Поделиться
ФСБ объяснила, какой в России должна быть правильная электронная подпись
Минцифры и ФСБ подготовили техническую основу для начала использования в России служб меток доверенного времени, благодаря которым каждая электронная подпись отныне получит собственный юридически значимый «цифровой временной штамп».Цифровые «штампы времени»
Федеральная служба безопасности (ФСБ) России представила список новых и уточняющих требований, которые предъявляются к средствам электронной подписи и оборудованию удостоверяющих центров (УЦ). Проект соответствующего приказа выложен на портале правовых актов regulation.gov.ru.
Документ, в частности, дает определение службы «меток доверенного времени», которые также называют «цифровым штампом времени». Использование меток доверенного времени в электронной подписи определено законом №476-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи» от 27 декабря 2019 г. и вводится в России с 1 января 2021 г.
Структура меток и функции служб доверенного времени определены проектом указа Минцифры «Об утверждении порядка создания метки доверенного времени», который уже прошел публичное обсуждение и в настоящее находится на стадии формирования окончательного варианта текста правового акта.
Список изменений, предложенных проектом приказа ФСБ, также включает расширенные требования по идентификации, аутентификации и защите данных, поступающих в удостоверяющие центры, а также требования к аппаратным средствам и их целостности. В рамках приказа определяются меры обеспечения безопасности удостоверяющих центров, в том числе, криптографической защиты информации и защиты от компьютерных вирусов и атак.
В случае утверждения приказа изменения будут внесены непосредственно в приложения № 1 и 2 к приказу ФСБ России № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра» от 27 декабря 2011 г., отмечается в пояснительной записке к документу.
Как работает метка доверенного времени
Обязательные требования к службе меток доверенного времени вводятся в России с 1 января 2021 г. в соответствии с требованиями ч 1.1 ст. 3 закона № 476-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи» от 27 декабря 2019 г. и ст. 1 закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Представленный в сентябре 2020 г. проект приказа «Об утверждении порядка создания метки доверенного времени», определяющий формат и структуру меток, был разработан Минцифры России в соответствии с п. 19 ст. закона №63-ФЗ «Об электронной подписи» от 6 апреля 2011 г.
Проект приказа ФСБ определяет метки доверенного времени как достоверную информацию в электронной форме о дате и времени подписания электронного документа электронной подписью. Метка создается и проверяется доверенной третьей стороной, УЦ или оператором инфосистемы в момент подписания электронного документа электронной подписью.
Согласно документу Минцифры, службы меток будут использовать точные значения московского времени и календарной даты, полученные от эталонных сигналов времени. Формат запроса метки и ответа службы меток доверенного времени определяется в соответствии с международными и национальными стандартами.
Службы меток доверенного времени могут получать информацию о дате и времени от эталонных источников сигналов времени или от службы меток доверенного времени «при условии обеспечения целостности передаваемой информации» с использованием криптозащиты информации с сертификатом ФСБ России.
Техническая защита меток доверенного времени
После принятия приказа ФСБ вхождение службы меток доверенного времени в состав средств каждого удостоверяющего центра предполагается на обязательной основе. Для защиты служб формирования меток доверенного времени от взлома через каналы связи документ предписывает использование межсетевых экранов уровня веб-сервера (тип «Г»), которые сертифицированы ФСБ России не менее чем по третьему классу защищенности.
Новые дополнения также вводят обязательную процедуру анализа исходного кода BIOS для всех систем формирования меток доверенного времени. В частности, такие средства должны быть проанализированы на отсутствие известных уязвимостей и «возможностей деструктивного воздействия, осуществляемого путем использования программных уязвимостей со стороны каналов связи», говорится в документе.
Новые нормы определяют для УЦ обязательное использование серверной антивирусной защиты, сертифицированной ФСБ по классу Б2. Для защиты от компьютерных атак с целью доступа к данным и службе формирования меток доверенного времени «в целях добывания, уничтожения, искажения и блокирования доступа к защищаемой информации» УЦ обязаны применять средства, сертифицированные ФСБ как «системы обнаружения компьютерных атак» по классу Б.
Локальный доступ и контроль целостности ПО для систем формирования меток доверенного времени должен обеспечиваться аппаратно-программными модулями доверенной загрузки (платами расширения) с сертификатом ФСБ по классу 2Б.
Для механизмов формирования меток доверенного времени документом определяется возможность использования средств криптозащиты не ниже класса КС3, с защищенным хранением криптографических ключей в неэкспортируемом виде.
Дополнительная защита УЦ
В дополнение к комплексу защитных мер для служб меток доверенного времени, проект приказа ФСБ также вводит более жесткие требования для инфраструктуры удостоверяющих центров, в том числе, для работы со сведениями, имеющими отношение к государственной тайне. В частности, для УЦ класса КВ2 обязателен контроль входящей информации на предмет выявления данных, активирующих недекларированные возможности АС, а для управления ключами электронной подписью должны применяться отдельные средства криптографической защиты информации (СКЗИ) на основе выделенных аппаратных платформ.
Для УЦ также в обязательном порядке вводится механизм защиты от навязывания ложных сообщений и защита данных при передаче между физически разделенными компонентами с применением криптозащиты.
Для УЦ класса КА1 обязательным требованием отныне являются проверки техники иностранного производства на предмет «выявления устройств, предназначенных для негласного получения информации», поиск недекларированных возможностей оборудования, которые могли быть внесены на этапе разработки и производства, а также полная верификация аппаратной инфраструктуры УЦ для «исключения недекларированных возможностей».
Короткая ссылка
