Автоматизированное рабочее место защищенного электронного документооборота (АРМ-ЗЭД) состоит из следующих компонентов:
— квалифицированный сертификат ключа проверки электронной подписи;
— сертифицированное средство криптографической защиты информации (СКЗИ);
— криптографический файловый менеджер;
— криптографический почтовый клиент и Веб-обозреватель;
— устройство защищенного хранения криптографических ключей;
— средство защиты информации от несанкционированного доступа (СЗИ НСД) (опционально).
Квалифицированный сертификат ключа проверки электронной подписи, выпускаемый Аккредитованным Удостоверяющим центром InfoTrust НПП «Ижинформпроект» в соответствии с требованиями Федерального закона от 06.04.201 № 63-ФЗ «Об электронной подписи», предназначен для квалифицированной электронной подписи электронных документов и защиты электронной почты, аутентификации клиента и др. сервисов в системе КриптоСвязь{Защищенный Электронный Документооборот}. Квалифицированный сертификат содержит сведения об отношениях (приложениях, системах документооборота, видах электронных документов и т.п.), при осуществлении которых электронный документ с электронной подписью будет иметь юридическое значение. Срок действия сертификата — от 1 года до 3 лет.
Средство криптографической защиты информации КриптоПро CSP/КриптоПро Рутокен CSP разработано ООО «КРИПТО-ПРО» по техническому заданию, согласованному с ФСБ России в соответствии с криптографическим интерфейсом фирмы Microsoft — Cryptographic Service Provider (CSP).
Криптопровайдер КриптоПро CSP предназначен для:
— авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной цифровой подписи (ЭЦП) и хэширования в соответствии с отечественными стандартами ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012;
— обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
— обеспечения аутентичности, конфиденциальности и имитозащиты соединений TLS;
— контроля целостности, системного и прикладного программного обеспечения для его защиты от несанкционированного изменения или от нарушения правильности функционирования;
— управления ключевыми элементами системы в соответствии с регламентом средств защиты.
Сертификаты соответствия ФСБ России: №№ СФ/124-2083, СФ/124-2084, СФ/124-2085 и СФ/121-2271, СФ/121-2272, СФ/121-2273 (на КриптоПро CSP (версия 3.6.1) R4 ЖТЯИ.00050-03 30 01), СФ/114-2538, СФ/124-2539 и СФ/124-2540 (на КриптоПро CSP (версия 3.9) ЖТЯИ.00083-01 30 01) и СФ/124-2306 (на КриптоПро Рутокен CSP ЖТЯИ.00071-01 30 01)
Криптографический файловый менеджер КриптоАРМ Стандарт/СтандартPRO разработан ООО «Цифровые технологии» и предназначен для удобного проведения операций шифрования и электронной цифровой подписи электронных документов и имеет расширенные возможности использования электронной цифровой подписи (соподпись, заверяющая ЭЦП, комментарии к подписи, усовершенствованная подпись), а также гибкую настройку криптографических операций под индивидуальные задачи пользователя с помощью профилей. Программа предназначена для работы в операционной системе Microsoft Windows, имеет полнофункциональный удобный графический инфоерфейс и обеспечивает работу с криптопровайдером КриптоПро CSP.
Сертификаты соответствия ФСБ России: №№ СФ/114-2386 и СФ/124-2387 (на КриптоАРМ (версия 4) ЦСТА.00001-01 30 01). КриптоАРМ является стандартным программным обеспечением для СКЗИ КриптоПро CSP/КриптоПро Рутокен CSP (не требуется проведение тематических исследований корректности встраивания).
Для обеспечения защищенного обмена сообщениями используются стандартные почтовые клиенты Outlook Express/Почта Windows Live (рекомендуется версия 6 и выше, входит в состав операционной системы Microsoft Windows) и Microsoft Outlook (рекомендуется версия Microsoft Outlook 2003 из пакета Microsoft Office 2003 и выше). Указанные программы совместимы со спецификациями протокола защищенной электронной почты S/MIME (Secure/Multipurpose Internet Mail Extensions). Для безопасного взаимодействия с Веб-серверами применяется Веб-обозреватель Internet Explorer (рекомендуется версия 8 и выше, входит в состав операционной системы Microsoft Windows), реализующий защиту соединений по протоколу TLS (Transport Layer Security). При этом используются механизмы электронной цифровой подписи и шифрования сообщений и вложений, а также уведомления о прочтении с ЭЦП, аутентификация участников и шифрование Интернет-соединений с применением алгоритмов российских ГОСТов.
