Оценка влияния информационных систем и комплексов, с которыми взаимодействуют СКЗИ, на предмет выполнения СКЗИ предъявляемых к ним требований нормативных документов ФСБ России

В современных реалиях область применения СКЗИ и СЗИ постоянно расширяется. При использовании в своих разработках сертифицированных СКЗИ и СЗИ в ряде случаев может быть необходимо проведение работ по оценке влияния (ОВ) или контролю встраивания. Работы по ОВ могут быть как обязательными для некоторых СКЗИ (как например, для СКЗИ Программный модуль Банка России из состава платформы цифрового рубля), так и зависящими от сферы применения разрабатываемой информационной системы и обрабатываемой в ней информации. Так, например, в случае применения сертифицированного СКЗИ для реализации обработки персональных данных, в большинстве случаев может потребоваться проведение оценки влияния. Типовыми примерами разработки ПО, требующей проведения ОВ, могут служить:

• разработка ПО, взаимодействующего с системой ЕСИА (Госуслуги);
• разработка банковского ПО и банковских мобильных сервисов (приложений), подключаемых к платформе цифрового рубля и использующих СКЗИ Банка России.

Проверка соответствия реализации и анализ стойкости криптографических алгоритмов и протоколов

Статус испытательной лаборатории первой категории позволяет ООО «СПб РЦЗИ» проводить полный комплекс исследований шифровальных средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных средств. Результаты исследований представляются в ФСБ России для экспертизы и использования при подготовке заключений (сертификатов соответствия) о соответствии исследованных средств (систем) предъявляемым требованиям и возможности их допуска к эксплуатации.

Исследование функциональных свойств изделий на соответствие заявленным разработчиком и выполнение требований нормативных документов ФСБ России

Исследование функциональных свойств могут быть проведены для следующих видов продукции:

• Программных и аппаратно-программных средств защиты и обработки информации;
• Программных и аппаратно-программных СЗИ от НСД;
• Межсетевых экранов и систем обнаружения компьютерных атак;
• Систем и комплексов в защищенном исполнении.

Помощь разработчику СЗИ на всех этапах разработки с целью последующей сертификации

Подключение сотрудников ООО «СПб РЦЗИ» на ранних этапах разработки СЗИ позволит провести процесс разработки СЗИ с учетом всех предъявляемых к ним требований по информационной безопасности, поможет определить потенциально опасные места в СЗИ и реализовать их наиболее безопасным способом, что в последующем, значительно облегчит процесс сертификации СЗИ.

Сопровождение разработки СЗИ включает:

• Выполнение работ в качестве соисполнителя, либо консультирование при подготовке и согласовании технического задания на разработку СЗИ;
• Консультации по составлению и детализации модели угроз для разрабатываемого СЗИ;
• Консультации по всем аспектам выполнения требований информационной безопасности, предъявляемых к разрабатываемому СЗИ;
• Подготовка предложений по безопасной реализации узких и критически важных мест в разрабатываемом СЗИ для соответствия предъявляемым требованиям по защите информации;
• Помощь в разработке конструкторской, программной и эксплуатационной документации на разрабатываемое СЗИ в части выполнения требований по информационной безопасности;
• Консультации по порядку проведения ТИ разрабатываемого СЗИ и экспертизы материалов по результатам ТИ в экспертной организации;
• Проведение тематических исследований разработанного СЗИ Заказчика на соответствие нормативным документам с целью получения сертификата соответствия.

Осуществление мероприятий и (или) оказание услуг по защите государственной тайны

ООО «СПб РЦЗИ» в своей структуре имеет режимно-секретный орган (РСО), что согласно лицензиям, выданным УФСБ по г. Санкт-Петербургу и Ленинградской области, позволяет предприятию проводить работы с использованием сведений, составляющих государственную тайну, а также осуществлять мероприятия и оказывать услуги сторонним организациям по защите государственной тайны.

Выполнения актуальных программных разработок в области безопасности ПО с ориентацией на отечественные ОС и отечественное прикладное ПО, в том числе учитывая процесс импортозамещения ПО

Традиционные программные разработки

Проверка соответствия реализации и анализ стойкости криптографических алгоритмов и протоколов.

Перспективные программные разработки

Учитывая актуальные задачи современного времени, можем предложить разработку следующих проектов:

• Программный модуль доверенной загрузки (ПМДЗ), реализованный на уровне BIOS (UEFI);
• Разработка ПМДЗ становится актуальной с учётом возможных (и уже возникающих) трудностей у разработчиков аппаратно-программных модулей доверенной загрузки (АПМДЗ), ориентированных (зависимых) на импортную элементную базу;
• Программный модуль периодического контроля и аудита (ПМПКА) прикладного ПО и критических компонентов ОС;
• Совмещенная реализация ПМДЗ и ПМПКА, обменивающихся между собой данными через низкоуровневые аппаратно-программные интерфейсы;
• Реализация программного сервиса шифрования защищаемых данных, расположенных на жестком диске, перед выключением изделия (ПЭВМ); при этом в алгоритм запуска изделия встраивается программный модуль расшифрования необходимых данных.

Для хранения ключевой информации возможно использование внешнего носителя.

Перечисленные программные разработки предполагаются для реализации под системы на базе ОС AstraLinux (также может быть рассмотрена их реализация для других отечественных ОС).

Разработка иных IT-решений в полном или частичном объеме замещающее функционирование зарубежных аналогов программного обеспечения (импортозамещение ПО) с ориентацией на отечественные операционные системы.

Для компаний, продолжающих использование иностранного ПО на критически важной инфраструктуре, могут быть разработаны средства контроля компонентов данного ПО, с целью мониторинга режима работы и отсутствия недокументированного (нештатного) взаимодействия с зарубежными информационными узлами, например, для отправки статистики, отдельных обрабатываемых данных, получения команд управления и прочего.

Готовы выслушать предложения потенциальных Заказчиков, учесть приоритетность задач.

Выполнение работ по подготовке заключения об отсутствии (наличии) шифровальных средств в составе аппаратно-программных изделий

По результатам работы подготавливается заключение по соответствующей форме: «Об отсутствии или наличии шифровальных (криптографических) средств в составе продукции».