Как создать СКЗИ

Где можно узнать перечень требований, которым должна соответствовать моя разработка, что бы пройти сертификацию?

Эти требования секретны, и выдаются ФСБ на условиях неразглашения. Ввиду этого в криптографическом сообществе отношение к сертифицированым СКЗИ резко отрицательное.
Предполагаю, что в списке требований будет использование ихних алгоритмов и внедрение ихних бекдоров.

Эти требования секретны, и выдаются ФСБ на условиях неразглашения.

Ну чё за бред? Есть ПКЗ-2005, есть ГОСТы и регламенты ФСТЭК. Пишете полное ТЗ и техдокументацию, реализуете в соответствии с ними код, и всё будет в порядке. Alex_B, главное требование я Вам уже называл: лицензия ФСБ на разработку СКЗИ. Как частное лицо Вы её просто не получите.

SATtva, спасибо еще раз (уже в который).

Где можно получить требования к ТЗ и примеры?
Насколько реально получить лицензию ФСБ? (помимо денежного барьера, о котором Вы меня уже предупреждали)?

Где можно получить требования к ТЗ и примеры?

ТЗ Вы пишите сами. Читайте /Библиотека/Право/ПКЗ2005.

Насколько реально получить лицензию ФСБ?

Для этого понадобится коллектив сотрудников с соответствующим образованием и стажем — это одно из требований. Где-то у меня валялся полный перечень условий, попробую найти.

Вот Вам для затравки то, что успел найти. Это, правда, старые, ещё за 2002 год, но в сущности там мало что поменялось (можно сделать sed s/ФАПСИ/ФСБ/ и получить практически современный вариант. :-)

Типовые требования
к предприятиям на право осуществления деятельности в области защиты информации, предъявляемые ФАПСИ

К заявителям на право получения лицензий предъявляются нормативно-правовые требования, а также требования по:

уровню квалификации и требуемой номенклатуре профессий персонала;
технической и технологической оснащенности и производственным помещениям;
наличию режимного секретного органа и обеспечению охраны материальных ценностей и секретов заказчика (при необходимости, в зависимости от лицензируемого вида деятельности).
1. Нормативно-правовые требования

1.1. Предприятия, получающие лицензию ФАПСИ на разработку и производство средств криптографической защиты информации (СКЗИ), в обязательном порядке (если это особо не оговорено разрешительной частью лицензии) реализуют криптографические алгоритмы, являющиеся государственными стандартами либо утвержденные постановлением Правительства Российской Федерации, либо рекомендуемые ФАПСИ к реализации для шифртехники соответствующего типа и класса.

1.2. Все изделия, предназначенные для государственных структур или для обработки информации, содержащей сведения, составляющие государственную тайну, разрабатываемые, производимые и реализуемые предприятиями, имеющими лицензию ФАПСИ на соответствующий вид деятельности, должны проходить испытания по требованиям безопасности, осуществляемые только сертификационными испытательными лабораториями (центрами), аккредитуемыми для этих целей ФАПСИ. Не допускается производство и реализация изделий, не имеющих сертификата, подтверждающего их соответствие требованиям безопасности.

1.3. Технические решения, используемые в разрабатываемых и производимых СКЗИ, должны предусматривать реализацию протоколов разных уровней, позволяющих включить данное СКЗИ, а также сети и системы, построенные на его базе, в общегосударственные сети и системы.

1.4. Предприятия, получающие лицензию ФАПСИ, представляют в ФАПСИ ежегодный отчет о своей деятельности, отражающий ход разработки, производства и реализацию изделий, их технические и технико-экономические характеристики, количество и качество осуществленных мероприятий и предоставленных услуг.

1.5. Предприятия обязаны допускать сотрудников ФАПСИ, имеющих соответствующие полномочия, на свою территорию и снабжать этих сотрудников всей необходимой, по представлению ФАПСИ, информацией.

