У Системі буде реалізований захищений доступ до системи на рівні логінів/паролів підключення до Системи, які шифруватимуться за алгоритмом хешування MD5. Також буде шифруватися доступ до ядра системи та всіх окремих елементів (локальні мережі контакт-центрів, автоматизоване робоче місце (АРМ), підключені мережеві пристрої, пристрої модуляції сигналів тощо). Зв’язок між елементами системи будуватиметься на технології шифрованих тунелів, які разом об’єднуються у загальну внутрішню мережу.
Для забезпечення конфіденційності та цілісності даних, що передаються між сервером програмних застосувань та АРМ користувачів, а також двохфакторної автентифікації користувачів АРМ, буде використовуватися програмний засіб криптографічного захисту інформації, який відповідає наступним загальним вимогам:
Має позитивний експертний висновок Державної служби спеціального зв'язку та захисту інформації України за результатами державної експертизи в сфері криптографічного захисту інформації щодо відповідності вимогам нормативних документів системи криптографічного захисту інформації України.
Функціонує як невід’ємна частина Системи з визначеним переліком функцій.
Має можливість бути використаним у складі будь-якої інформаційної системи (автоматизованої системи), яка реалізована у якості портального рішення.
Реалізує наступні механізми:
контроль цілісності програмного забезпечення;
тестування на правильність функціонування та блокування роботи в разі виявлення порушень;
захист від порушення конфіденційності інформації внаслідок помилкових дій користувача або в разі некоректної роботи складових елементів;
захист ключових даних на їх носіях від несанкціонованого зчитування;
захист засобу від здійснення порушником навмисного зовнішнього впливу;
захист від порушення конфіденційності та цілісності ключових даних в ключових документах.
Реалізує алгоритм шифрування даних відповідно до ДСТУ ГОСТ 28147:2009 у режимі гамування із зворотнім зв’язком;
Реалізує наступні формати, структури, протоколи, алгоритми:
позначки часу відповідно до вимог
RFC 3161 «Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)» та вимог до протоколу фіксування часу, що затверджені наказом Мін’юсту, Адміністрації Держспецзв’язку від 20.08.2012 № 1236/5/453 та зареєстровані в Мін’юсті 20.08.2012 за № 1402/21714;
інтерактивного визначення статусу сертифіката відповідно до вимог
RFC 2560 «Internet X.509 Public Key Infrastructure Online Certificate Status Protocol – OCSP» та вимог до протоколу визначення статусу сертифіката, що затверджені наказом Мін’юсту, Адміністрації Держспецзв’язку від 20.08.2012 № 1236/5/453 та зареєстровані в Мін’юсті 20.08.2012 за № 1403/21715;
списку відкликаних сертифікатів відповідно до вимог
RFC 5280 «Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile» та вимог до формату списку відкликаних сертифікатів, що затверджені наказом Мін’юсту, Адміністрації Держспецзв’язку від 20.08.2012 № 1236/5/453 та зареєстровані в Мін’юсті 20.08.2012 за № 1400/21712;
об’єктні ідентифікатори для криптоалгоритмів, що є державними стандартами відповідно до вимог до структури об’єктних ідентифікаторів для криптоалгоритмів, що є державними стандартами, затверджені наказом Мін’юсту, Адміністрації Держспецзв’язку від 20.08.2012 № 1236/5/453 та зареєстровані в Мін’юсті 20.08.2012 № 1399/21711;
запиту на формування сертифіката відкритого ключа, що створюються та обробляються об’єктом експертизи, відповідають вимогам (PKCS#10) Certification Request Syntax Specification;
посиленого сертифіката відкритого ключа, що відповідає вимогам до формату посиленого сертифіката відкритого ключа, що затверджені наказом Мін’юсту та Адміністрації Держспецзв’язку від 20.08.2012 № 1236/5/453 та зареєстровані в Мін’юсті 20.08.2012 за № 1398/21710.
