Р 1323565.1.012-2017

     

РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ

Информационная технология

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации

Information technology. Cryptographic data security. Principles of creation and modernization for cryptographic modules

ОКС 35.040

Дата введения 2018-05-01

Предисловие

1 РАЗРАБОТАНЫ Центром защиты информации и специальной связи Федеральной службы безопасности Российской Федерации (ФСБ России)

2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 26 "Криптографическая защита информации"

3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 декабря 2017 г. N 2068-ст

4 ВВЕДЕНЫ ВПЕРВЫЕ

Правила применения настоящих рекомендаций установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Существующий в настоящее время в Российской Федерации порядок разработки шифровальных (криптографических) средств защиты информации, не содержащей сведений, составляющих государственную тайну (далее - СКЗИ), определяется Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ - 2005) [1].

В соответствии с Положением ПКЗ - 2005 осуществляется взаимодействие между заказчиком СКЗИ, разработчиком СКЗИ, специализированной организацией, проводящей тематические исследования СКЗИ, и ФСБ России, осуществляющей экспертизу результатов тематических исследований, по результатам которой определяется возможность допуска СКЗИ к эксплуатации.

Настоящий документ носит методический характер и содержит в себе принципы, на которых должна основываться разработка и/или модернизация действующих СКЗИ.

Область применения документа - взаимодействие заказчиков и разработчиков СКЗИ при их общении:

- между собой;

- со специализированными организациями, проводящими тематические исследования;

- с ФСБ России, осуществляющей экспертизу результатов тематических исследований.

Заказчикам СКЗИ настоящий документ позволяет сориентироваться и ознакомиться с проблемами, возникающими при разработке и эксплуатации СКЗИ. Изложенные в настоящем документе принципы позволяют заказчику СКЗИ определиться с положениями, которые должны включаться в техническое задание на разработку и/или модернизацию СКЗИ, а также в соответствии с принятыми в Российской Федерации правилами классификации средств защиты определить класс разрабатываемого СКЗИ и обеспечить необходимый уровень безопасности защищаемой информации.

Разработчикам СКЗИ настоящий документ позволяет обосновать при общении с заказчиком перечень необходимых для разработки и/или модернизации СКЗИ работ, а также организовать взаимодействие со специализированными организациями, получая от них необходимую для разработки СКЗИ информацию.

     1 Область применения

Настоящие рекомендации распространяются на шифровальные (криптографические) средства защиты информации (СКЗИ), предназначенные для использования на территории Российской Федерации.

Настоящие рекомендации определяют принципы разработки и модернизации шифровальных (криптографических) средств защиты информации, не содержащей сведений, составляющих государственную тайну.

Принципы обеспечения безопасности защищаемой информации до ее обработки в СКЗИ в настоящем документе не рассматриваются.

Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации, перечисленных в положении [1] (пункт 4), могут регулироваться отдельными рекомендациями по стандартизации.

     2 Нормативные ссылки

В настоящих рекомендациях использованы нормативные ссылки на следующие стандарты:

ГОСТ 2.114 Единая система конструкторской документации. Технические условия

ГОСТ 19.202 Единая система программной документации. Спецификация. Требования к содержанию и оформлению

ГОСТ 19.401 Единая система программной документации. Текст программы. Требования к содержанию и оформлению

ГОСТ 19.402 Единая система программной документации. Описание программы

ГОСТ 19.501 Единая система программной документации. Формуляр. Требования к содержанию и оформлению

ГОСТ 19.502 Единая система программной документации. Описание применения. Требования к содержанию и оформлению

ГОСТ Р 51275-2006 Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 56136-2014 Управление жизненным циклом продукции военного назначения. Термины и определения

Примечание - При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

     3 Термины, определения и сокращения

3.1 В настоящих рекомендациях применены следующие термины с соответствующими определениями:

3.1.1 аппаратное средство; АС: Физическое устройство, реализующее одну или несколько заданных функций. В рамках настоящего документа аппаратное средство подразделяется на АС СФ и АС СКЗИ.

3.1.2 атака: Целенаправленные действия с использованием аппаратных средств и/или программного обеспечения с целью нарушения безопасности защищаемой информации или с целью создания условий для этого.

3.1.3 аутентификация субъекта доступа: Совокупность действий, заключающихся в проверке и подтверждении с использованием криптографических механизмов информации, позволяющей однозначно отличить аутентифицируемый (проверяемый) субъект доступа от других субъектов доступа.

3.1.4 биологический датчик случайных чисел; БДСЧ: Датчик, вырабатывающий случайную последовательность путем реализации случайных испытаний, основанных на случайном характере многократного взаимодействия человека с СКЗИ и средой функционирования СКЗИ.

