- Что, если нарушитель в канале?
- Что такое ключевой носитель?
- Защищенный носитель
- Как обеспечить безопасность электронной подписи
- Как проверить подлинность подписи
- Как работает квалифицированная электронная подпись
- Нарушитель в системе – пиши пропало!
- Пассивное хранилище и автономный вычислитель
- Функциональный ключевой носитель – защищенность от противника в канале
- Итого
Что, если нарушитель в канале?
Таким образом, единственным нарушителем, с которым можно бороться при использовании токенов, является третий: тот, кто прослушивает канал передачи данных между машиной пользователя и токеном. Далее будем считать, что проникнуть в систему пользователя и/или систему токена нарушитель не мог.
Злоумышленник, находящийся в канале связи, может нанести пользователю достаточно серьезный ущерб как в случае использования пассивных токенов, так и в случае активных. Если используется носитель-хранилище, то злоумышленник видит и пароль, и ключ, т.к. они передаются по данному каналу связи.
Раскрытие ключа является, безусловно, самой серьезной угрозой из всех возможных. При использовании же активного носителя, злоумышленник не сможет получить доступ к ключу, но сможет узнать пароль, а значит, стать для носителя легитимным субъектом – кто знает пароль, тот и прав!
В таком случае при краже устройства злоумышленник сможет воспользоваться токеном для совершения необходимых ему операций с ключом. В криптографии такая угроза называется селективной подделкой: злоумышленник может подписать нужные ему данные, не зная ключ.
Разница между упомянутыми выше угрозами не столь велика, как может показаться. В сущности, что будет делать злоумышленник с ключом? Конечно же, подпишет платежное поручение от имени пользователя на миллион долларов. Ровно то же самое он сделает, появись у него возможность осуществить селективную подделку. Ущерб в обоих случаях будет более чем ощутимым и в большинстве разумных ситуаций примерно одинаковым.
В связи с этим, обязательным требованием по эксплуатации как носителей-хранилищ, так и активных носителей, является их подключение непосредственно к доверенному порту машины, то есть отсутствие канала связи, в котором может существовать злоумышленник.
Может сложиться впечатление, что активный токен в смысле защищенности по всем параметрам превосходит пассивное хранилище. Однако есть некоторые методы, которые представляют гораздо большую опасность для активных носителей, чем для пассивных. Речь идет об атаках по побочным каналам.
Так, например, злоумышленник может, не проводя непосредственных действий в системе или в канале, измерять время, затрачиваемое на выполнение операций, и делать по результатам измерений выводы о значении ключа, сокращая ключевое множество. Этот метод существенно более эффективен для активных токенов, поскольку они выполняют все вычисления сами, без помощи пользовательских приложений.
А поскольку вычислительная мощность токена на порядок меньше мощности обычных компьютеров, то и детектировать влияние той или иной характеристики ключа (например, его веса) на время вычислений намного легче – не будет слишком большим преувеличением, если сказать, что в некоторых случаях атаку можно попытаться провести с помощью хороших наручных часов. Справедливости ради отметим, что все современные активные ключевые носители имеют ряд мер защиты от подобных атак.
Что такое ключевой носитель?
Ключ – то, на чем держится вся криптографическая защита. С точки зрения криптографических алгоритмов (шифрования, аутентификации и т.п.), тот, кто знает ключ – тот и является легитимным пользователем. Так, например, если злоумышленник будет знать все ключи, которые используются легитимным пользователем при общении с банком, то банк не сможет понять, кто есть кто.
Рассмотрим некоторые способы хранения ключей, которые потенциально могут применяться в информационных системах.
- Генерация ключа из некоторого запоминаемого секрета. Поскольку длины ключей современных криптографических систем, как правило, составляют не менее 256 бит (64 произвольных шестнадцатиразрядных символа (0-9, A-F)), то запомнить их практически не представляется возможным. Иногда можно использовать более простую для запоминания человеком форму (пароль), из которой определенным образом выводится требуемый криптографический ключ. Однако, к сожалению, число паролей, которые человек в состоянии запомнить, настолько мало, что множество потенциально используемых в таком случае ключей серьезно сокращается. Так, например, существует всего около 218 триллионов паролей длины 8, состоящих из больших и малых латинских букв и 10 цифр. Битовая длина секрета, определяющего построенный из такого пароля ключ, не превосходит 48 бит – это вполне доступно для перебора на современных вычислительных машинах.
