— Гость (09/06/2008 19:49)   

Где можно узнать перечень требований, которым должна соответствовать моя разработка, что бы пройти сертификацию?

Эти требования секретны, и выдаются ФСБ на условиях неразглашения. Ввиду этого в криптографическом сообществе отношение к сертифицированым СКЗИ резко отрицательное.
Предполагаю, что в списке требований будет использование ихних алгоритмов и внедрение ихних бекдоров.

— SATtva (09/06/2008 20:28)   

Эти требования секретны, и выдаются ФСБ на условиях неразглашения.

Ну чё за бред? Есть ПКЗ-2005, есть ГОСТы и регламенты ФСТЭК. Пишете полное ТЗ и техдокументацию, реализуете в соответствии с ними код, и всё будет в порядке. Alex_B, главное требование я Вам уже называл: лицензия ФСБ на разработку СКЗИ. Как частное лицо Вы её просто не получите.

— Alex_B (09/06/2008 22:41)   
SATtva, спасибо еще раз (уже в который).

Где можно получить требования к ТЗ и примеры?
Насколько реально получить лицензию ФСБ? (помимо денежного барьера, о котором Вы меня уже предупреждали)?

— SATtva (10/06/2008 11:16)   

Где можно получить требования к ТЗ и примеры?

ТЗ Вы пишите сами. Читайте /Библиотека/Право/ПКЗ2005^[link1].

Насколько реально получить лицензию ФСБ?

Для этого понадобится коллектив сотрудников с соответствующим образованием и стажем — это одно из требований. Где-то у меня валялся полный перечень условий, попробую найти.

— SATtva (10/06/2008 11:35)   
Вот Вам для затравки то, что успел найти. Это, правда, старые, ещё за 2002 год, но в сущности там мало что поменялось (можно сделать sed s/ФАПСИ/ФСБ/ и получить практически современный вариант. :-)

Типовые требования
к предприятиям на право осуществления деятельности в области защиты информации, предъявляемые ФАПСИ

К заявителям на право получения лицензий предъявляются нормативно-правовые требования, а также требования по:

уровню квалификации и требуемой номенклатуре профессий персонала;
технической и технологической оснащенности и производственным помещениям;
наличию режимного секретного органа и обеспечению охраны материальных ценностей и секретов заказчика (при необходимости, в зависимости от лицензируемого вида деятельности).
1. Нормативно-правовые требования

1.1. Предприятия, получающие лицензию ФАПСИ на разработку и производство средств криптографической защиты информации (СКЗИ), в обязательном порядке (если это особо не оговорено разрешительной частью лицензии) реализуют криптографические алгоритмы, являющиеся государственными стандартами либо утвержденные постановлением Правительства Российской Федерации, либо рекомендуемые ФАПСИ к реализации для шифртехники соответствующего типа и класса.

1.2. Все изделия, предназначенные для государственных структур или для обработки информации, содержащей сведения, составляющие государственную тайну, разрабатываемые, производимые и реализуемые предприятиями, имеющими лицензию ФАПСИ на соответствующий вид деятельности, должны проходить испытания по требованиям безопасности, осуществляемые только сертификационными испытательными лабораториями (центрами), аккредитуемыми для этих целей ФАПСИ. Не допускается производство и реализация изделий, не имеющих сертификата, подтверждающего их соответствие требованиям безопасности.

1.3. Технические решения, используемые в разрабатываемых и производимых СКЗИ, должны предусматривать реализацию протоколов разных уровней, позволяющих включить данное СКЗИ, а также сети и системы, построенные на его базе, в общегосударственные сети и системы.

1.4. Предприятия, получающие лицензию ФАПСИ, представляют в ФАПСИ ежегодный отчет о своей деятельности, отражающий ход разработки, производства и реализацию изделий, их технические и технико-экономические характеристики, количество и качество осуществленных мероприятий и предоставленных услуг.

1.5. Предприятия обязаны допускать сотрудников ФАПСИ, имеющих соответствующие полномочия, на свою территорию и снабжать этих сотрудников всей необходимой, по представлению ФАПСИ, информацией.

