Zahtjevi za FSB kriptografske informacije. Kako se pripremiti za zakazanu FSB provjeru osobnih podataka? Organizacija sustava kriptografskih mjera zaštite informacija

Korištenje kriptografskih sigurnosnih mjera (CIPF) vrlo je kontroverzna i skliska tema. Međutim, PD Operator ima pravo koristiti CIPF kako bi osigurao zaštitu u slučaju stvarnih prijetnji. Ali nije uvijek jasno kako koristiti ovo pravo. A sada FSB olakšava život; objavljen je dokument metodoloških preporuka, primjenjiv i na državne informacijske sustave i na sve ostale PD operatere. Pogledajmo detaljnije ovaj dokument.

I tako se dogodilo, objavio je 8. centar FSB-a opisivanje preporuka u području razvoja propisa za zaštitu osobnih podataka. Istodobno, preporuča se da ISDN operateri koriste ovaj isti dokument kada razvijaju modele privatnih prijetnji.

Dakle, što FSB misli o tome kako i gdje bi se trebao koristiti CIPF?

Prilično je važno da ovaj dokument objavljeno samo na web stranici FSB-a,nema registracijuu Ministarstvu pravosuđa ine nosi ničiji potpisI- odnosno njegov pravni značaj i obveznost ostaje samo u okviru preporuka. Ovo je važno zapamtiti.

Pogledajmo unutra, preambula dokumenta definira preporuke „za savezna tijela izvršne vlasti... druga državna tijela... koja... donose regulatorne pravne akte kojima se definiraju prijetnje sigurnosti osobnih podataka koje su relevantne pri obradi osobnih podataka u informacijski sustavi ah osobni podaci (u daljnjem tekstu ISPD) koji se koriste u provedbi relevantnih vrsta aktivnosti". Oni. izričito se spominju državni informacijski sustavi.

Međutim, u isto vrijeme, također je preporučljivo voditi se tim istim standardima prilikom razvoja privatni modeli prijetnji operateri informacijskih sustava osobnih podataka koji su odlučili koristiti sredstva kriptografska zaštita informacija(u daljnjem tekstu CIPF) kako bi se osigurala sigurnost osobnih podataka.” Oni. U tom slučaju dokument postaje univerzalan za sve korisnike.

Kada je potrebno koristiti CIPF?

Korištenje CIPF-a za osiguranje sigurnosti osobnih podataka potrebno je u sljedećim slučajevima:

ako osobni podaci podliježu kriptografskoj zaštiti u skladu sa zakonom Ruska Federacija;

ako u informacijskom sustavu postoje prijetnje koje se mogu neutralizirati samo pomoću CIPF-a.

prijenos osobnih podataka komunikacijskim kanalima koji nisu zaštićeni od presretanja informacija koje se njima prenose od strane uljeza ili od neovlaštenih utjecaja na te informacije (primjerice, kod prijenosa osobnih podataka putem javnih informacijsko-telekomunikacijskih mreža);

pohranjivanje osobnih podataka na medije za pohranu, kojima se neovlašteni pristup prekršitelja ne može isključiti korištenjem nekriptografskih metoda i tehnika.

I evo do čega dolazimo. Ako je i druga točka sasvim logična, onda prva nije tako očita. Činjenica je da prema trenutnoj verziji Zakona “O osobnim podacima” ime, prezime i patronim već su osobni podaci. Sukladno tome, svako dopisivanje ili registracija na stranici (uzimajući u obzir koliko je podataka sada potrebno tijekom registracije) formalno potpada pod ovu definiciju.

Ali, kako kažu, nema pravila bez iznimke. Na kraju dokumenta nalaze se dvije tablice. Navedimo samo jedan redak Prijave br. 1.

Trenutna prijetnja:

1.1. izvođenje napada unutar kontroliranog područja.