- Хранение ключа на флэшке в файле, который защищен паролем. Этот вариант плох тем, что злоумышленник, укравший у пользователя эту флэшку или скопировавший файл с ключом, сможет подобрать пароль, что называется, неинтерактивно – то есть, без взаимодействия с носителем. В этом случае злоумышленника ничто не ограничивает ни во времени, ни в тех средствах, которые он может использовать для подбора паролей. В итоге, вскрытие ключа – лишь вопрос времени.
- Локальное хранение ключа на машине пользователя (например, в реестре). Минусом подобного подхода является невозможность постоянного контроля ключа со стороны пользователя. Поскольку пользователь несет за ключ персональную ответственность, то постоянный контроль над ключом является непременным требованием документации любого средства криптозащиты. Указанный метод лишает ключ еще одного важного свойства – мобильности.
- Хранение ключа в облаке. Эта сторона вопроса подробно обсуждалась в предыдущей заметке нашего блога. Если вкратце, это решение предполагает хранение пользовательского ключа на некотором удаленном защищенном сервисе. При этом для того, чтобы им воспользоваться пользователь должен пройти достаточно строгую (как минимум, двухфакторную) процедуру аутентификации.
Оставляя за скобками тему хранения ключа в облаке, рассмотрим способ, который будет свободен от всех указанных выше недостатков. Что если защитить паролем не файл, находящийся на некотором аппаратном модуле (флэшке), а весь модуль – то есть, предоставлять доступ к данным лишь в том случае, если введен верный пароль самого устройства, а не пароль на отдельный файл?
Если же неверный пароль введен, например, более 10 раз, устройство может вообще блокироваться и требовать специальный ключ восстановления. В таком случае злоумышленник не сможет перебирать пароль бесконтрольно – единственным критерием правильности опробуемого пароля является ответ носителя на его запрос к нему, а значит, есть всего 10 попыток.
В таком случае даже пароль из 6 символов выглядит для злоумышленника непреодолимым препятствием – вероятность угадать его за 10 попыток исчезающе мала (она не превышает одной миллиардной – злоумышленник быстрее добьется того, что подкинутая им 30 раз монета 30 раз упадет орлом вверх).
Устройства, в основе которых лежит описанный выше принцип, и называются съемными ключевыми носителями. Они существуют в двух наиболее расространенных форм-факторах: USB-токен, который внешне ничем не отличается от обычной флэшки, и смарт-карта, частным случаем которой являются привычные банковские карты.
Стоит, конечно, отметить, что для токенов возможно проведение так называемых атак с проникновением (агрессивные атаки, invasive attack), при которых злоумышленник получает доступ к данным токена путем прямого и зачастую разрушительного воздействия.
Однако для этого злоумышленнику необходимо иметь достаточно глубокие знания о технических особенностях используемого устройства, а также иметь возможность использования высокотехнологичного оборудования, такого как лазер или рентген. За эту сторону защищенности ключевых носителей отвечают исключительно производители соответствующей аппаратуры.
Несмотря на то, что токены позволяют защититься от противника, который украл устройство и хочет достать оттуда ключ, нельзя забывать и о других угрозах. Именно поэтому существуют разные виды ключевых носителей – от простых хранилищ до самостоятельных модулей, умеющих выполнять целый ряд криптографических операций и взаимодействующих с пользователем по специально разработанным протоколам.
Рассмотрим основные типы ключевых носителей, их возможности, преимущества и недостатки.
Защищенный носитель
Настоящий документ описывает политику обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным.
