Руководство администратора безопасности

127 018, Москва, Сущевский вал, д.16/5 Телефон: (495) 780 4820 Факс: 4095) 780 4820 http://www.CryptoPro.ru E-mail: [email protected]

Средство Криптографической Защиты Информации

КриптоПро CSP Версия 3.6 Руководство администратора безопасности Использование СКЗИ под управлением iOS

ЖТЯИ.00050-03 90 02-07

Листов 12

2011

© OOO "КРИПТО-ПРО", 2000-2011. Все права защищены. Авторские права на средства криптографической защиты информации типа КриптоПро CSP и эксплуатационную документацию к ним зарегистрированы в Российском агентстве по патентам и товарным знакам (Роспатент). Настоящий Документ входит в комплект поставки программного обеспечения СКЗИ КриптоПро CSP версии 3.6; на него распространяются все условия лицензионного соглашения. Без специального письменного разрешения OOO "КРИПТО-ПРО" документ или его часть в электронном или печатном виде не могут быть скопированы и переданы третьим лицам с коммерческой целью.

Содержание

1.Аннотация

Настоящее Руководство дополняет документ "ЖТЯИ.00050-03 90 02. КриптоПро CSP. Руководство администратора безопасности. Общая часть" при использовании СКЗИ под управлением iOS.

Инструкции администраторам безопасности и пользователям различных автоматизированных систем, использующих СКЗИ Error: Reference source not found, должны разрабатываться с учетом требований настоящего документа.

2.Список сокращений

CRL	Список отозванных сертификатов (Certificate Revocation List)
ITU-T	Международный комитет по телекоммуникациям (International Telecommunication Union)
IETF	Internet Engineering Task Force
АС	Автоматизированная система
АРМ	Автоматизированное рабочее место
ГМД	Гибкий магнитный диск
ДСЧ	Датчик случайных чисел
HDD	Жесткий магнитный диск
КП	Конечный пользователь
НСД	Несанкционированный доступ
ОС	Операционная система
ПАК	Программно-аппаратный комплекс
ПО	Программное обеспечение
Регистрация	Присвоение определенных атрибутов (адреса, номера ключа, прав использования и т.п.) абоненту
Регламент	Совокупность инструкций и другой регламентирующей документации, обеспечивающей функционирование автоматизированной системы во всех режимах.
СВТ	Средства вычислительной техники
Сертификат	Электронный документ, подтверждающий принадлежность открытого ключа и определенных атрибутов конкретному абоненту
Сертификация	Процесс изготовления сертификата открытого ключа абонента в центре сертификации
СКЗИ	Средство криптографической защиты информации
СОС	Список отозванных сертификатов (Certificate Revocation List)
СС	Справочник сертификатов открытых ключей. Сетевой справочник.
ЦС	Центр Сертификации (Удостоверяющий Центр)
ЦР	Центр Регистрации
ЭД	Электронный документ
ЭЦП	Электронная цифровая подпись

3.Основные технические данные и характеристики СКЗИ

СКЗИ ЖТЯИ.00050-03 разработано в соответствии с криптографическим интерфейсом фирмы Microsoft - Cryptographic Service Provider (CSP).

3.1.Программно-аппаратная среда

СКЗИ ЖТЯИ.00050-03 под управлением iOS используется в программно-аппаратных средах iOS версии 4.2 и выше.

Со сроками эксплуатации операционных систем, в среде которых функционирует СКЗИ, можно ознакомиться по следующему адресу:

<http://www.apple.com/support/>.

3.2.Варианты исполнения СКЗИ

СКЗИ ЖТЯИ.00050-03 для работы с ОС iOS изготовляется и распространяется в одном варианте исполнения:

Исполнение 1 – СКЗИ класса защиты КС1.

3.3.Ключевые носители

В качестве ключевых носителей закрытых ключей выступает устройство iPad/iPod/iPhone.

4.



Примечания. 1. Хранение закрытых ключей в памяти iPad/iPod/iPhone допускается при условии распространения на HDD или ПЭВМ c HDD требований по обращению с ключевыми носителями, в том числе и после удаления ключей. 2. Перечень ключевых носителей по исполнениям СКЗИ и программно-аппаратным платформам см. Формуляр ЖТЯИ.00050-03 30 01, п.п. 3.8, 3.9.