Razlog nedolaska (spisak malo skraćen):

zaposlenici koji su korisnici ISPD-a, a nisu korisnici CIPF-a, upoznati su s pravilima rada u ISPD-u i odgovornosti za nepoštivanje pravila informacijske sigurnosti;

Korisnici CIPF-a upoznati su s pravilima rada u ISDN-u, pravilima rada s CIPF-om i odgovornosti za nepoštivanje pravila informacijske sigurnosti;

prostor u kojem se nalazi sustav kriptografske zaštite informacija opremljen je ulaznim vratima s bravom, čime se osigurava da su vrata prostora stalno zaključana i otvorena samo za dopušteni prolaz;

odobrena su pravila za pristup prostorijama u kojima se nalaze sustavi kriptografske zaštite informacija u radno i neradno vrijeme, kao iu izvanrednim situacijama;

odobren je popis osoba koje imaju pravo pristupa prostorijama u kojima se nalaze sustavi kriptografske zaštite informacija;

provodi se razgraničenje i kontrola pristupa korisnika zaštićenim resursima;

provodi se registracija i obračun radnji korisnika s osobnim podacima;

na radnim stanicama i poslužiteljima na kojima je instaliran CIPF:
koriste se certificirana sredstva za zaštitu informacija od neovlaštenog pristupa;

Koriste se certificirani proizvodi za zaštitu od virusa.

Odnosno, ako su korisnici upoznati s pravilima i odgovornostima te se primjenjuju mjere zaštite, onda nema razloga za brigu.

Za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u ISPD-u mora se koristiti CIPF koji je prošao postupak ocjenjivanja sukladnosti na propisani način.

Istina, ispod stoji da se popis certificiranih kriptografskih uređaja za zaštitu podataka može pronaći na web stranici TsLSZ FSB. Više je puta rečeno da ocjena sukladnosti nije certifikacija.

u nedostatku onih koji su prošli postupak ocjene sukladnosti za CIPF u skladu s utvrđenom procedurom... u fazi idejnog projekta ili idejnog (nacrta tehničkog) projekta, izrađivač informacijskog sustava, uz sudjelovanje operatera (ovlaštena osoba) i predlagača izrađivača CIPF-a, izrađuje obrazloženje izvedivosti razvoja novog tipa CIPF-a i utvrđuje zahtjeve za njegova funkcionalna svojstva.

To me stvarno veseli. Činjenica je da ovjera Proces je vrlo dug - do šest mjeseci ili više. Korisnici često koriste najnovije operativne sustave koje certificirana verzija ne podržava. Sukladno ovom dokumentu kupci mogu koristiti proizvode koji su u postupku certificiranja.

U dokumentu se navodi sljedeće:

Pri korištenju komunikacijskih kanala (linija) s kojih je nemoguće presresti zaštićene informacije koje se njima prenose i (ili) u kojima je nemoguće izvršiti neovlaštene utjecaje na te informacije, kada Opći opis informacijski sustavi moraju navesti:

opis metoda i sredstava zaštite tih kanala od neovlaštenog pristupa njima;

zaključke koji se temelje na rezultatima istraživanja sigurnosti ovih komunikacijskih kanala (linija) od neovlaštenog pristupa zaštićenim informacijama koje putem njih prenosi organizacija koja ima pravo provoditi takva istraživanja, s pozivom na dokument koji sadrži te zaključke.

sigurnosna svojstva (povjerljivost, cjelovitost, dostupnost, autentičnost) koja se moraju osigurati za obrađene osobne podatke;

komunikacijske kanale (linije) koji se koriste u svakom podsustavu ili u informacijskom sustavu kao cjelini, uključujući kabelski sustavi, te mjere za ograničavanje neovlaštenog pristupa zaštićenim informacijama koje se prenose tim komunikacijskim kanalima (vodovima), s naznakom komunikacijskih kanala (vodova) u kojima je neovlašteni pristup zaštićenim informacijama koje se njima prenose nemoguć, te mjere koje se provode za osiguranje te kvalitete;

mediji zaštićenih informacija koji se koriste u svakom podsustavu informacijskog sustava ili u informacijskom sustavu u cjelini (s izuzetkom komunikacijskih kanala (linija).