Цель разработки настоящей Политики – обеспечение защиты прав и свобод человека и гражданина, при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Сокращения, основные понятия и термины
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Правовые основания обработки персональных данных
Политика разработана в соответствии со следующими нормативно-правовыми документами Российской Федерации:
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, ратифицированная Федеральным законом Российской Федерации от 19 декабря 2005 года № 160-ФЗ “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных” в рамках, определяемых данным Федеральным законом, заявлений;
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Кодекс об Административных Правонарушениях Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Уголовный кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 года № 152-ФЗ “О персональных данных” (далее – Федеральный закон № 152-ФЗ);
- Федеральный закон от 27 июля 2006 года № 149-ФЗ “Об информации, информационных технологиях и о защите информации”;
- Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 года № 188;
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2021 года № 1119.
АО «Тандер» осуществляет обработку персональных данных на законной и справедливой основе. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми АО «Тандер» осуществляет обработку персональных данных:
- Трудовой кодекс Российской Федерации
- Договоры, заключаемые между АО «Тандер» и субъектом персональных данных
- Договоры, заключаемые между АО «Тандер» и другими юридическими лицами, в рамках которых предполагается обработка персональных данных
- Согласие на обработку персональных данных и т.д.
Цели сбора и обработки персональных данных в АО «Тандер».
Целями обработки персональных данных являются:
- заключение трудовых договоров с физическими лицами;
- исполнение функциональных обязанностей юридического лица как работодателя;
- обеспечения финансово-хозяйственной деятельности предприятия;
- продвижение товаров на рынке;
- обеспечение пропускного режима;
- заключение договоров на оказание услуг с физическими лицами;
- установление медицинского диагноза и оказание медицинских услуг в медико-профилактических целях
- организация участия в социально-корпоративных мероприятиях
Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Содержание и объем обрабатываемых персональных данных полностью соответствуют заявленным целям обработки.
АО «Тандер» осуществляет сбор и дальнейшую обработку следующих категорий субъектов персональных данных:
- сотрудники, состоящие в трудовых отношениях
- бывшие сотрудники,
- ближайшие родственники сотрудников,
- контрагенты,
- соискатели на вакантные должности,
- клиенты,
- посетители зданий АО «Тандер»,
- арендаторы,
- физические лица, с которыми заключены гражданско-правовые договоры,
- сотрудники, обратившиеся за медицинской помощью,
- физические лица, обратившиеся за медицинской помощью,
- сотрудники аффилированных компаний.
Порядок и условия обработки персональных данных
Все персональные данные субъектов АО «Тандер» получает от них самих, либо от их законных представителей.
Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации на основании согласия субъекта персональных данных, кроме случаев, предусмотренных Федеральным законом № 152-ФЗ. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).
Под обработкой персональных данных понимаются действия (операции) с персональными данными, включающие:
- сбор, хранение, уточнение (обновление, изменение);
- систематизацию, накопление;
- использование, распространение, передачу;
- обезличивание, блокирование, уничтожение.
Субъект ПДн принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
Получение ПДн субъекта у третьих лиц, возможно только при уведомлении субъекта об этом заранее и с его письменного согласия. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).
ПДн субъектов АО «Тандер» обрабатываются в структурных подразделениях в соответствии с исполняемыми функциями.
Доступ к ПДн, обрабатываемым без использования средств автоматизации, осуществляется в соответствии с утвержденным списком.
Доступ к ПДн, обрабатываемым в информационных системах персональных данных (далее – ИСПДн), осуществляется в соответствии со списком, утверждённым в порядке, определяемом в АО «Тандер».
Уполномоченные лица, допущенные к ПДн субъектов АО «Тандер», имеют право получать только те ПДн субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностной инструкцией уполномоченных лиц.
Обработка ПДн, осуществляемая без использования средств автоматизации, выполняется в соответствии с требованиями “Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации” утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
Персональные данные при такой их обработке, обособляются от иной информации, в частности, путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).
Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
ПДн подлежат уничтожению либо обезличиванию в следующих случаях:
- достигнуты цели обработки или утрачена необходимость в их достижении;
- получен отзыв согласия субъекта ПДн на обработку ПДн;
- представление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- выявление неправомерной обработки ПДн при обращении субъекта ПДн или его законного представителя и невозможности обеспечить правомерную обработку ПДн.