1.6. Предприятия, нарушающие действующее законодательство Российской Федерации, нормативные акты, регламентирующие порядок лицензирования деятельности и порядок сертификации продукции, продукция которых не соответствует требованиям безопасности, не соблюдающие режимные требования и другие положения настоящих требований, лишаются выданных им лицензий.

1.7. Лицензия на деятельность по сертификации СКЗИ по требованиям безопасности может быть выдана только предприятиям, являющимся специализированными организациями. Требования к таким предприятиям определяются "Положением о сертификационном испытательном центре СКЗИ".

1.8. Для выполнения работ по видам деятельности, на которые выдается лицензия, предприятия с согласия ФАПСИ могут привлекать на правах субподряда другие предприятия, как правило, также имеющие лицензию на данный вид деятельности.

1.9. Лицензиаты несут юридическую и финансовую ответственность за полноту и качество выполнения работ и обеспечение сохранности государственных и коммерческих секретов, доверенных им в ходе практической деятельности.

2. Требования по технической и технологической оснащенности и производственным помещениям

2.1. Каждый определенный в заявке вид работ должен быть обеспечен соответствующими производственными мощностями и площадями, техническими средствами измерений и контроля, технологической оснасткой и инструментом.

Предприятие должно располагать современными информационно-вычислительными комплексами, оснащенными развитыми аппаратными и программными средствами.

2.2. Обеспечение техническими средствами должно по объему и качеству соответствовать действующим на момент заявления нормативно-методическим материалам. Каждое аппаратное и программное средство должно быть в полном объеме снабжено соответствующей документацией.

2.3. Каждое техническое средство должно быть зарегистрировано и аттестовано на возможность его эксплуатации в заявленной области, а каждое специализированное помещение должно иметь заключение на возможность проведения в нем определенных работ (аттестовано) с учетом режимных требований и возможных аппаратных и программных закладок.

Специальная техника, предназначенная для выявления электронных устройств перехвата информации, должна иметь аттестат ФАПСИ.

2.4. Все технические средства должны быть обеспечены возможностью ремонта. Для аппаратуры, требующей периодического технического обслуживания, должны иметься соответствующие инструкции и графики технического обслуживания. Все оборудование и контрольно-измерительная аппаратура должны содержаться в условиях, обеспечивающих их сохранность и защиту от повреждений.

2.5. Предприятия, занимающиеся разработкой, производством и исследованиями средств шифрования, должны располагать отладочными стендами, позволяющими осуществлять моделирование работы разрабатываемой, производимой или исследуемой аппаратуры, съем необходимой информации с различных точек аппаратуры в произвольный момент времени ее работы.

2.6. Для разработчиков и изготовителей аппаратуры необходимо наличие оснащенного опытного производства либо партнера, на условиях аренды предоставляющего мощности своего опытного производства.

2.7. Должны быть определены партнеры, осуществляющие поставку элементной базы и отдельных комплектующих изделий для предприятия.

2.8. Предприятие должно располагать своими возможностями для проведения ремонтно-восстановительных работ. При необходимости возможно использование мощностей других организаций на условиях аренды при соблюдении соответствующих режимных требований.

2.9. Помещения предприятия по своим производственным площадям, оборудованию их специальными средствами и обеспечиваемым в них условиям (температура, влажность, чистота воздуха, освещенность, звуко- и виброизоляция, защита от излучений магнитного, электрического и других полей, снабжение электроэнергией, воздухом, теплом и т.д.) должны соответствовать требованиям применяемых методик по заявляемому направлению деятельности, санитарным нормам и правилам, требованиям безопасности труда и охраны окружающей среды.

2.10. Должен контролироваться и регламентироваться доступ в различные помещения для проведения работ.

3. Требования по уровню квалификации специалистов

3.1. Предприятие должно располагать штатом сотрудников, количественный состав, профессиональная подготовка, опыт работы и квалификация которых должны быть на уровне, позволяющем решать весь комплекс задач по заявляемым видам деятельности.

Расстановка кадров должна быть закреплена в соответствующей организационной структуре предприятия и требуемой номенклатуре профессий, утвержденных его руководителем. Уровень квалификации каждого специалиста должен быть подтвержден документально.

