semnăturii electronice sunt implementate în conformitate cu cerințele standardului GOST R 34.10-2012, algoritmul de criptare / decriptare a datelor este implementat în conformitate cu cerințele standardului GOST 28147-89.
Astăzi CyberSafe este singurul program care combină funcțiile de criptare a fișierelor, folderele de rețea, unitățile logice, e-mailul și capacitatea de a lucra ca centru de certificare cu suport pentru standardele de criptare GOST 28147-89 și GOST R 34.10-2012.
documente:
1. Legea federală „privind datele cu caracter personal” din 27 iulie 2006 nr. 152-FZ.2. Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării lor în sistemele de informații cu privire la datele cu caracter personal, aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007 nr. 781.
3. Recomandări metodologice pentru asigurarea securității datelor personale cu ajutorul criptomonedelor în timpul prelucrării lor în sisteme de informații cu date personale folosind instrumente de automatizare, aprobate de conducerea Centrului 8 al FSB din Rusia la 21 februarie 2008 nr. 149 / 54-144.
4. Regulamentul privind dezvoltarea, producția, vânzarea și operarea mijloacelor de criptare (criptografice) de protecție a informațiilor, aprobat prin Ordinul Serviciului Federal de Securitate al Federației Ruse din 9 februarie 2005 nr. 66.
5. Cerințe pentru mijloace de semnătură electronică și Cerințe pentru mijloacele unui centru de certificare, aprobate prin Ordinul Serviciului Federal de Securitate al Federației Ruse din 27 decembrie 2011 nr. 796.
Mijloacele de protecție criptografică a informațiilor din clasele de protecție KS2 și KS1 în conformitate cu cerințele FSB ale Rusiei diferă în ceea ce privește capacitățile reale ale surselor de atac și măsurile luate pentru combaterea atacurilor.
1. Capacitățile actuale ale surselor de atac
Mijloacele de protecție a informațiilor criptografice (CPSI) din clasa KS1 sunt utilizate pentru capacitățile reale ale surselor de atac, și anume, pentru a crea în mod independent metode de atac, pentru a pregăti și efectua atacuri doar în afara zonei controlate.
Clasa de protecție informațională criptografică KS2 este utilizată cu capacitățile actuale ale surselor de atac:
- efectuează în mod independent crearea metodelor de atac, pregătirea și desfășurarea atacurilor numai în afara zonei controlate;
- efectuează în mod independent crearea metodelor de atac, pregătirea și desfășurarea atacurilor în zona controlată, dar fără acces fizic la hardware-ul pe care este implementat sistemul de protecție a informațiilor criptografice și mediul de funcționare (SF).
Astfel, sistemul de protecție a informațiilor criptografice din clasa KS2 diferă de clasa KS1 în neutralizarea capacității reale a surselor de atac de a crea în mod independent metode de atac, de a pregăti și de a efectua atacuri în zona controlată, dar fără acces fizic la hardware-ul pe care sunt implementate sistemul de protecție a informațiilor criptografice și SF.
2. Variante de execuție a clasei de protecție a informațiilor criptografice de protecție KS3, KS2 și KS1
Opțiunea 1, acesta este software-ul de bază pentru protecția informațiilor criptografice care oferă clasa de protecție KS1.
Opțiunea 2, aceasta este o clasă de protecție a informațiilor criptografice KS2, constând dintr-o clasă de bază de protecție a informațiilor criptografice KS1 împreună cu un modul hardware-software certificat de încărcare de încredere (APMDZ).
Opțiunea 3 este o clasă de protecție a informațiilor criptografice KS3, constând dintr-o clasă de protecție a informațiilor criptografice KS2 împreună cu software specializat pentru crearea și controlul unui mediu software închis.
Astfel, software-ul de protecție a informațiilor criptografice din clasa KS2 diferă de KS1 doar prin adăugarea unui APMDZ certificat la clasa de protecție a informațiilor criptografice KS1. Diferențele dintre clasa CPS KS3 din clasa KS1 sunt utilizarea CIPF din clasa KS1 împreună cu APMDZ certificat și software specializat pentru crearea și monitorizarea unui mediu software închis. Și, de asemenea, diferența dintre clasa de protecție a informațiilor criptografice KS3 și clasa KS2 este utilizarea clasei de protecție a informațiilor criptografice KS2 împreună cu software specializat pentru crearea și monitorizarea unui mediu software închis.