1.6. Предприятия, нарушающие действующее законодательство Российской Федерации, нормативные акты, регламентирующие порядок лицензирования деятельности и порядок сертификации продукции, продукция которых не соответствует требованиям безопасности, не соблюдающие режимные требования и другие положения настоящих требований, лишаются выданных им лицензий.

1.7. Лицензия на деятельность по сертификации СКЗИ по требованиям безопасности может быть выдана только предприятиям, являющимся специализированными организациями. Требования к таким предприятиям определяются "Положением о сертификационном испытательном центре СКЗИ".

1.8. Для выполнения работ по видам деятельности, на которые выдается лицензия, предприятия с согласия ФАПСИ могут привлекать на правах субподряда другие предприятия, как правило, также имеющие лицензию на данный вид деятельности.

1.9. Лицензиаты несут юридическую и финансовую ответственность за полноту и качество выполнения работ и обеспечение сохранности государственных и коммерческих секретов, доверенных им в ходе практической деятельности.

2. Требования по технической и технологической оснащенности и производственным помещениям

2.1. Каждый определенный в заявке вид работ должен быть обеспечен соответствующими производственными мощностями и площадями, техническими средствами измерений и контроля, технологической оснасткой и инструментом.

Предприятие должно располагать современными информационно-вычислительными комплексами, оснащенными развитыми аппаратными и программными средствами.

2.2. Обеспечение техническими средствами должно по объему и качеству соответствовать действующим на момент заявления нормативно-методическим материалам. Каждое аппаратное и программное средство должно быть в полном объеме снабжено соответствующей документацией.

2.3. Каждое техническое средство должно быть зарегистрировано и аттестовано на возможность его эксплуатации в заявленной области, а каждое специализированное помещение должно иметь заключение на возможность проведения в нем определенных работ (аттестовано) с учетом режимных требований и возможных аппаратных и программных закладок.

Специальная техника, предназначенная для выявления электронных устройств перехвата информации, должна иметь аттестат ФАПСИ.

2.4. Все технические средства должны быть обеспечены возможностью ремонта. Для аппаратуры, требующей периодического технического обслуживания, должны иметься соответствующие инструкции и графики технического обслуживания. Все оборудование и контрольно-измерительная аппаратура должны содержаться в условиях, обеспечивающих их сохранность и защиту от повреждений.

2.5. Предприятия, занимающиеся разработкой, производством и исследованиями средств шифрования, должны располагать отладочными стендами, позволяющими осуществлять моделирование работы разрабатываемой, производимой или исследуемой аппаратуры, съем необходимой информации с различных точек аппаратуры в произвольный момент времени ее работы.

2.6. Для разработчиков и изготовителей аппаратуры необходимо наличие оснащенного опытного производства либо партнера, на условиях аренды предоставляющего мощности своего опытного производства.

2.7. Должны быть определены партнеры, осуществляющие поставку элементной базы и отдельных комплектующих изделий для предприятия.

2.8. Предприятие должно располагать своими возможностями для проведения ремонтно-восстановительных работ. При необходимости возможно использование мощностей других организаций на условиях аренды при соблюдении соответствующих режимных требований.

2.9. Помещения предприятия по своим производственным площадям, оборудованию их специальными средствами и обеспечиваемым в них условиям (температура, влажность, чистота воздуха, освещенность, звуко- и виброизоляция, защита от излучений магнитного, электрического и других полей, снабжение электроэнергией, воздухом, теплом и т.д.) должны соответствовать требованиям применяемых методик по заявляемому направлению деятельности, санитарным нормам и правилам, требованиям безопасности труда и охраны окружающей среды.

2.10. Должен контролироваться и регламентироваться доступ в различные помещения для проведения работ.

3. Требования по уровню квалификации специалистов

3.1. Предприятие должно располагать штатом сотрудников, количественный состав, профессиональная подготовка, опыт работы и квалификация которых должны быть на уровне, позволяющем решать весь комплекс задач по заявляемым видам деятельности.