Хранение материальных носителей ПДн осуществляется в специально оборудованных шкафах и сейфах. Места хранения определяются приказом об утверждении мест хранения материальных носителей ПДн АО «Тандер».
В срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, АО «Тандер» вносит в них необходимые изменения, а также уведомляет субъекта о внесенных изменениях.
Уничтожение ПДн осуществляется в срок, не превышающий 30 рабочих дней с момента достижения цели обработки ПДн, если иное не предусмотрено федеральными законами Российской Федерации.
Уничтожение ПДн осуществляется в срок, не превышающий 30 рабочих дней с момента отзыва согласия субъекта ПДн на обработку ПДн.
Уничтожение ПДн осуществляется в срок, не превышающий 7 рабочих дней с момента представления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его законного представителя и невозможности обеспечить правомерную обработку ПДн уничтожение ПДн осуществляется в срок, не превышающий 10 рабочих дней с момента выявления неправомерной обработки ПДн. Решение о неправомерности обработки ПДн и необходимости уничтожения персональных данных принимает ответственный за организацию обработки ПДн, который доводит соответствующую информацию до руководства. АО «Тандер» уведомляет субъекта ПДн или его законного представителя об уничтожении персональных данных.
Уничтожение ПДн осуществляет комиссия в составе сотрудников структурного подразделения, обрабатывавшего ПДн субъекта и установившего необходимость уничтожения ПДн под контролем руководителя этого структурного подразделения.
Способ уничтожения материальных носителей ПДн определяется комиссией. Допускается применение следующих способов:
- сжигание;
- шредирование (измельчение);
- передача на специализированные полигоны (свалки);
- химическая обработка.
При этом составляется акт, подписываемый председателем комиссии, проводившей уничтожение материальных носителей персональных данных.
При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае члены комиссии по уничтожению ПДн должны присутствовать при уничтожении материальных носителей ПДн. При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей ПДн подлежащих уничтожению, в специализированную организацию.
Уничтожение полей баз данных АО «Тандер», содержащих ПДн субъекта, выполняется в следующих случаях:
- достигнуты цели обработки или утрачена необходимость в их достижении;
- получен отзыв согласия субъекта ПДн на обработку ПДн;
- представление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- выявление неправомерной обработки ПДн при обращении субъекта ПДн или его законного представителя и невозможности обеспечить правомерную обработку ПДн.
Уничтожение осуществляет комиссия, в состав которой входят лица, ответственные за техническое обслуживание автоматизированных систем, которым принадлежат базы данных.
Уничтожение достигается путем затирания информации на носителях информации (в том числе и резервных копиях). При этом составляется акт, утверждаемый лицом, ответственным за техническое обслуживание автоматизированных систем, которому принадлежат базы данных.
Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами.
При отсутствии технической возможности осуществить уничтожение ПДн, содержащихся в базах данных, допускается проведение обезличивания путем перезаписи полей баз данных. Перезапись должна быть осуществлена таким образом, чтобы дальнейшая идентификация субъекта ПДн была не возможна.
Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
Обработка биометрических персональных данных (фотография, используемая для идентификации, отпечатки пальцев, изображение сетчатки глаза и т.д.), в соответствии со статьей 11 Федерального закона № 152-ФЗ, допускается при наличии согласия субъекта. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).
Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн.
Защиту ПДн субъектов от неправомерного их использования или утраты АО «Тандер» обеспечивает за счет собственных средств в порядке, установленном законодательством Российской Федерации.
При обработке ПДн принимаются необходимые организационные и технические меры по обеспечению их конфиденциальности.
Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:
- РД ФСТЭК России – “Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”. Утверждены приказом ФСТЭК России № 21 от 18 февраля 2021 года;
- внутренними документами АО «Тандер», действующими в сфере обеспечения информационной безопасности.
Защита персональных данных предусматривает ограничение к ним доступа.