Međutim, ovdje postoji mnogo nijansi: računovodstvo i skladištenje alata za šifriranje, pristup CIPF-u i propisi za njihovu upotrebu moraju se provoditi u strogom skladu sa zakonskim zahtjevima.

Kršenje pravila informacijske sigurnosti, prema članku 13.12 Zakonika o upravnim prekršajima Ruske Federacije, može povlačiti za sobom niz sankcija: novčane kazne za službenike i organizacije, kao i oduzimanje samih sredstava za kripto zaštitu. Posljedica može biti nemogućnost slanja elektroničkih izvješća ili blokada rada ustanove u sustavu razmjene podataka.

Redoviti nadzor nad korištenjem alata za šifriranje koji se koriste za osiguranje sigurnosti osobnih podataka (u daljnjem tekstu PD) provodi se temeljem zahtjeva sljedećih propisa:

Savezni zakon od 27. srpnja 2006. br. 152-FZ „O osobnim podacima”;
Naredba FSB-a Rusije od 10. srpnja 2014. br. 378;
Uputa FAPSI br. 152 od 13.06.2001.
i niz drugih regulatornih dokumenata.

Plan inspekcije FSB-a za godinu objavljen je na službenoj web stranici Ureda glavnog tužitelja Ruske Federacije. Ovdje svaka organizacija, koristeći svoj TIN ili OGRN, može saznati o predstojećim inspekcijama ove godine, njihovom trajanju i razdoblju.

Kako bi se pripremili za inspekciju FSB-a, potrebno je poduzeti niz organizacijskih mjera, izraditi i odobriti dokumente koji se odnose na rad s kriptografskom zaštitom informacija.

Odgovori na sljedeća pitanja pomoći će vam da sistematizirate svoju pripremu za inspekciju i usredotočite se na potrebne mjere:

Ima li organizacija sredstva za kriptografsku zaštitu informacija? Postoje li dokumenti za njihovu nabavu, vodi li se evidencija? Koji dokumenti reguliraju prijenos CIPF-a za otuđenje i korištenje?
Koji je odjel u poduzeću odgovoran za rad s CIPF-om, naime: sastavljanje zaključaka o mogućnosti korištenja CIPF-a, izrada mjera za osiguranje funkcioniranja i sigurnosti CIPF-a koji se koristi u skladu s uvjetima certifikata izdanih za njih, kopija- usporedno računovodstvo korištenih CIPF-a, operativna i tehnička dokumentacija za njih, računovodstvo servisiranih vlasnika povjerljive informacije, praćenje poštivanja uvjeta korištenja CIPF-a, istraga i izrada zaključaka o činjenicama kršenja uvjeta korištenja CIPF-a, razvoj sheme za organiziranje kriptografske zaštite povjerljivih informacija?
Koji dokumenti reguliraju stvaranje gore navedenog odjela, kao i koji dokumenti određuju osobe odgovorne za provođenje radnji unutar ovog odjela?
Jesu li razvijeni propisi za evidentiranje i pohranjivanje CIPF-a?
Jesu li obrasci knjigovodstvenih dnevnika CIPF odobreni i kako se održavaju?
Je li definiran krug odgovornih osoba i odgovornost u slučaju kršenja pravila za rad s CIPF-om?
Kako se provodi pohrana i omogućavanje pristupa SZKI?

Svi dokumenti moraju biti odobreni od strane čelnika ili ovlaštene osobe organizacije; nisu potrebne oznake tajnosti, ali dokumenti moraju biti namijenjeni samo zaposlenicima organizacije i inspektorima.

Naše iskustvo u podršci klijentima tijekom inspekcija FSB-a omogućilo nam je identificirati najtipičnije blokove na koje regulatorno tijelo obraća pozornost.