3.1.5 документация: Совокупность взаимосвязанных документов, объединенных общей целевой направленностью. В рамках настоящего документа документация подразделяется на документацию ИС, СФ, ПО СКЗИ и АС СКЗИ, а также на документацию СКЗИ, входящую в комплект поставки СКЗИ.

3.1.6 жизненный цикл СКЗИ: Совокупность явлений и процессов, повторяющихся с периодичностью, определяемой временем существования типовой конструкции (образца) СКЗИ от ее замысла до утилизации или конкретного экземпляра СКЗИ от момента его производства до утилизации (см. ГОСТ Р 56136-2014, статья 3.16).

3.1.7

3.1.8 защищенная информация: Защищаемая информация, преобразованная СКЗИ при помощи одного или нескольких криптографических механизмов.

3.1.9 имитация истинного сообщения (имитация): Ложное сообщение, воспринимаемое пользователем как истинное сообщение.

3.1.10 имитовставка: Информация в электронной форме, которая присоединена к другой информации в электронной форме (обрабатываемой информации) или иным образом связана с такой информацией и которая используется для защиты обрабатываемой информации с использованием криптографических механизмов от навязывания ложной информации.

3.1.11 имитозащита: Защита обрабатываемой информации с использованием криптографических механизмов от навязывания ложной информации.

3.1.12 инженерно-криптографический механизм: Алгоритмическая или техническая мера, реализуемая в СКЗИ для защиты информации от атак, возникающих вследствие неисправностей или сбоев АС СКЗИ и АС СФ.

3.1.13 инициализирующая последовательность (исходная ключевая информация): Совокупность данных, используемая ПДСЧ для выработки псевдослучайной последовательности.

3.1.14 информативный сигнал: Сигнал, по значениям и/или параметрам которого может быть определена защищаемая или криптографически опасная информация (см. рекомендации [2], статья 3.2.6).

3.1.15 информационная система; ИС: Система, предназначенная для представления, хранения, обработки, поиска, распространения и передачи по каналам связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. В случае использования СКЗИ для защиты обрабатываемой в ИС информации информационная система представляет собой одну или совокупность нескольких сред функционирования СКЗИ.

3.1.16 канал связи: Совокупность технических средств, обеспечивающих передачу информации от источника к получателю. В совокупность технических средств могут входить, в частности, передатчик, линия связи, носитель информации, приемник, аппаратные и/или программные средства.

Примечание - Примерами каналов связи могут служить: проводные и беспроводные каналы, радиоканалы, а также каналы, реализуемые с использованием отчуждаемых (съемных) носителей информации.

3.1.17 ключ аутентификации: Криптографический ключ, используемый для аутентификации субъекта доступа.

Примечание - В настоящем документе под ключами аутентификации подразумеваются пары - секретный и открытый ключ, используемые в асимметричных криптографических схемах и протоколах. В качестве ключей аутентификации могут выступать ключ электронной подписи и ключ проверки электронной подписи, открытый и секретный ключи участников протокола выработки общего ключа или асимметричной (гибридной) схемы шифрования. Также к ключам аутентификации относятся пароли.

3.1.18

3.1.19 ключ электронной подписи: Криптографический ключ, представляющий собой уникальную последовательность символов, предназначенную для создания электронной подписи (Федеральный закон [3], статья 2, пункт 5).

3.1.20 ключевая информация: Специальным образом организованная совокупность данных и/или криптографических ключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока времени.

3.1.21 ключевой документ: Ключевой носитель информации, содержащий в себе ключевую информацию и/или инициализирующую последовательность, а также, при необходимости, контрольную, служебную и технологическую информацию.

3.1.22 ключевой носитель: Физический носитель определенной структуры, предназначенный для размещения и хранения на нем ключевой информации и/или инициализирующей последовательности. Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т.п.).

3.1.23 конструкторская документация: Документация на СКЗИ, АС, СФ и ИС, содержащая детальную информацию о принципах функционирования и процессе разработки СКЗИ, АС, СФ и ИС.

3.1.24 контролируемая зона: Пространство, в пределах которого располагаются штатные средства и осуществляется контроль за пребыванием и действиями лиц и/или транспортных средств.

Примечание - Границей контролируемой зоны может быть, например, периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

3.1.25 криптографическая функция: Параметрическая функция, реализуемая СКЗИ и предназначенная для обеспечения безопасности защищаемой информации. Одним из параметров криптографической функции может являться криптографический ключ.

Примечание - В настоящем документе под криптографическими функциями, которые могут быть реализованы СКЗИ, следует понимать:

- функцию выработки псевдослучайных последовательностей;

- функцию зашифрования/расшифрования данных;

- функцию имитозащиты (функцию контроля целостности данных);

- функцию создания электронной подписи;

- функцию проверки электронной подписи;

- функцию создания ключа электронной подписи и ключа проверки электронной подписи;

- функцию изготовления ключевых документов;