Утверждены распоряжением Генерального директора АО «Тандер» и приняты к исполнению локальные нормативные акты, в том числе:
- документы, определяющие порядок обработки персональных данных;
- приказы об утверждении мест хранения материальных носителей персональных данных;
- приказы об установлении перечня лиц, осуществляющих обработку персональных данных либо имеющих доступ к ним;
- формы согласий субъекта на обработку его персональных данных;
- документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
- документы, регламентирующие порядок осуществления внутреннего контроля;
- документы, направленные на оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения федерального законодательства в области персональных данных;
- порядок доступа лиц в помещения, где ведется обработка персональных данных;
- типовое обязательство о неразглашении персональных данных;
- типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
- перечень информационных систем персональных данных.
АО «Тандер» оставляет за собой право проверить полноту и точность предоставленных персональных данных при наличии согласия субъекта персональных данных. В случае выявления ошибочных или неполных персональных данных, АО «Тандер» имеет право прекратить все отношения с субъектом персональных данных
Порядок обработки обращений и запросов субъектов.
При обращении либо письменном запросе субъекта персональных данных или его законного представителя, на доступ к своим персональным данным АО «Тандер» руководствуется требованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ;
Доступ субъекта персональных данных или его законного представителя к своим персональным данным АО «Тандер» предоставляет только под контролем ответственного за организацию обработки ПДн АО «Тандер».
Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.
Письменный запрос субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным.
Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.
В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.
Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает сотрудника (сотрудников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.
Сведения о наличии персональных данных АО «Тандер» предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.
Сведения о наличии персональных данных должны быть предоставлены субъекту при ответе на запрос в течение тридцати дней от даты получения запроса субъекта персональных данных или его законного представителя.
Порядок действий в случае запросов надзорных органов.
В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ АО «Тандер» сообщает в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса.
Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки ПДн при необходимости с привлечением сотрудников АО «Тандер».
В течение установленного законодательством срока ответственный за организацию обработки ПДн подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.
Как обеспечить безопасность электронной подписи
Подделать саму ЭП нельзя. В ее основе лежат криптографические технологии, которые не поддаются взлому. Переживать о том, как защитить свою подпись от подделки, не нужно, потому что мошенники действуют примитивнее — они подделывают документы, чтобы незаконно получить ЭП, или крадут подпись.
Рекомендуем соблюдать правила безопасности, которые помогут избежать мошенничества с цифровой подписью:
Нельзя передавать ЭП другим людям. Бухгалтер, заместитель и другие сотрудники не должны иметь доступа к закрытому ключу подписи, потому что могут подписать документ самовольно. Тогда доказать, что подпись поставил не владелец, а постороннее лицо, будет почти невозможно.
Если увольняется сотрудник, у которого есть ЭП, сертификат подписи надо сразу отозвать. Иначе уволенный работник может списать деньги со счета компании или вообще ликвидировать организацию, если раньше у него были такие полномочия. Отлично, если кадровая служба ведет учет сертификатов сотрудников — так проще следить, кому и когда выдана ЭП.
Токен с подписью и компьютер, где она используется, должны быть защищены паролем. Иначе злоумышленник сможет воспользоваться чужой ЭП, если украдет токен или получит доступ к компьютеру.
Если ЭП хранится на компьютере, он должен быть защищен от вирусов. Подозрительный файл, который пришел на почту, лучше не открывать: он может оказаться шпионской программой, которая скопирует все файлы, в том числе электронную подпись.
Если нужно отойти от компьютера, его лучше блокировать. Это гарантирует, что никто не воспользуется подписью в отсутствие владельца.
Нельзя передавать сканы и реквизиты паспорта ненадежным фирмам или оставлять их на подозрительных сайтах. Если сканы попадут в руки мошенников, они могут получить по ним электронную подпись от чужого имени. Скорее всего, сотрудники удостоверяющего центра увидят подделку и сертификат не выдадут, но лучше не рисковать. Если паспорт пропадет, об этом нужно сразу сообщить в полицию — заявление станет аргументом, если потребуется доказать, что ЭП на документ поставили мошенники.