1. Organizacija sustava organizacijskih mjera zaštite osobnih podataka

Što se provjerava		Savjet
Opseg primjene CIPF-a u informacijskim sustavima osobnih podataka; Dostupnost dokumenata odjela i naloga o organizaciji kriptografske zaštite	Odsječni dokumenti i naredbe o organiziranju kriptografske zaštite informacija	Potrebno je uputiti na dokumente koji definiraju obavezna uporaba CIPF za obradu i prijenos informacija. Što se tiče zaštite osobnih podataka u državnim sustavima, radi se o 17. i 21. Naredbi FSTEC-a

Što se provjerava

Savjet

Opseg primjene CIPF-a u informacijskim sustavima osobnih podataka;

Dostupnost dokumenata odjela i naloga o organizaciji kriptografske zaštite

Odsječni dokumenti i naredbe o organiziranju kriptografske zaštite informacija

Potrebno je uputiti na dokumente koji definiraju obavezna uporaba CIPF za obradu i prijenos informacija. Što se tiče zaštite osobnih podataka u državnim sustavima, radi se o 17. i 21. Naredbi FSTEC-a

2. Organizacija sustava mjera zaštite kriptografskih informacija

3. Dozvole i radna dokumentacija

Što se provjerava	Koje dokumente je potrebno dostaviti	Savjet
Dostupnost potrebnih licenci za korištenje CIPF-a u informacijskim sustavima osobnih podataka; Dostupnost potvrda o sukladnosti za korišteni CIPF; Dostupnost operativne dokumentacije za CIPF (obrasci, pravila rada, priručnik za rukovanje itd.); Postupak evidentiranja CIPF-a, operativna i tehnička dokumentacija za njih	Licence i certifikati za korišteni CIPF; Radna dokumentacija za CIPF	Na koje dokumente mislimo: 1) softverske licence, 2) dostupnost distribucija za te licence, stečene zakonito,

Što se provjerava

Koje dokumente je potrebno dostaviti

Savjet

Dostupnost potrebnih licenci za korištenje CIPF-a u informacijskim sustavima osobnih podataka;

Dostupnost potvrda o sukladnosti za korišteni CIPF;

Dostupnost operativne dokumentacije za CIPF (obrasci, pravila rada, priručnik za rukovanje itd.);

Postupak evidentiranja CIPF-a, operativna i tehnička dokumentacija za njih

Licence i certifikati za korišteni CIPF;

Radna dokumentacija za CIPF

Na koje dokumente mislimo:

1) softverske licence,

2) dostupnost distribucija za te licence, stečene zakonito,

4. Zahtjevi za servisno osoblje

Što se provjerava	Koje dokumente je potrebno dostaviti	Savjet
Postupak registracije osoba ovlaštenih za rad u CIPF-u; Dostupnost funkcionalnih odgovornosti odgovornih korisnika CIPF-a; Popunjenost stalnih radnih mjesta kadrovima i njihova dostatnost za rješavanje problema organiziranja kriptografske zaštite informacija; Organizacija procesa obuke osoba koje koriste CIPF	Odobrene liste; Dokumenti koji potvrđuju funkcionalne odgovornosti zaposlenika; Dnevnik korisnika kriptografskih alata; Dokumenti koji potvrđuju završetak obuke zaposlenika	Morate imati sljedeće dokumente: 1) upute za rad s CIPF-om, 2) imenovanje internim nalozima odgovornih za rad sa CIPF-om

Što se provjerava

Koje dokumente je potrebno dostaviti

Savjet

Postupak registracije osoba ovlaštenih za rad u CIPF-u;

Dostupnost funkcionalnih odgovornosti odgovornih korisnika CIPF-a;

Popunjenost stalnih radnih mjesta kadrovima i njihova dostatnost za rješavanje problema organiziranja kriptografske zaštite informacija;

Organizacija procesa obuke osoba koje koriste CIPF

Odobrene liste;

Dokumenti koji potvrđuju funkcionalne odgovornosti zaposlenika;

Dnevnik korisnika kriptografskih alata;

Dokumenti koji potvrđuju završetak obuke zaposlenika

Morate imati sljedeće dokumente:

1) upute za rad s CIPF-om,

2) imenovanje internim nalozima odgovornih za rad sa CIPF-om

5. Djelovanje CIPF-a

Što se provjerava	Koje dokumente je potrebno dostaviti	Savjet
Provjera ispravnog puštanja u rad; Ocjena tehničkog stanja sustava kriptografske zaštite informacija; Poštivanje rokova i potpunost Održavanje; Provjera poštivanja pravila za korištenje CIPF-a i postupak postupanja s ključnim dokumentima u vezi s njima	Potvrde o puštanju CIPF-a u rad; Dnevnik kopirnog računovodstva CIPF-a; Dnevnik evidentiranja i izdavanja medija s ključnim informacijama	Potrebno je izraditi sljedeće dokumente: 1) potvrde o ugradnji CIPF-a, 2) nalog za odobravanje obrazaca očevidnika

Što se provjerava

Koje dokumente je potrebno dostaviti

Savjet

Provjera ispravnog puštanja u rad;

Ocjena tehničkog stanja sustava kriptografske zaštite informacija;

Poštivanje rokova i potpunost Održavanje;

Provjera poštivanja pravila za korištenje CIPF-a i postupak postupanja s ključnim dokumentima u vezi s njima

Potvrde o puštanju CIPF-a u rad;

Dnevnik kopirnog računovodstva CIPF-a;

Dnevnik evidentiranja i izdavanja medija s ključnim informacijama

Potrebno je izraditi sljedeće dokumente:

1) potvrde o ugradnji CIPF-a,

2) nalog za odobravanje obrazaca očevidnika

6. Organizacijske mjere

Što se provjerava	Koje dokumente je potrebno dostaviti	Savjet
Ispunjavanje uvjeta za smještaj, posebnu opremu, sigurnost i organizaciju režima u prostorijama u kojima su instalirani sustavi kriptografske zaštite informacija ili se pohranjuju ključni dokumenti za njih; Sukladnost načina pohrane CIPF-a i ključne dokumentacije sa zahtjevima; Procjena stupnja do kojeg je operater opskrbljen kriptoključevima i organiziranje njihove dostave; Provjera dostupnosti uputa za ponovno uspostavljanje komunikacije u slučaju kompromitacije postojećih ključeva CIPF-a	Radna dokumentacija za CIPF; Prostori dodijeljeni za instalaciju CIPF-a i skladištenje ključnih dokumenata za njih; Upute u slučaju kompromitacije postojećih CIPF ključeva	1) Usklađenost sa zahtjevima Upute 152 FAPSI. Ovisi o specifičnim uvjetima; može zahtijevati ugradnju zaštite, postavljanje zavjesa na prozore, kupnju sefa itd. 2) Upute za rad sa CIPF-om

Što se provjerava

Koje dokumente je potrebno dostaviti

Savjet

Ispunjavanje uvjeta za smještaj, posebnu opremu, sigurnost i organizaciju režima u prostorijama u kojima su instalirani sustavi kriptografske zaštite informacija ili se pohranjuju ključni dokumenti za njih;

Sukladnost načina pohrane CIPF-a i ključne dokumentacije sa zahtjevima;

Procjena stupnja do kojeg je operater opskrbljen kriptoključevima i organiziranje njihove dostave;

Provjera dostupnosti uputa za ponovno uspostavljanje komunikacije u slučaju kompromitacije postojećih ključeva CIPF-a

Radna dokumentacija za CIPF;

Prostori dodijeljeni za instalaciju CIPF-a i skladištenje ključnih dokumenata za njih;

Upute u slučaju kompromitacije postojećih CIPF ključeva

1) Usklađenost sa zahtjevima Upute 152 FAPSI. Ovisi o specifičnim uvjetima; može zahtijevati ugradnju zaštite, postavljanje zavjesa na prozore, kupnju sefa itd.

2) Upute za rad sa CIPF-om

Svi gore navedeni zahtjevi proizlaze iz Pravilnika o provođenju FSB inspekcija. Konkretne radnje provode se sukladno Naredbi FAPSI broj 152 od 13. lipnja 2001. godine.

Usklađenost s barem dijelom zahtjeva značajno će povećati vjerojatnost prolaska svih regulatornih postupaka bez kazne. Općenito, nema suvišnosti u zahtjevima; sve radnje su doista važne i rade na zaštiti interesa organizacije.