Расстановка кадров должна быть закреплена в соответствующей организационной структуре предприятия и требуемой номенклатуре профессий, утвержденных его руководителем. Уровень квалификации каждого специалиста должен быть подтвержден документально.

3.2. Для каждого структурного подразделения и каждого специалиста должны быть определены функциональные обязанности, изложенные в документальной форме, устанавливающие круг решаемых задач, возлагаемые функции, права, обязанности, ответственность и требования по режиму секретности для данной категории подразделений и специалистов. Для специалистов должны быть изложены конкретные требования по образованию, техническим знаниям и опыту работы.

Каждый сотрудник обязан знать и выполнять указанные должностные требования.

3.3. При проведении специальной экспертизы заявителя экспертная комиссия проводит выборочную аттестацию сотрудников по оценке их уровня квалификации.

3.4. При отсутствии на предприятии требуемых специалистов должны быть представлены документы, подтверждающие возможности привлечения сотрудников других предприятий и организаций для выполнения отдельных работ.

3.5. Специалисты предприятия должны иметь опыт практической работы в заявляемой области, периодически повышать свою квалификацию, осваивать смежные профессии по профилю своей деятельности.

3.6. На предприятии должна быть предусмотрена и иметься возможность обеспечения повышения уровня квалификации персонала.

3.7. Руководитель предприятия или лица, уполномоченные на руководство заявленными видами работ, должны иметь опыт работы в сфере защиты информации не менее 5 лет, руководители среднего звена – не менее 2 лет.

3.8. Специалисты предприятий должны знать:

основные руководящие документы по разработке, производству, эксплуатации и реализации средств криптографической защиты данных, по обеспечению защиты информации и оценке ее качества, по выявлению технических средств скрытого съема информации как в государственных организациях и учреждениях, так и негосударственных структурах;
основы криптографии и инженерной криптографии;
устройство, технические характеристики, принципы работы различных типов шифровальных средств и работающих с ними совместно технических средств (по направлениям работы); основные системотехнические и схемотехнические решения, архитектурно-логическое и конструктивное построение средств и систем криптографической защиты информации;
методы проектирования и разработки, особенности производства шифровальных средств;
возможные каналы утечки секретной информации при ее обработке, передаче и хранении с использованием СКЗИ. Методы исследования шифровальной аппаратуры и работающего совместно с ней оборудования;
принципы работы и технические характеристики необходимой измерительной, контрольной и испытательной аппаратуры, средств и комплексов вычислительной техники, используемых при разработке, производстве, исследованиях и испытаниях СКЗИ;
основные методы и средства контроля и специальной защиты СКЗИ. Методы и методики специальных исследований;
возможные каналы утечки информации из помещений и технических средств, причины их возникновения, необходимое аппаратурное оснащение для защиты информации и контроля ее защищенности;
перспективы и направления развития средств криптографической защиты информации и технических средств информатики.
3.9. Специалисты предприятий должны уметь:

пользоваться на практике всем имеющимся и требуемым методическим инструментарием, включая и использование различных информационно-вычислительных комплексов;
проводить полный цикл разработки, производства или исследований СКЗИ по требованиям безопасности;
планировать проводимые работы, рассчитывать потребные для этого ресурсы, временные и материальные затраты;
планировать и организовывать мероприятия по обеспечению информационной безопасности объектов и защите технических средств от утечки;
определять состав и структуру защиты информации, ее организационное и аппаратное обеспечение, выявлять возможные каналы утечки информации, определять характеристики и параметры контролируемых помещений и технических средств и проводить их анализ;
самостоятельно готовить отчетные материалы по результатам проведенной работы;
взаимодействовать со специалистами других предприятий и организаций, государственных органов по лицензированию.
4. Требования по режиму секретности и охране

4.1. При использовании в процессе осуществления лицензируемой деятельности информации, содержащей сведения, составляющие государственную тайну, предприятие должно иметь лицензию (разрешение) на допуск к работам со сведениями, составляющими государственную тайну.

