Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра (с изменениями на 13 апреля 2022 года)

II. Требования к средствам УЦ

7. Средства УЦ должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения инженерно-технической и криптографической безопасности средств УЦ или с целью создания условий для этого (далее - атака).

8. В зависимости от способностей противостоять атакам средства УЦ подразделяются на классы.

_______________

Необходимый класс разрабатываемых (модернизируемых) средств УЦ определяется заказчиком (разработчиком) средств УЦ путем определения возможностей осуществлять создание способов атак, подготовку и проведение атак на основе пунктов 9-14 настоящих Требований и указывается в тактико-техническом задании или техническом задании на проведение опытно-конструкторской работы или составной части опытно-конструкторской работы по разработке (модернизации) средств УЦ (далее - Т3 на разработку (модернизацию) средств УЦ).

9. Средства УЦ класса КС1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

9.1. Подготовка и проведение атак извне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее - контролируемая зона).

9.2. Подготовка и проведение атак без использования доступа к функциональным возможностям программно-аппаратных средств взаимодействия с УЦ.

9.3. Самостоятельное осуществление создания способов атак, подготовки и проведения атак на следующие объекты:

- документацию на средства УЦ;

- защищаемые электронные документы;

- ключевую, аутентифицирующую и парольную информацию;

- средства УЦ, их программные и аппаратные компоненты;

- данные, передаваемые по каналам связи;

- помещения, в которых находятся аппаратные средства (далее - АС), на которых реализованы средства УЦ, а также другие защищаемые ресурсы информационной системы.

9.4. Внесение на этапах разработки, производства, хранения, транспортировки и ввода в эксплуатацию средств УЦ:

- негативных функциональных возможностей в средства УЦ, в том числе с использованием вредоносных программ;

- несанкционированных изменений в документацию на средства УЦ.

9.5. Получение следующей информации:

- общих сведений об информационной системе, в которой используются средства УЦ (назначение, состав, объекты, в которых размещены ресурсы информационной системы);

- сведений об информационных технологиях, базах данных, АС, программном обеспечении (далее - ПО), используемых в информационной системе совместно со средствами УЦ;

- сведений о физических мерах защиты объектов, в которых размещены средства УЦ;

- сведений о мерах по обеспечению защиты контролируемой зоны объектов информационной системы, в которой используются средства УЦ;

- сведений о мерах по разграничению доступа в помещения, в которых размещены средства УЦ;

- содержания находящейся в свободном доступе технической документации на средства УЦ;

- сведений о защищаемой информации, используемой в процессе эксплуатации средств УЦ (виды защищаемой информации: служебная информация, парольная и аутентифицирующая информация, конфигурационная информация, управляющая информация, информация в электронных журналах регистрации; общие сведения о содержании каждого вида защищаемой информации; характеристики безопасности для каждого вида защищаемой информации);

- всех возможных данных, передаваемых в открытом виде по каналам связи, не защищенным от несанкционированного доступа (далее - НСД) к информации организационно-техническими мерами;

- сведений о линиях связи, по которым передается защищаемая с использованием средств УЦ информация;

- сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушениях правил эксплуатации средств УЦ;