Nikita Jarkov, voditeljica grupe za licenciranje u SKB Kontur, projekt Kontur-Sigurnost

Registarski N 33620

U skladu s dijelom 4. članka 19. Saveznog zakona od 27. srpnja 2006. N 152-FZ „O osobnim podacima” 1 Naručujem:

odobriti priloženi sastav i sadržaj organizacijskih i tehničkih mjera za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka korištenjem kriptografskih alata za zaštitu informacija potrebnih za ispunjavanje zahtjeva koje je utvrdila Vlada Ruske Federacije za zaštitu osobnih podataka za svaku razinu sigurnosti.

Redatelj A. Bortnikov

1 Zbirka zakonodavstva Ruske Federacije, 2006., br. 31 (I. dio), čl. 3451; 2009, N 48, čl. 5716; N 52 (dio I), čl. 6439; 2010, N 27, čl. 3407; N 31, čl. 4173, čl. 4196; N 49, čl. 6409; N 52 (dio I), čl. 6974; 2011, N 23, čl. 3263; N 31, čl. 4701; 2013, N 14, čl. 1651; N 30 (dio I), čl. 4038.

Primjena

Sastav i sadržaj organizacijskih i tehničkih mjera za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka korištenjem kriptografskih alata za zaštitu informacija potrebnih za ispunjavanje zahtjeva koje je uspostavila Vlada Ruske Federacije za zaštitu osobnih podataka za svakog stupanj sigurnosti

I. Opće odredbe

1. Ovim dokumentom definira se sastav i sadržaj organizacijskih i tehničkih mjera za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka (u daljnjem tekstu: informacijski sustav) primjenom alata za kriptografsku zaštitu informacija (u daljnjem tekstu: kriptografski podaci). zaštita) potrebnih za ispunjavanje zahtjeva koje je utvrdila Vlada Ruske Federacije za zaštitu osobnih podataka za svaku razinu sigurnosti.

2. Ovaj dokument namijenjen je operaterima koji koriste CIPF kako bi osigurali sigurnost osobnih podataka prilikom obrade u informacijskim sustavima.

3. Primjenu organizacijskih i tehničkih mjera definiranih ovim dokumentom osigurava operater, uzimajući u obzir zahtjeve operativnih dokumenata za CIPF koji se koriste za osiguranje sigurnosti osobnih podataka prilikom obrade u informacijskim sustavima.

4. Rad CIPF-a mora se provoditi u skladu s dokumentacijom za CIPF i zahtjevima utvrđenim u ovom dokumentu, kao iu skladu s drugim regulatornim pravnim aktima koji uređuju odnose u relevantnom području.

II. Sastav i sadržaj organizacijskih i tehničkih mjera potrebnih za ispunjavanje zahtjeva koje je utvrdila Vlada Ruske Federacije na zaštitu osobnih podataka za razinu 4 sigurnosti

5. U skladu sa stavkom 13. Zahtjeva za zaštitu osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka, odobrenih Uredbom Vlade Ruske Federacije od 1. studenog 2012. N1119 1 (u daljnjem tekstu: Zahtjevi za Zaštita osobnih podataka), kako bi se osigurala razina 4 zaštite osobnih podataka Prilikom obrade podataka u informacijskim sustavima moraju biti ispunjeni sljedeći zahtjevi:

a) organiziranje sigurnosnog režima prostora u kojem se nalazi informacijski sustav, sprječavanje mogućnosti nekontroliranog ulaska ili boravka u tim prostorima od strane osoba koje nemaju pristup tim prostorima;

b) osiguranje sigurnosti nositelja osobnih podataka;

c) suglasnost čelnika operatera na dokument kojim se utvrđuje popis osoba čiji je pristup osobnim podacima koji se obrađuju u informacijskom sustavu neophodan za obavljanje službenih (radnih) dužnosti;

d) korištenje alata za informacijsku sigurnost koji su prošli postupak procjene usklađenosti sa zahtjevima zakonodavstva Ruske Federacije u području informacijske sigurnosti, u slučajevima kada je korištenje takvih sredstava potrebno za neutraliziranje trenutnih prijetnji.