Установка дистрибутива ПО КриптоПро CSP
Для операционной системы iOS КриптоПро CSP не поставляется в виде конечного приложения. КриптоПро CSP для iOS представляет собой фреймворк для разработки, который содержит в себе объектный файл, реализующий функции CSP, ресурсы и заголовочные файлы. Фреймворк не имеет механизма самостоятельной установки в операционную систему. Установка осуществляется в составе прикладной программы, разработанной на основе фреймворка теми средствами, которые предлагает разработчик прикладной программы.

5.Обновление СКЗИ КриптоПро CSP

Обновление КриптоПро CSP на iOS осуществляется в составе приложения, включающего в себя КриптоПро CSP согласно инструкциям от производителя приложения.

6.Состав и назначение компонент программного обеспечения СКЗИ

Для операционной системы iOS КриптоПро CSP не поставляется в виде конечного приложения. КриптоПро CSP для iOS представляет собой фреймворк для разработки, который содержит в себе объектный файл, ресурсы и заголовочные файлы. Объектный файл CPROCSP содержит в себе реализацию интерфейса CSP и вспомогательных функций. Доступные функции описаны в заголовочных файлах из состава фреймворка.

7.Встраивание СКЗИ КриптоПро CSP в прикладное ПО

При встраивании СКЗИ Error: Reference source not found в прикладное программное обеспечение должны выполняться требования раздела 7 документа "Error: Reference source not found

8.Требования по организационно-техническим и административным мерам обеспечения эксплуатации СКЗИ

Должны выполняться требования по организационно-техническим и административным мерам обеспечения безопасности эксплуатации СКЗИ в объеме раздела 12 документа "Error: Reference source not found

8.1.Общие меры защиты от НСД ПО с установленными СКЗИ для iOS

При использовании СКЗИ ЖТЯИ.00050-03 под управлением iOS необходимо предпринять дополнительные меры организационного и технического характера и выполнить дополнительные настройки операционной системы. При этом ставится задача не только обеспечить дополнительную защиту устройства и ОС от НСД, но и обеспечить бесперебойный режим работы и исключить возможности "отказа в обслуживании", вызванного внутренними причинами (например - переполнением файловых систем).

К организационно-техническим мерам относятся:

• 
  обеспечение физической безопасности устройства;
  
• 
  установка программных обновлений;
  
• 
  организация процедуры резервного копирования и хранения резервных копий.
  

Дополнительные настройки iOS касаются следующего:

• 
  ограничение доступа пользователей и настройки пользовательского окружения;
  
• 
  ограничение сетевых соединений;
  
• 
  ограничения на запуск процессов и установку программ;
  
• 
  дополнительные настройки ядра ОС;
  
• 
  настройка сетевых сервисов;
  
• 
  ограничение количества "видимой извне" информации о системе;
  
• 
  настройка подсистемы протоколирования и аудита.
  

8.1.1.Организационно-технические меры

8.1.1.1.Обеспечение физической безопасности устройства

Следует исключить возможность доступа неавторизованного персонала к устройству. Для этого необходимо либо осуществлять личный контроль за устройством, либо хранить его в запираемом сейфе.

Доступ персонала к устройству должен быть регламентирован внутренним распорядком эксплуатирующей организации и должностными инструкциями.

8.1.1.2.Организация процедуры резервного копирования и хранения резервных копий

При определении регламента резервного копирования и хранения резервных копий следует обеспечить ответственное хранение резервных копий и определить процедуру выдачи резервных копий ответственному персоналу и уничтожения вышедших из употребления носителей (лент, однократно записываемых дисков и пр.).

Резервные копии должны храниться в запираемых сейфах либо в зашифрованном виде на ЭВМ.

Стандартными мерами по организации ответственного хранения носителей являются:

• 
  маркировка носителей;
  
• 
  составление описи хранимых носителей с указанием серийных (инвентарных) номеров, дат записи носителей, фамилией сотрудника, создавшего копию для каждого шкафа(сейфа);
  
• 
  периодическая сверка описи и содержимого сейфов (шкафов);
  
• 
  организация ответственного хранения и выдачи ключей от сейфов (шкафов);
  
• 
  возможное опечатывание (опломбирование) сейфов(шкафов).
  

Уничтожение вышедших из употребления носителей должно производится комиссией с составлением акта об уничтожении.

8.1.1.3.При использовании СКЗИ ЖТЯИ.00050-03 на ПЭВМ, подключенных к общедоступным сетям связи, должны быть предприняты дополнительные меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей.

8.1.1.4.Право доступа к рабочим местам с установленным ПО СКЗИ «КриптоПро CSP» предоставляется только лицам, ознакомленным с правилами пользования и изучившим эксплуатационную документацию на программное обеспечение, имеющее в своем составе СКЗИ ЖТЯИ.00050-03

8.1.1.5.На технических средствах, оснащенных СКЗИ «КриптоПро CSP» должно использоваться только лицензионное программное обеспечение фирм-производителей.