Электронная подпись не гарантирует защиту компании от мошенников и воров. Но она создает для них серьезное препятствие — завладеть чужой ЭП намного сложнее, чем подделать подпись и печать на бумаге. Кроме того, с электронной подписью шансы остановить преступников и вычислить их намного выше:
Если у вас пропала подпись, то ее можно и нужно сразу же отозвать — тогда злоумышленники не смогут ей воспользоваться.
Проверить, что никто не выпустил на ваше имя электронную подпись, можно на портале Госуслуг — в личном кабинете в разделе «Настройки и безопасность» найдите вкладку «Электронная подпись». Госуслуги покажут, какие подписи были выпущены на вас, когда и каким удостоверяющим центром. Если увидите электронную подпись, которую не получали, обратитесь в техподдержку портала и в УЦ, который указан в этой подписи. УЦ по вашему заявлению отзовет сертификат подписи, и тогда ей больше никто не сможет воспользоваться.
Если мошенник все-таки смог без вашего ведома получить электронную подпись на ваше имя, то найти его будет проще, чем того, кто подделывает рукописные подписи. Ведь из сертификата электронной подписи можно узнать, кто, когда и в каком УЦ его получил. Также все удостоверяющие центры хранят копии документов, по которым выдавалась подпись, а некоторые — при выдаче сертификата делают фото будущего владельца ЭП с паспортом. Благодаря таким зацепкам, правоохранителям будет проще поймать мошенников.
Получите подпись в УЦ Контура — это надежно и безопасно. Мы работаем на рынке больше 17 лет и выдаем сертификаты подписей, соблюдая все меры безопасности, имеем аккредитацию Минкомсвязи и необходимые лицензии ФСБ России.
Получить электронную подпись
Как проверить подлинность подписи
Проверку подписи проводят, чтобы убедиться в юридической силе документа. Это нужно, если партнеры отправляют документы не через системы ЭДО. Например, заказчик принимает заявки от участников тендера не через торговую площадку, а обычной электронной почтой.
Проверить подлинность электронной подписи можно через специальные сервисы.
Сервис КриптоПро
Контур.Крипто
Сайт госуслуг
Как работает квалифицированная электронная подпись
Технически КЭП — сгенерированный файл с уникальной последовательностью цифр, который прикрепляется к документу.
Электронная подпись состоит из трех компонентов:
Закрытый ключ — набор символов, с помощью которого создается уникальная электронная подпись для документа. Закрытый ключ можно хранить на компьютере, диске, флешке, в облаке, но лучше всего использовать токен.
Токен — специальный USB-носитель для электронной подписи. Внешне он похож на обычную флешку. В токен встроена защищенная карта памяти, поэтому использовать его безопаснее: никто не сможет взломать или перехватить вашу подпись в интернете.
Открытый ключ содержит публичную информацию. По нему получатель документа может проверить подлинность подписи и целостность документа.
Для работы с подписью нужна специальная программа — СКЗИ, средство криптографической защиты информации. Она шифрует и дешифрует электронные документы. Есть разные СКЗИ: КриптоПро CSP, Signal-COM CSP, ЛИССИ-CSP, VipNet CSP. Когда пойдете получать подпись, в удостоверяющем центре расскажут, какую программу нужно будет использовать.
Подписание документа, по сути, процесс взаимодействия открытого и закрытого ключей. К примеру, вы хотите отправить договор партнеру через систему электронного документооборота (ЭДО). Упрощенно, процесс такой:
- Вы подписываете документ в системе. С помощью СКЗИ для договора создается хэш-сумма — уникальная последовательность цифр, которая генерируется на основе содержания документа.
- Хэш-сумма шифруется с помощью закрытого ключа. Это и есть уникальная подпись договора.
- Вы отправляете зашифрованный документ партнеру через систему ЭДО. Этот документ передается вместе с подписью и данными сертификата, где указан открытый ключ.