3.2. Для каждого структурного подразделения и каждого специалиста должны быть определены функциональные обязанности, изложенные в документальной форме, устанавливающие круг решаемых задач, возлагаемые функции, права, обязанности, ответственность и требования по режиму секретности для данной категории подразделений и специалистов. Для специалистов должны быть изложены конкретные требования по образованию, техническим знаниям и опыту работы.

Каждый сотрудник обязан знать и выполнять указанные должностные требования.

3.3. При проведении специальной экспертизы заявителя экспертная комиссия проводит выборочную аттестацию сотрудников по оценке их уровня квалификации.

3.4. При отсутствии на предприятии требуемых специалистов должны быть представлены документы, подтверждающие возможности привлечения сотрудников других предприятий и организаций для выполнения отдельных работ.

3.5. Специалисты предприятия должны иметь опыт практической работы в заявляемой области, периодически повышать свою квалификацию, осваивать смежные профессии по профилю своей деятельности.

3.6. На предприятии должна быть предусмотрена и иметься возможность обеспечения повышения уровня квалификации персонала.

3.7. Руководитель предприятия или лица, уполномоченные на руководство заявленными видами работ, должны иметь опыт работы в сфере защиты информации не менее 5 лет, руководители среднего звена – не менее 2 лет.

3.8. Специалисты предприятий должны знать:

основные руководящие документы по разработке, производству, эксплуатации и реализации средств криптографической защиты данных, по обеспечению защиты информации и оценке ее качества, по выявлению технических средств скрытого съема информации как в государственных организациях и учреждениях, так и негосударственных структурах;
основы криптографии и инженерной криптографии;
устройство, технические характеристики, принципы работы различных типов шифровальных средств и работающих с ними совместно технических средств (по направлениям работы); основные системотехнические и схемотехнические решения, архитектурно-логическое и конструктивное построение средств и систем криптографической защиты информации;
методы проектирования и разработки, особенности производства шифровальных средств;
возможные каналы утечки секретной информации при ее обработке, передаче и хранении с использованием СКЗИ. Методы исследования шифровальной аппаратуры и работающего совместно с ней оборудования;
принципы работы и технические характеристики необходимой измерительной, контрольной и испытательной аппаратуры, средств и комплексов вычислительной техники, используемых при разработке, производстве, исследованиях и испытаниях СКЗИ;
основные методы и средства контроля и специальной защиты СКЗИ. Методы и методики специальных исследований;
возможные каналы утечки информации из помещений и технических средств, причины их возникновения, необходимое аппаратурное оснащение для защиты информации и контроля ее защищенности;
перспективы и направления развития средств криптографической защиты информации и технических средств информатики.
3.9. Специалисты предприятий должны уметь:

пользоваться на практике всем имеющимся и требуемым методическим инструментарием, включая и использование различных информационно-вычислительных комплексов;
проводить полный цикл разработки, производства или исследований СКЗИ по требованиям безопасности;
планировать проводимые работы, рассчитывать потребные для этого ресурсы, временные и материальные затраты;
планировать и организовывать мероприятия по обеспечению информационной безопасности объектов и защите технических средств от утечки;
определять состав и структуру защиты информации, ее организационное и аппаратное обеспечение, выявлять возможные каналы утечки информации, определять характеристики и параметры контролируемых помещений и технических средств и проводить их анализ;
самостоятельно готовить отчетные материалы по результатам проведенной работы;
взаимодействовать со специалистами других предприятий и организаций, государственных органов по лицензированию.
4. Требования по режиму секретности и охране

4.1. При использовании в процессе осуществления лицензируемой деятельности информации, содержащей сведения, составляющие государственную тайну, предприятие должно иметь лицензию (разрешение) на допуск к работам со сведениями, составляющими государственную тайну.