6. Da bi se ispunio zahtjev naveden u podstavku "a" stavka 5. ovog dokumenta, potrebno je osigurati režim koji sprječava mogućnost nekontroliranog ulaska ili boravka u prostorijama u kojima se nalazi CIPF koji se koristi, CIPF i (ili) nositelji podataka o ključu, autentifikaciji i lozinkama CIPF-a pohranjuju (u daljnjem tekstu Prostor), osobe koje nemaju pravo pristupa Prostorima, što se postiže:

a) opremanje prostorija ulaznim vratima s bravama, osiguravanje da su vrata prostorija uvijek zaključana i otvorena samo za ovlašteni prolaz, kao i pečaćenje prostorija na kraju radnog dana ili opremanje prostorija odgovarajućim tehnički uređaji, signalizirajući neovlašteno otvaranje prostorija;

b) odobravanje pravila za pristup prostorijama tijekom radnog i neradnog vremena, kao iu hitnim situacijama;

c) odobrenje popisa osoba koje imaju pravo pristupa Prostorima.

7. Da bi se ispunio zahtjev naveden u podstavku "b" stavka 5. ovog dokumenta, potrebno je:

a) pohraniti prijenosne računalne medije za pohranu osobnih podataka u sefove (metalne ormare) opremljene unutarnjim bravama s dva ili više duplikata ključeva i uređajima za pečaćenje ključanica ili kombiniranih brava. Ako su samo osobni podaci pohranjeni na prijenosnom mediju za pohranu računala šifriranom pomoću CIPF-a, takvi se mediji mogu pohraniti izvan sefova (metalnih ormara);

b) provoditi postupno računovodstvo strojnih medija osobnih podataka, što se postiže vođenjem dnevnika medija osobnih podataka korištenjem registarskih (tvorničkih) brojeva.

8. Da bi se ispunio zahtjev naveden u podstavku "c" stavka 5. ovog dokumenta, potrebno je:

a) izraditi i odobriti dokument kojim se utvrđuje popis osoba čiji je pristup osobnim podacima koji se obrađuju u informacijskom sustavu neophodan za obavljanje službenih (radnih) dužnosti;

b) ažurirati dokument kojim se utvrđuje popis osoba čiji je pristup osobnim podacima koji se obrađuju u informacijskom sustavu neophodan za obavljanje službene (radne) dužnosti.

9. Kako bi se ispunio zahtjev naveden u podstavku "d" stavka 5. ovog dokumenta, potrebno je za svaku od razina sigurnosti osobnih podataka koristiti CIPF odgovarajuće klase, čime se omogućuje osiguranje sigurnosti osobnih podataka prilikom provedbe ciljanih radnje pomoću hardvera i (ili) softver s ciljem narušavanja sigurnosti osobnih podataka zaštićenih CIPF-om ili stvaranja uvjeta za to (u daljnjem tekstu napad), što se postiže:

a) dobivanje početnih podataka za formiranje skupa pretpostavki o sposobnostima koje se mogu koristiti prilikom kreiranja metoda, pripreme i izvođenja napada;

b) formiranje i odobravanje od strane upravitelja operatera skupa pretpostavki o sposobnostima koje se mogu koristiti u kreiranju metoda, pripremi i provođenju napada, te određivanje na temelju toga i uzimajući u obzir vrstu trenutnih prijetnji potrebne klase CIPF-a ;

c) koriste se za osiguranje potrebne razine sigurnosti osobnih podataka kada se obrađuju u CIPF informacijskom sustavu klase KS1 i više.