4.2. В целях обеспечения сохранности материальных ценностей заказчика и его коммерческих и других секретов, а также обеспечения заявителя секретной нормативно-методической документацией на предприятии должен быть предусмотрен режимно-секретный орган (орган обеспечения безопасности информации) и обеспечена надежная охрана. Допускается отсутствие у заявителя собственных указанных служб при условии обеспечения его услугами таких служб предприятием, у которого арендуются помещения.

4.3. Размещение, охрана и специальное оборудование помещений, в которых установлены технические средства разработки, производства и хранятся документы, должны обеспечивать их сохранность и невозможность не контролированного проникновения в эти помещения, прослушивания ведущихся там переговоров и просмотра помещений посторонними лицами.

Такие помещения должны находиться в контролируемой зоне, иметь прочные входные двери, на которые устанавливаются автоматические замки. Двери и окна оборудуются охранной сигнализацией. Окна на первых и последних этажах зданий, а также рядом с балконами, пожарными лестницами оборудуются внутренними металлическими решетками.

4.4. В отдельные помещения должен быть реализован доступ с использованием автоматизированных систем контроля и разграничения полномочий.

4.5. Для хранения секретных документов должны устанавливаться надежные металлические шкафы с двумя комплектами ключей.

4.6. По окончании рабочего дня помещения, в которых проводятся работы с секретными материалами, опечатываются, а те из них, которые отнесены к наиболее важным участкам, ставятся на сигнализацию, извещатели которой должны выходить на пост ведомственной или вневедомственной охраны.

4.7. Секретное делопроизводство должно быть организовано и осуществляться в соответствии с нормативными документами.

— Гость (10/06/2008 13:08)   

в криптографическом сообществе отношение к сертифицированым СКЗИ резко отрицательное.

Напомнило:

– что, нет открытых gsm-модулей?
– Нету и не будет. Потому что законы сертификации устройств с радио в большинстве стран не совместимы с открытостью чипа

— Гость (10/06/2008 13:11)   
По теме: наверное, если кому-то так хочется разрабатывать сертифицированные системы защиты то проще попытаться устроить ся на работу в ФСБ. В любом случае, если речь идёт об официальной ИБ, там обязательно фсб будет рядом.

— Гость (10/06/2008 13:58)   

На выходе должно получиться сертифицированное средство защиты информации.

Извиняюсь за нескромный вопрос: а зачем вам это?

— Гость (10/06/2008 15:58)   
Видимо, человек хочет иметь возможность работать с госпредприятиями (тогда шире рынок сбыта продукции будет).

— Alex_B (28/06/2008 17:23)   

главное требование я Вам уже называл: лицензия ФСБ на разработку СКЗ

Вопрос наконец-то решен. (Три раза постучать по дереву)

Еще порция вопросов:
1. Какие алгоритмы хеширования можно использовать?
2. Какие алгоритмы вычисления ЭЦП можно использовать?
3. Какие билиотеки, реализующие криптографические преобразования, можно использовать?

---

4. Предъявляются ли какие-нибудь требования к СУБД (MS SQL SERVER подойдет?)

— SATtva (28/06/2008 18:15)   
1. ГОСТ Р 34.11-94
2. ГОСТ Р 34.10-2001
3. С сертификатом ФСБ. Например, у КриптоПро есть сертифицированная реализация. Есть и другие.
4. Сертификат ФСТЭК у MSSQL есть?

— Alex_B (01/07/2008 20:06)   
4. Сертификат ФСТЭК у MSSQL есть?

Оказывает да, а еще у Windows XP Professional и Windows Server 2003.
http://www.cybersecurity.ru/data/20672.html

— Alex_BBB (24/07/2008 11:30)   
Требуется описать алгоритм работы, одно из требований — в описании обязательно должны участвовать материальные объекты.

Т.е. Вот такое мое описание было забраковано:

8. Служба производит хеширование полученной на шагах 3 — 5 информации.

Как же это должно правильно звучать? Типа такого ?:

8. Программная реализация службы, используя центральный процессор(ы) производит вычисление криптографического примитива (или нескольких примитивов) по одному или нескольким алгоритмам хеширования.

Или например как добавить материальные объекты в следующую фразу?
12.