8.1.1.6.На компьютере, к которому подключается устройство, не устанавливаются средств разработки и отладки ПО. Если средства отладки приложений нужны для технологических потребностей организации, то их использование должно быть санкционировано администратором безопасности. В любом случае запрещается использовать эти средства для просмотра и редактирования кода и памяти приложений, использующих СКЗИ ЖТЯИ.00050-03.

8.1.1.7.Должны быть приняты меры по исключению несанкционированного доступа посторонних лиц в помещения, в которых установлены технические средства СКЗИ ЖТЯИ.00050-03, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях.

8.1.1.8.Должно быть запрещено оставлять без контроля вычислительные средства, на которых эксплуатируется СКЗИ ЖТЯИ.00050-03 после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение парольной заставки.

8.1.1.9.Из состава системы должно быть исключено оборудование, которое может создавать угрозу безопасности iOS. Также необходимо избегать использования нестандартных аппаратных средств, имеющих возможность влиять на функционирование устройства или iOS.

8.1.1.10.После инсталляции iOS следует установить все рекомендованные производителем операционной системы программные обновления и программные обновления, связанные с безопасностью, существующие на момент инсталляции.

8.1.2.Дополнительные настройки iOS и операционных систем, к которым устройство подключается через iTunes

8.1.2.1.Индивидуальная настройка iOS

1. 
   В настройках iOS в разделе «General – Passcode Lock» необходимо включить пароли. Необходимо задать сложность пароля и настройки для удаления данных в случае неправильного ввода пароля, соответствующие политике безопасности.
   

8.1.2.2.Корпоративная настройка iOS

Корпоративная настройка iOS выполняется при помощи iPhone Configuration utility. Это ПО можно скачать с сайта разработчика: http://www.apple.com/support/ . Документация по утилите также доступна на сайте разработчика. При помощи iPhone Configuration Utility можно создать профиль настройки для устройства и применить его к одному или нескольким устройствам.

1. 
   Создайте профиль со следующими параметрами:
   
   1. 
      В разделе “passcode” выберите “require passcode on device” и сделайте настройки:
      
      1. 
         Maximum passcode age – 30 days
         
      2. 
         Passcode history 6
         
      3. 
         Задайте сложность пароля и настройки для удаления данных в случае неправильного ввода пароля, соответствующие политике безопасности огранизации.
         
   2. 
      В разделе “restrictions” отключите все разрешения, которые не являются необходимыми для выполнения работы. Отключите «Allow installing apps». Если эта возможность необходима для работы, её необходимо оставить, но настроить ограничения через “mobile device management” (см. ниже).
      
   3. 
      Если в организации имеется сервер для управления мобильными устройствами(Mobile device management server), то в разделе “mobile device management” необходимо настроить подключение к нему. Сервер может быть использован для получения настроек (в том числе новых профилей настроек) и приложений.
      
2. 
   Установите на iPad всё необходимое программное обеспечение и примените конфигурационный профиль. Эти действия также можно сделать централизованно при помощи сервера Mobile device management.
   

8.1.2.3.Настройка ОС, к которой устройство подключается при помощи iTunes

1. 
   Выполните рекомендации по дополнительной настойке ОС из руководства администратора безопасности для соответствующей ОС.
   
2. 
   На компьютер, к котором устройство подключается через iTunes должны быть установлены средства антивирусной защиты.
   
3. 
   Если на устройстве хранятся закрытые ключи, резервные копии устройства, сделанные при помощи iTunes, должны быть зашифрованы. Для зашифрования может быть использовано ПО КриптоПро EFS или средства, предоставляемые операционной системой.
   

8.2.Требования по размещению технических средств с установленным СКЗИ

При размещении технических средств с установленным СКЗИ:

• 
  Должны быть приняты меры по исключению несанкционированного доступа в помещения, в которых размещены технические средства с установленным СКЗИ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в этих помещениях. В случае необходимости присутствия посторонних лиц в указанных помещениях должен быть обеспечен контроль за их действиями и обеспечена невозможность негативных действий с их стороны на СКЗИ, технические средства, на которых эксплуатируется СКЗИ и защищаемую информацию.
  
• 
  Внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях должны обеспечивать исполнителям работ, сохранность доверенных им конфиденциальных документов и сведений, включая ключевую информацию.
  