4.2. В целях обеспечения сохранности материальных ценностей заказчика и его коммерческих и других секретов, а также обеспечения заявителя секретной нормативно-методической документацией на предприятии должен быть предусмотрен режимно-секретный орган (орган обеспечения безопасности информации) и обеспечена надежная охрана. Допускается отсутствие у заявителя собственных указанных служб при условии обеспечения его услугами таких служб предприятием, у которого арендуются помещения.

4.3. Размещение, охрана и специальное оборудование помещений, в которых установлены технические средства разработки, производства и хранятся документы, должны обеспечивать их сохранность и невозможность не контролированного проникновения в эти помещения, прослушивания ведущихся там переговоров и просмотра помещений посторонними лицами.

Такие помещения должны находиться в контролируемой зоне, иметь прочные входные двери, на которые устанавливаются автоматические замки. Двери и окна оборудуются охранной сигнализацией. Окна на первых и последних этажах зданий, а также рядом с балконами, пожарными лестницами оборудуются внутренними металлическими решетками.

4.4. В отдельные помещения должен быть реализован доступ с использованием автоматизированных систем контроля и разграничения полномочий.

4.5. Для хранения секретных документов должны устанавливаться надежные металлические шкафы с двумя комплектами ключей.

4.6. По окончании рабочего дня помещения, в которых проводятся работы с секретными материалами, опечатываются, а те из них, которые отнесены к наиболее важным участкам, ставятся на сигнализацию, извещатели которой должны выходить на пост ведомственной или вневедомственной охраны.

4.7. Секретное делопроизводство должно быть организовано и осуществляться в соответствии с нормативными документами.

в криптографическом сообществе отношение к сертифицированым СКЗИ резко отрицательное.

Напомнило:

– что, нет открытых gsm-модулей?
– Нету и не будет. Потому что законы сертификации устройств с радио в большинстве стран не совместимы с открытостью чипа

По теме: наверное, если кому-то так хочется разрабатывать сертифицированные системы защиты то проще попытаться устроить ся на работу в ФСБ. В любом случае, если речь идёт об официальной ИБ, там обязательно фсб будет рядом.

На выходе должно получиться сертифицированное средство защиты информации.

Извиняюсь за нескромный вопрос: а зачем вам это?

Видимо, человек хочет иметь возможность работать с госпредприятиями (тогда шире рынок сбыта продукции будет).

главное требование я Вам уже называл: лицензия ФСБ на разработку СКЗ

Вопрос наконец-то решен. (Три раза постучать по дереву)

Еще порция вопросов:
1. Какие алгоритмы хеширования можно использовать?
2. Какие алгоритмы вычисления ЭЦП можно использовать?
3. Какие билиотеки, реализующие криптографические преобразования, можно использовать?

---

4. Предъявляются ли какие-нибудь требования к СУБД (MS SQL SERVER подойдет?)

1. ГОСТ Р 34.11-94
2. ГОСТ Р 34.10-2001
3. С сертификатом ФСБ. Например, у КриптоПро есть сертифицированная реализация. Есть и другие.
4. Сертификат ФСТЭК у MSSQL есть?

4. Сертификат ФСТЭК у MSSQL есть?

Оказывает да, а еще у Windows XP Professional и Windows Server 2003.
http://www.cybersecurity.ru/data/20672.html

Требуется описать алгоритм работы, одно из требований — в описании обязательно должны участвовать материальные объекты.

Т.е. Вот такое мое описание было забраковано:

8. Служба производит хеширование полученной на шагах 3 — 5 информации.

Как же это должно правильно звучать? Типа такого ?:

8. Программная реализация службы, используя центральный процессор(ы) производит вычисление криптографического примитива (или нескольких примитивов) по одному или нескольким алгоритмам хеширования.

Или например как добавить материальные объекты в следующую фразу?
12.

Служба добавляет к обязательным атрибутам случайное K, полученное на шаге 11.

Подскажите, пожалуйста, примеры грамотных фраз.

А если вместо "служба" писать "сервер" ? ;)

А если вместо "служба" писать "сервер" ? ;)

Хороший совет, спасибо.