- Партнер получает документ. С помощью открытого ключа он расшифровывает документ. СКЗИ на стороне получателя тоже вычисляет хэш-сумму и сравнивает ее с той, которую вы зашифровали при подписании документа.
Если эти две последовательности чисел совпадают, подпись верна, договор подписан и имеет юридическую силу. Если не совпадают, значит, документ меняли после подписания: подпись признается недействительной, а договор не имеет юридической силы.
Нарушитель в системе – пиши пропало!
Свойства ключевых носителей обоих описанных выше типов не делают их безупречными – есть достаточно строгие условия применения таких устройств. Основное условие – отсутствие у противника возможности производить какие-либо действия непосредственно внутри пользовательской системы и канала связи с носителем.
Вполне естественно выделить три точки, в которых злоумышленник может перехватывать информацию, циркулирующую между токеном и пользовательской системой.
Во-первых, это сама машина пользователя. Примером такого злоумышленника может служить шпионская программа (RAT – Remote Access Tool). В этом случае он может перехватывать параметры вызовов функций, данные, которыми обмениваются приложения и т.п. В этом случае ни о какой безопасности вообще не может идти и речи – говоря о ключевых носителях, злоумышленник просто перехватит пароль, введенный пользователем, а далее может делать что угодно.
Причем он может достичь своих целей для любого из рассмотренных типов носителей – он же знает пароль! В связи с этим, непременным требованием по эксплуатации всех типов ключевых носителей является отсутствие злоумышленника в системе, где работает пользовательское приложение. Выполнение этого требования может достигаться как организационными, так и иными мерами защиты информации.
Отметим, что время от времени появляются работы, связанные с исследованием защищенности токенов в модели с нарушителем в системе. Учитывая все вышеизложенное, с точки зрения защищенности ключевых носителей, такие исследования подобны исследованиям прочности китайского фарфора против железного молотка.
Второй точкой перехвата может быть сам токен. Если мы предполагаем, что злоумышленник имел возможность загрузить в сам ключевой носитель какую-либо вредоносную функциональность, то доверия подобным устройствам в принципе быть не может, поэтому и защита от подобных атак лежит целиком на производителях устройств.
Пассивное хранилище и автономный вычислитель
Для начала рассмотрим два типа ключевых носителей, принципы работы которых являются наиболее простыми для понимания. Первый тип – пассивный носитель, представляющий собой защищенное хранилище ключей; носители второго типа являются автономными вычислительными устройствами, которые предоставляют доступ лишь к результату использования хранимого ключа (например, к вычисленной электронной подписи от переданных данных). Оба устройства выполняют свою основную задачу лишь в том случае, если пользователь ввел правильный пароль.
Пассивный носитель умеет только хранить ключ и передавать его приложению, работающему в операционной системе на стороне пользователя, которое уже решает, что с ним делать. В большинстве случаев в роли этого приложения выступает криптопровайдер, который в случае успешного предъявления токену пароля загружает ключ в свою память и выполняет необходимые криптографические операции. По подобной схеме работает, например, КриптоПро CSP 3.9.
У носителей-хранилищ есть одно неотъемлемое свойство, которое многими ошибочно воспринимается как явный недостаток. Речь идет о принципиальной извлекаемости ключа. Все существенные операции, зависящие от ключа, производятся приложением, работающим на машине пользователя, поэтому ключ неизбежно присутствует в оперативной памяти – это естественное свойство такого рода носителей, которое непременно упоминается в документации на него.
Позже мы рассмотрим возможности нарушителей при проведении атак на токены, и покажем, что защищенность решений на основе пассивных носителей в подавляющем большинстве случаев ничем не уступает защищенности активных токенов.
Активные токены, как и носители-хранилища, тоже хранят внутри себя ключ пользователя, но единственное, что может получить пользователь от этого носителя – это результат выполнения криптографических операций с использованием хранимого ключа. При этом основное свойство получаемых от такого носителя данных состоит в том, что по ним нельзя (точнее, должно быть нельзя: существует ряд работ, демонстрирующих для ряда конкретных токенов обратное) восстановить ключ.