• 
  В случае планирования размещения СКЗИ в помещениях, где присутствует речевая, акустическая и визуальная информация, содержащая сведения, составляющие государственную тайну, и (или) установлены технические средства и системы приема, передачи, обработки, хранения и отображения информации, содержащей сведения, составляющие государственную тайну, технические средства иностранного производства, на которых функционируют программные модули СКЗИ, должны быть подвергнуты специальной проверке по выявлению устройств, предназначенных для негласного получения информации».
  

9.Требования по криптографической защите

Должны выполняться требования по криптографической защите раздела 12 документа ЖТЯИ.00050-03 90 02 в части, касающейся Mac OS.

Конкретно должны выполняться требования:

1. 
   Использование только лицензионного системного программного обеспечения.
   
2. 
   При инсталляции СКЗИ должны быть обеспечены организационно-технические меры по исключению подмены дистрибутива и внесения изменений в СКЗИ после установки.
   
3. 
   Исключение из программного обеспечения ПЭВМ с установленным СКЗИ средств отладки.
   
4. 
   На рабочие станции, к которым устройство с СКЗИ подключается через iTunes, должны быть установлены средствами антивирусной защиты, сертифицированными Федеральной Службой Безопасности РФ по классу Б2 для рабочих станций.
   
5. 
   Пароль, используемый для аутентификации пользователей, должен содержать не менее 6 символов алфавита мощности не менее 10. Периодичность смены пароля – не реже одного раза в 3 месяца.
   
6. 
   Периодичность тестового контроля криптографических функций - 10 минут.
   
7. 
   Ежесуточная перезагрузка ПЭВМ.
   
8. 
   Периодичность останова ПЭВМ - 1 месяц.
   
9. 
   Запрещается использовать режим простой замены (ЕСВ) ГОСТ 28147-89 для шифрования информации, кроме ключевой.
   
10. 
    Должно даваться предупреждение о том, что при использовании режима шифрования CRYPT_SIMPLEMIX_MODE материал, обрабатываемый на одном ключе, автоматически ограничивается величиной 4 МВ.
    
11. 
    Должно быть запрещено использование СКЗИ для защиты телефонных переговоров без принятия в системе мер по защите от информативности побочных каналов, специфических при передаче речи.
    
12. 
    Должна быть запрещена работа СКЗИ при включенных в ПЭВМ штатных средствах выхода в радиоканал.
    
13. 
    Перед началом работы СКЗИ необходимо провести контроль целостности.
    
14. 
    Контролем целостности должен быть охвачен исполняемый файл приложения, в которое входит СКЗИ.
    

Приложение 1. Контроль целостности программного обеспечения

Программное обеспечение СКЗИ Error: Reference source not found имеет средства обеспечения контроля целостности ПО СКЗИ, которые должны выполняются периодически.

Разработчик прикладной программы, содержащей СКЗИ КриптоПро CSP должен рассчитать хэш приложения. Хэш хранится в ресурсах приложения и контролируется средствами КриптоПро CSP при каждом запуске приложения, а также при нажатии на кнопку «Проверить целостность дистрибутива» из панели КриптоПро CSP

Если в результате периодического контроля целостности появляется сообщения о нарушении целостности контролируемого файла, пользователь обязан прекратить работу и обратиться к администратору безопасности.

Администратор безопасности должен проанализировать причину, приведшую к нарушению целостности и в случае необходимости переустановить приложение, содержащее ПО СКЗИ Error: Reference source not found.

Приложение 2. Управление протоколированием

Для включения/отключения значение log используйте:


a) Mac OS

Для задания уровня протокола

/usr/CPROcsp/sbin/cpconfig –loglevel cpcsp -mask 0x9

Для задания формата протокола

/usr/CPROcsp/sbin/cpconfig –loglevel cpcsp - format 0x19

Для просмотра маски текущего уровня и формата протокола

/usr/CPROcsp/sbin/cpconfig –loglevel cpcsp -view


Значением параметра уровнь протокола является битовая маска:
N_DB_ERROR = 1 # сообщения об ошибках
N_DB_LOG = 8 # сообщения о вызовах

Значением параметра формат протокола является битовая маска:
DBFMT_MODULE = 1 # выводить имя модуля

DBFMT_THREAD = 2 # выводить номер нитки

DBFMT_FUNC = 8 # выводить имя функции

DBFMT_TEXT = 0x10 # выводить само сообщение

DBFMT_HEX = 0x20 # выводить НЕХ дамп

DBFMT_ERR = 0x40 # выводить GetLastError

Лист регистрации изменений