Для забезпечення конфіденційності та цілісності даних при введенні даних з клієнтських АРМ, захищеного збереження інформації про дії користувачів та адміністраторів системи, буде застосований програмний засіб криптографічного захисту інформації, що відповідає наступним загальним вимогам:
Має позитивний експертний висновок Державної служби спеціального зв'язку та захисту інформації України за результатами державної експертизи в сфері криптографічного захисту інформації щодо відповідності вимогам нормативних документів системи криптографічного захисту інформації Україні;
Призначений для забезпечення конфіденційності та цілісності інформації шляхом здійснення її криптографічного перетворення (виконання функцій шифрування та дешифрування) та здійснює розмежування доступу до такої інформації, що зберігається на носіях інформації (жорсткий диск комп’ютера, переносний жорсткий диск, флеш-накопичувач) відповідно до ключових даних та сертифікатів відкритих ключів та забезпечує:
створення та використання шифрованих файлових контейнерів (шифрованих віртуальних дисків);
створення шифрованих контейнерів без файлової системи або з файловою системою NTFS чи FAT;
можливість створення динамічних шифрованих файлових контейнерів;
створення шифрованого носія на основі переносного жорсткого диску, флеш-накопичувача;
можливість шифрування логічних дисків (томів) жорсткого диску комп’ютера, переносного жорсткого диску, флеш-накопичувача;
Реалізований у вигляді набору програмних модулів, готових до використання, та мати можливість бути використаним у якості її окремої та незалежної частини (складової) з визначеним переліком функцій;
Реалізує алгоритм шифрування даних відповідно до ДСТУ 28147:2009 у режимі гамування із зворотнім зв’язком;
Реалізація криптографічних алгоритмів буде здійснюватися бібліотекою функцій криптографічних перетворень, що має позитивний експертний висновок Державної служби спеціального зв'язку та захисту інформації України за результатами державної експертизи в сфері криптографічного захисту інформації.
Для забезпечення захисту інформації, що передається між основним та резервним центром обробки даних, що розміщуються на територіально-рознесених майданчиках, буде застосовуватися програмний засіб криптографічного захисту інформації, що відповідає наступним вимогам:
Має дійсний експертний висновок Державної служби спеціального зв'язку та захисту інформації України щодо відповідності вимогам нормативних документів системи криптографічного захисту інформації;
Реалізує наступні функції:
захист трафіку на рівні автентифікації/шифрування мережевих пакетів по протоколах IPsec AH та/або IPsec ESP;
пакетну фільтрацію трафіку з використанням інформації в полях заголовків мережевого і транспортного рівнів;
контекстну фільтрацію для протоколів TCP і
FTP;
класифікацію та маркування трафіку;
реалізацію заданого протоколу взаємодії (автентифікацію та/або захист трафіку) для кожного захищеного з'єднання, доступ в заданому захищеному режимі тільки для зареєстрованих партнерів по взаємодії;
регульовану стійкість захисту трафіку;
підтримку NAT Traversal Encapsulation;
маскування топології сегмента мережі, що захищається (тунелювання трафіку);
підтримку списку відкликаних сертифікатів (CRL – Certificate Revocation List);
реєстрацію подій;
надання статистики із використанням протоколів SNMP v.1, v.2c;
дистанційне та локальне налаштування (за допомогою командної строки або із використанням графічного інтерфейсу);
підтримку сервісів QoS.
Використовує алгоритм шифрування ДСТУ ГОСТ 28147:2009 у режимі гамування зі зворотнім зв’язком;
Забезпечує пропускну здатність у режимі шифрування для пакетів UDP та ТСР – не менш 1600 Мбіт/сек.
Захист компонентів від несанкціонованого доступу буде виконуватися за рахунок реалізації таких заходів:
- Сеанс клієнт-сервер, під час роботи з проектом через Інтернет, виконується тільки по https протоколу (захист за допомогою SSL сертифікату);
- Для розгортання компонентів проекту, а також для доступу користувачів до серверів застосовується SSH протокол з використанням логіну та паролю доступу та RDP протокол з використанням логіну та паролю;
- SSH протокол працює по нестандартному порту (port:2002);
- RDP протокол працює по нестандартному порту (port:2003);
- Всі процеси запускаються від імені непривілейованих користувачів;
- Доступ до баз даних виконується за допомогою спеціалізованих облікових записів та паролів, які відповідають єдиним заданим політикам безпеки (строк дії пароля, кількість літер, чисел та символів).
Для забезпечення обчислення значення електронного цифрового підпису від даних, що записуються до бази даних ІТС “Звітність” третьої черги, конфіденційності та цілісності даних, що передаються між сервером застосувань та АРМ користувачів з правами адміністратора, двохфакторної автентифікації таких користувачів АРМ буде застосовуватися програмний засіб криптографічного захисту інформації, який вже використовує Система, а саме:
для забезпечення конфіденційності та цілісності даних, що передаються між сервером застосувань та АРМ користувачів, буде застосовуватися програмний засіб криптографічного захисту інформації – “Крипто Автограф” (експертний висновок №05-02-02/819 від 29.02.2016 р.);
для забезпечення конфіденційності та цілісності даних при введенні даних з клієнтських АРМ, а також захищеного збереження інформації про дії користувачів та адміністраторів системи “Криптософт Storage” (експертний висновок №05-02-02/2246 від 23.06.2014 р.).
Розробка та впровадження комплексної системи захисту інформації не є предметом даного договору, її може бути реалізовано в подальшому в рамках окремих робіт.