Такой носитель снабжен гораздо более мощными по сравнению с носителем-хранилищем вычислительным ядром и программным обеспечением, основная цель которых – производить необходимые криптографические вычисления. В подобных устройствах ключ не выходит за пределы памяти носителя, является неизвлекаемым.
Дополнительно отметим, что некоторые активные носители имеют возможность сделать ключ извлекаемым, но эта функция по умолчанию всегда неактивна, а в документации всегда упоминается, как «нежелательная к применению».
Функциональный ключевой носитель – защищенность от противника в канале
Для того чтобы устранить ограничение, связанное с отсутствием злоумышленника в канале связи между машиной и носителем, существует специальный тип токенов, которые принято называть функциональными ключевыми носителями (сокращенно, ФКН).
Эти носители, как и активные носители, рассмотренные выше, предоставляют пользователю возможность получить лишь результат вычислений, в которых участвует ключ. Отличие состоит в том, что эти вычисления разделены между пользовательским приложением, использующим токен, и самим токеном.
В настоящее время нашей компанией разрабатывается усовершенствованный протокол взаимодействия между пользовательским приложением и токеном для линейки продуктов ФКН CSP 4.0. Он основан на протоколе семейства EKE – протоколе аутентифицированной выработки общего ключа под защитой пароля.
Использование этого протокола позволяет математически строго обеспечить такой же уровень защищенности от противника в канале, что и от противника, имеющего физический доступ к носителю, защита от которого, напомним, обеспечивается на аппаратном уровне.
Таким образом, злоумышленник, имеющий возможность читать и подменять сообщения в канале, не сможет ни узнать пароль, ни даже получить возможность перебирать пароли неинтерактивно, то есть без контроля со стороны токена. Это свойство удается обеспечить за счет того, что пароль используется лишь для защиты передаваемых по каналу компонент вырабатываемого общего ключа – эфемерных открытых ключей протокола Диффи-Хеллмана.
Таким образом, для того, чтобы получить критерий для подбора пароля без взаимодействия с токеном, нужно восстановить хотя бы одну из этих компонент, что является известной трудной задачей – вычислительной задачей Диффи-Хеллмана (CDH). После установления соединения взаимодействие с носителем производится по каналу защищенного обмена сообщениями (ЗОС или Secure Messaging), в котором весь обмен данными происходит в зашифрованном виде.
Итого
Итак, подведем итоги.
Получить доступ к ключу на носителе можно только в том случае, если пользователь ввел правильный пароль. Использование токенами счетчиков количества вводов неправильных паролей не позволяет злоумышленнику бесконтрольно перебирать ключ, если он получил физический доступ к носителю. В этом основное отличие токенов от простых флэшек с записанными на них ключевыми файлами, защищенными паролем.
Существуют три основных вида токенов, обладающих разными свойствами по отношению к противнику, контролирующему канал связи токен-машина:
Все виды токенов уязвимы по отношению к противнику, работающему внутри пользовательской системы – эта уязвимость принципиально неустранима при использовании ключевых носителей. В этом случае у токена нет даже теоретической возможности отличить легального пользователя от злоумышленника.
На данный момент компанией «КРИПТО-ПРО» совместно с ведущими производителями ключевых носителей разработаны следующие продукты:
Первые три продукта работают с носителями по защищенной технологии ФКН, последний разработан для взаимодействия с картами УЭК.
Использование же пассивных устройств является классической схемой для криптопровайдера КриптоПро CSP (3.6, 3.6.1, 3.9, 4.0). Он работает c широким спектром производителей токенов и смарт-карт, в частности:
Смышляев С.В., к.ф.-м.н.,
начальник отдела защиты информации
ООО “КРИПТО-ПРО”
Алексеев Е.К., к.ф.-м.н.,
инженер-аналитик 1 категории
ООО “КРИПТО-ПРО”
Агафьин С.С.,
инженер-программист 1 категории
ООО “КРИПТО-ПРО”
Прохоров А.С.,
инженер-аналитик 2 категории
ООО “КРИПТО-ПРО”