Служба добавляет к обязательным атрибутам случайное K, полученное на шаге 11.

Подскажите, пожалуйста, примеры грамотных фраз.

— Гость (24/07/2008 12:11)   
А если вместо "служба" писать "сервер" ? ;)

— Гость (24/07/2008 12:23)   

А если вместо "служба" писать "сервер" ? ;)

Хороший совет, спасибо.

— SATtva (24/07/2008 15:52)   

А если вместо "служба" писать "сервер" ? ;)

Хе-хе, и конфигурацию сервера, содержащего материнскую плату с чипсетом, ЦП, ОЗУ, жёсткий диск. Уйма материальных объектов. :-)

— Гость (24/07/2008 17:03)   
Электромагнитное поле – тоже материальный объект! ;)

— Alex_BBB (24/07/2008 17:20)   

Электромагнитное поле – тоже материальный объект! ;)

Да! Мне говорили не стесняться использовать такие понятия как импульс :) Но я не настолько силен с АСВТ что бы грамотно разъяснять как же именно происходит вычисление хеш значения.

Все "службы" заменим на "сервер", везде где речь идет о сохранении дописал "с использованием ЗУ". Там где речь идет о передаче дописал:
"Для передачи может быть использована локально вычислительная сеть организации, Интернет и/или любой другой вид проводной или беспроводной связи. Так же для передачи информации могут быть использованы материальные носители: диски, дискеты, флеш накопители и т. п."

И все же осталось масса шагов в которые не удалось всунуть чего-нибудь материального.

— Гость (24/07/2008 20:58)   

осталось масса шагов в которые не удалось всунуть чего-нибудь материального

Тут без бутылки многоуровневой модели ISO/OSI^[link2] не разберёшся! :) Первый (физический) уровень этой модели и описывает взаимодействие... эээ... информации и материи. Во!

— SATtva (24/07/2008 23:01)   
Всё-таки OSI описывает модель взаимодействия систем, но не процессы на аппаратно-программных уровнях в рамках одной системы, что требуется от Алекса.

— unknown (25/07/2008 08:42)   

взаимодействие... эээ... информации и материи. Во!

Под воздействием бутылки демоны и зомби становятся материальными объектами. Слово сервис заменяется на "демон".

— Alex_BBB (25/07/2008 11:29)   

процессы на аппаратно-программных уровнях в рамках одной системы

Описать эти процессы я не в состоянии (только если на самом примитивном уровне), похоже что этого и не требуется.

Как мне объяснили, заковыка в следующем — в каких то там документах понятия "методы и средства" определены через понятие "материальных объектов".
Таким образом, если в вашем описании нет материальных объектов – то у вас нет ни методов ни средств, а раз так с вами и разговаривать не будут.

— Гость (29/07/2008 13:42)   
Опять забраковали...
По всей видимости нужно хотя бы приблизительное описание "процессов на аппаратно-программных уровнях".

Как будет звучать следующая фраза (а дальше я по аналогии):
"Клиент, используя каналы связи, передает серверу информацию в цифровом виде. Сервер вычисляет хеш значение от принятой информации и сохраняет полученный дайджест в своем хранилище, используя Запоминающее Устройство (ЗУ)".

Нужно описание на подобии такого:
"Сетевая карта получает сигнал...", "происходит запись на магнитный носитель..." — я даже придумать не могу толком.

— Гость (29/07/2008 16:22)   
"Разность электрических потенциалов вызывает сложноорганизованное движение электронов в проводниках и полупроводниках, которое может быть проинтерпретировано как вычисление математических функций..." :)

Вместо материальных объектов лучше предложите им материальную поддержку за их помощь в составлении правильного описания. ;)

— Гость (29/07/2008 18:19)   
Alex_B, не лезли бы Вы в эту мерзость. Сами ведь видите, насколько это нелепо.

Хотите написать "средство защиты информации"? Браво. Пишите код. А вот сертифицированное средство... Кому оно нужно? Дяденькам из больших компаний, которые в этом абсолютно не разбираются и которые тоже делают всё исключительно для галочки? По-моему, недостойная цель.