Outlook Express/Почта Windows Live, Microsoft Outlook и Internet Explorer являются стандартным программным обеспечением для СКЗИ КриптоПро CSP/ КриптоПро Рутокен CSP (не требуется проведение тематических исследований корректности встраивания).
Устройства защищенного хранения ключей (USB-токены) обеспечивают надежное и безопасное хранение и удобное использование персональных закрытых криптографических ключей пользователя.
JaCarta/eToken (разработчик — ЗАО «Аладдин Р.Д.») представляет собой защищенное устройство, предназначенное для строгой аутентификации, безопасного хранения секретных данных, выполнения криптографических вычислений и работы с асимметричными ключами и цифровыми сертификатами.
Особенности:
— выполнен на базе микросхемы смарт-карты;
— аппаратно реализованные алгоритмы RSA 1024/2048, DES, 3DES, SHA-1, ГОСТ Р 34.10-2001;
— высочайший уровень безопасности (сертификаты ФСТЭК России, ITSEC LE4, FIPS 140-1 уровни 2, 3);
— защищенная память объёмом до 72 КБ на микросхеме смарт-карты;
— два форм-фактора: USB-ключ и смарт-карта;
— может встраиваться радио-метка (RFID).
Сертификаты ФСТЭК России: №№ 1883 и 2799.
Электронный идентификатор РУТОКЕН (разработчик — ЗАО «Актив-Софт»). — это персональное устройство доступа к информационным ресурсам компьютерных систем. Он предназначен для защиты и надежного хранения ключевой информации.
Особенности:
— выполнен на базе защищенного микроконтроллера;
— EEPROM память: 32, 64 и 128 Кбайт;
— поддержка стандартов и алгоритмов: ISO/IEC 7816, PC/SC, ГОСТ 28147-89, RSA, DES (3DES), RC2, RC4, MD4, MD5, SHA-1, Microsoft Crypto API и Microsoft Smartcard API, PKCS#11 (v. 2.10+);
— аппаратная реализация ГОСТ 28147-89;
— возможность интеграции в любые smartcard-ориентированные программные продукты (e-mail-, internet-, платежные системы и т. п.);
— может встраиваться радио-метка (RFID).
Сертификаты ФСТЭК России: №№ 1461, 2584 и 2589.
Опционально может использоваться средство защиты информации от несанкционированного доступа (СЗИ НСД). Базовое решение — Secret Disk (разработчик — ЗАО «Аладдин Р.Д.»).
Secret Disk 4 — система защиты конфиденциальной информации и персональных данных от несанкционированного доступа и раскрытия конфиденциальной информации, хранящейся и обрабатываемой на персональном компьютере или ноутбуке, когда есть риск его кражи, утери или несанкционированного использования. Система не только надежно защищает данные, но и скрывает сам факт их наличия на компьютере.
Возможности Secret Disk 4:
— шифрование системного раздела, разделов на жестких дисках, томов на динамических дисках, виртуальных дисков и съемных носителей;
— аутентификация пользователя по USB-ключу eToken для загрузки операционной системы и для доступа к зашифрованным данным;
— запрет доступа по сети к зашифрованным данным для всех пользователей, включая системного администратора;
— восстановление доступа к данным в случае утери USB-ключа;
— защита данных от сбоев во время операций шифрования, включая перебои электропитания;
— режим энергосбережения для ноутбуков;
— динамическое распределение скорости шифрования.
Сертификат ФСТЭК России № 1742/2.
Lля повышения уровня криптографической защиты до классов KC2 и KC3 требуется применение аппаратно-программных модулей доверенной загрузки (электронных замков): «Соболь» (ООО «Код безопасности») (сертификат ФСТЭК РФ № 1967, сертификат ФСБ России № СФ/027-2533), «Аккорд» (ЗАО «Особое конструкторское бюро систем автоматизированного проектирования» (ОКБ САПР)) (сертификат ФСТЭК РФ № 246/7, сертификат ФСБ России № СФ/127-2255) или «КРИПТОН-ЗАМОК» (ООО Фирма «АНКАД») (сертификаты ФСБ России №№ СФ/527-2047, СФ/527-2048, СФ/527-2049, СФ/527-2050, СФ/527-2051 и СФ/027-2569).
Схема взаимодействия компонентов представлена на рисунке.
Для обеспечения комплексной информационной безопасности дополнительно рекомендуется использовать средства антивирусной защиты, средства обнаружения вторжений и персональный сетевой экран.