3. Măsuri de contracarare
Măsurile de protecție a informațiilor criptografice din clasa KS2 nu iau măsuri pentru combaterea atacurilor, care sunt obligatorii pentru funcționare atunci când se utilizează protecția informațiilor criptografice din clasa KS1, și anume:
- lista persoanelor care au dreptul de acces la sediu a fost aprobată;
- lista persoanelor care au dreptul de acces la spațiile în care se află CIPF a fost aprobată
- regulile de acces la spațiile unde se află instalațiile de protecție a informațiilor criptografice, în timpul programului de lucru și nelucrătoare, precum și în situații de urgență;
- accesul în zona controlată și spațiile în care sunt localizate resursele sisteme de informații cu privire la datele cu caracter personal (ISPDn) și (sau) CPSI, este oferit în conformitate cu regimul de control al accesului;
- informațiile despre măsurile de securitate fizică ale instalațiilor în care se află ISPDn sunt puse la dispoziția unui cerc limitat de angajați;
- documentația privind certificatul de protecție a informațiilor criptografice este stocată de către responsabilul cu protecția informațiilor criptografice într-un seif de metal (dulap);
- spațiile în care se află documentația pentru sistemul de protecție a informațiilor criptografice, sistemul de protecție a informațiilor criptografice și componentele SF sunt echipate cu uși de intrare cu încuietori, pentru a se asigura că ușile localului sunt blocate și blocate numai pentru trecerea autorizată;
- reprezentanții serviciilor tehnice, de servicii și a altor servicii de asistență atunci când lucrează în spațiile (rafturi) în care se află instalațiile de protecție a informațiilor criptografice, iar angajații care nu sunt utilizatori ai sistemului de protecție a informațiilor criptografice, se află în aceste camere doar în prezența personalului de operare;
- angajații care sunt utilizatori ai ISPD, dar nu utilizatori ai CIPF, sunt informați despre regulile de lucru la ISPD și responsabilitatea pentru nerespectarea regulilor de asigurare a securității informațiilor;
- utilizatorii sistemului criptografic de protecție a informațiilor sunt informați despre regulile de lucru din ISPD, despre regulile de protecție a informațiilor criptografice și despre responsabilitatea pentru nerespectarea normelor de securitate a informațiilor;
- înregistrarea și contabilitatea acțiunilor utilizatorului cu date personale;
- monitorizarea integrității securității informațiilor.
CryptoPro a dezvoltat o gamă completă de produse software și hardware pentru a asigura integritatea, autoritatea și confidențialitatea informațiilor folosind semnătura electronică și criptare pentru utilizare în diverse medii (Windows, Unix, Java). O nouă linie de produse ale companiei este protecția criptografică hardware și software a informațiilor cu carduri inteligente și chei USB, ceea ce poate crește semnificativ securitatea sistemelor care utilizează dispozitive electronice.
Compania noastră este un dealer al companiei CryptoPro și are serviciile corespunzătoare.
Costurile produselor CryptoPro CSP:
|
Vă rugăm să rețineți că pentru a continua să lucrați cu GOST R 34.10-2001 în 2019 (oprirea ferestrelor de avertizare sau interdicții atunci când accesați cheile GOST R 34.10-2001 după 1 ianuarie 2019) folosind produsele CryptoPro, trebuie să se aplice următoarele recomandări:
- Recomandări pentru dezactivarea ferestrelor de avertizare;
- Recomandări privind amânarea datei de blocare a lucrărilor cu GOST R.34.10-2001 pentru utilizatorii CryptoPro CSP 4.0 care operează în modul de control al cheilor îmbunătățite *;
- Recomandări pentru transferul datei de blocare cu GOST R.34.10-2001 pentru utilizatorii CryptoPro JCP 2.0.
* Dezactivat implicit în aceste versiuni. Mai multe detalii în ZHTYA.00087-01 95 01. Condiții de utilizare.
Documentația operațională pentru CryptoPro CSP 3.9, 4.0 și CryptoPro JCP 2.0 indică în mod explicit interdicția formării unei semnături electronice conform GOST R 34.10-2001 începând cu 1 ianuarie 2019. Dar, în legătură cu amânarea tranziției la GOST R 34.10-2012 până la 1 ianuarie 2020, am trimis notificări adecvate către FSB din Rusia, corectând această dată. Informațiile privind aprobarea notificărilor vor fi publicate pe site-ul nostru web.
Încercarea de a utiliza GOST R 34.10-2001 (cu excepția verificării semnăturilor) pe toate versiunile certificate ale CryptoPro CSP 3.9, 4.0 și CryptoPro JCP 2.0 certificate până în prezent, va provoca o eroare sau un avertisment de la 1 ianuarie 2019 (în funcție de produs și modul de operare), în conformitate cu odată cu trecerea la GOST R 34.10-2012 adoptat inițial în 2014 până la 1 ianuarie 2019. Erorile / ferestrele de avertizare pot duce la inoperabilitatea sistemelor automate / automate atunci când folosesc tastele GOST R 34.10-2001, în legătură cu care vă rugăm să aplicați instrucțiunile în avans.
De asemenea, vă informăm că certificarea versiunilor actualizate ale CryptoPro CSP 4.0 R4 și CryptoPro JCP 2.0 R2 este în prezent finalizată, care va fi anunțată pe site-ul nostru. Vă recomandăm să actualizați la aceste versiuni după lansarea lor.