— Гость (30/07/2008 15:51)   
А по моему мерзость в том, чтобы отделять мысль от того, что дано нам в ощущении, и требование хотя-бы в общих чертах знать устройство аппаратной части и уметь объяснять её взаимодействие с програмной направлено на противодействие тенденции всеобщей виртуализации и разрыва с реальностью.
Это типа кандидатского минимума, где надо сдавать экзамены и не по специальности – для общей культуры, чтобы люди имели понятие, что булки не на деревьях растут.

— Гость (31/07/2008 10:32)   
Гость (30/07/2008 15:51), правда в Ваших словах конечно есть.. Если Вы сами обладаете "кандидатским минимумом", пожалуйста, найдите время написать в общих чертах фразу которую я изложил тремя постами выше^[link3].

Вот такое требование:
"Если способ характеризуется использованием средств, достаточно эти средства раскрыть таким образом, чтобы можно было осуществить этот способ".

— Гость (31/07/2008 13:13)   

По всей видимости нужно хотя бы приблизительное описание "процессов на аппаратно-программных уровнях"
Вот такое требование:

"Если способ характеризуется использованием средств, достаточно эти средства раскрыть таким образом, чтобы можно было осуществить этот способ".

Может быть под "средствами" имеется ввиду не одна только аппаратная часть, а вместе с установленным на ней стандартным и сертифицированным ПО, с той же WinXP например? В таком случае, вероятно, "раскрытие средств" будет состоять в более подробном описании используемых интерфейсов и способов их использования, "чтобы можно было осуществить...", а не в описании работы уже сертифицированной программнго-аппаратной части. То есть типа "сервер вычисляет хеш значение от принятой информации вызывая стандартную подпрограмму ... из модуля ... (файл c:\...dll) и передавая ей в качестве параметров ..."

— Гость (31/07/2008 14:16)   

Может быть под "средствами" имеется ввиду не одна только аппаратная часть, а вместе с установленным на ней стандартным и сертифицированным ПО

Нет, интересует именно аппаратная часть.

"Способом является процесс осуществления действий над материальным объектом с помощью материальных средств."

То есть типа "сервер вычисляет хеш значение от принятой информации вызывая стандартную подпрограмму ... из модуля ... (файл c:\...dll) и передавая ей в качестве параметров ..."

Примерно такое описание у меня и было в самом начале...


Сейчас раскрываю фразу "Сервер вычисляет хеш значение от принятой информации и сохраняет полученный дайджест в своем хранилище, используя Запоминающее Устройство (ЗУ)":

Для сохранеия дайджеста предлагается использовать накопитель, содержащий один или несколько обработанных с высокой точностью алюминиевых и керамических дисков со специальным магнитным покрытием смонтированных на оси шпинделя приводимом в движение специальным двигателем. Цифровая информация, содержащая дайджест, преобразуется в переменный электрический ток, сопровождаемый переменным магнитным полем. Переменный ток подается на головку записи-чтения. Головка записи-чтения с помощью позиционера скользит над поверхностью диска на расстоянии порядка 0,13мк метра. Позиционер головок перемещается с помощью соленоидального двигателя. Магнитное покрытие диска это множество доменов спонтанной намагниченности. При воздействии магнитного поля головки магнитные поля доменов ориентируются в соответствии с ее направлением. После снятия внешнего поля (создаваемого головкой) на поверхности остаются зоны остаточной намагниченности."

Наверно слишком подробно, сократить будет просто.
А вот процесс получения информации по каналам связи и вычисления хеш значения..

Вообще получается такое описание, которое никто кроме немногих не сможет переварить.. Если бы я его не писал я бы не смог :)

— Гость (01/08/2008 12:11)   

http://ru.wikipedia.org/wiki/Аппаратное_обеспечение

Это всё (то что по ссылке), как говорил один препод, огуречные попки ))

— Гость (01/08/2008 13:22)   
А вы по ссылкам походите. По моему, достаточно подробно для ваших целей. А то вот зайдите на http://www.opencores.org/ – там подробнее :)