10. CIPF klasa KS1 koristi se za neutralizaciju napada, pri stvaranju metoda, pripremi i provođenju kojih se koriste sljedeće mogućnosti:

a) stvaranje metoda, pripremanje i provođenje napada bez uključivanja stručnjaka u području razvoja i analize CIPF-a;

b) stvaranje metoda, priprema i izvođenje napada u različitim fazama životni ciklus CIPF 2;

c) izvođenje napada izvan prostora unutar kojeg se nadzire boravak i djelovanje osoba i/ili vozila (u daljnjem tekstu: kontrolirana zona) 3 ;

d) izvođenje sljedećih napada u fazama razvoja (modernizacija), proizvodnje, skladištenja, transporta CIPF-a i fazi puštanja u rad CIPF-a (radovi na puštanju u pogon):

neovlaštene promjene u sustavu kriptografske zaštite informacija i/ili komponentama hardvera i softvera, zajedno s kojima sustav kriptografske zaštite informacija normalno funkcionira i zajedno predstavljaju radnu okolinu sustava kriptografske zaštite informacija (u daljnjem tekstu: SF) , koji mogu utjecati na ispunjavanje zahtjeva za sustav kriptografske zaštite informacija, uključujući korištenje zlonamjernih programa;

neovlašteno mijenjanje dokumentacije za CIPF i komponente SF-a;

e) izvođenje napada u fazi rada CIPF-a na:

Osobne informacije;

informacije o ključu, autentifikaciji i lozinci CIPF-a;

CIPF softverske komponente;

CIPF hardverske komponente;

SF softverske komponente, uključujući BIOS softver;

SF hardverske komponente;

podaci koji se prenose putem komunikacijskih kanala;

drugi objekti koji se utvrđuju prilikom formiranja skupa prijedloga o sposobnostima koje se mogu koristiti pri kreiranju metoda, pripremi i izvođenju napada, uzimajući u obzir one koje se koriste u informacijskom sustavu informacijske tehnologije, hardver (u daljnjem tekstu - AS) i softver(u daljnjem tekstu softver);

f) dobivanje iz slobodno dostupnih izvora (uključujući informacijsko-telekomunikacijske mreže, čiji pristup nije ograničen na određeni krug osoba, uključujući internetsku informacijsko-telekomunikacijsku mrežu) podataka o informacijskom sustavu u kojem se HZF koristi. Mogu se dobiti sljedeće informacije:

opći podaci o informacijskom sustavu u kojem se koristi CIPF (namjena, sastav, operater, objekti u kojima se nalaze resursi informacijskog sustava);

informacije o informacijskim tehnologijama, bazama podataka, AS-u, softveru koji se koristi u informacijskom sustavu zajedno s HZF-om, osim informacija sadržanih samo u projektnoj dokumentaciji za informacijske tehnologije, baze podataka, AS-u, softveru koji se koristi u informacijskom sustavu zajedno s HZF-om;

opći podaci o zaštićenim podacima koji se koriste tijekom rada CIPF-a;

informacije o komunikacijskim kanalima kojima se prenose osobni podaci zaštićeni HZZF-om (u daljnjem tekstu komunikacijski kanal);

svi mogući podaci koji se prenose na otvorena forma putem komunikacijskih kanala koji organizacijskim i tehničkim mjerama nisu zaštićeni od neovlaštenog pristupa informacijama;

informacije o svim kršenjima pravila rada HZJF-a i SF-a do kojih dolazi u komunikacijskim kanalima koji organizacijskim i tehničkim mjerama nisu zaštićeni od neovlaštenog pristupa informacijama;

podatke o svim kvarovima i kvarovima hardverskih komponenti CIPF-a i SF-a koji se pojavljuju u komunikacijskim kanalima koji organizacijskim i tehničkim mjerama nisu zaštićeni od neovlaštenog pristupa informacijama;

informacije dobivene kao rezultat analize bilo kojih signala iz hardverskih komponenti CIPF-a i SF-a;

g) primjena:

sustavi i softver koji su slobodno dostupni ili se koriste izvan kontroliranog područja, uključujući hardverske i softverske komponente CIPF-a i SF-a;

posebno razvijeni zvučnici i softver;

h) korištenje u fazi operacije kao medija za prijenos od subjekta do objekta (od objekta do subjekta) radnji napada izvedenih tijekom pripreme i (ili) provođenja napada:

komunikacijske kanale koji organizacijskim i tehničkim mjerama nisu zaštićeni od neovlaštenog pristupa informacijama;

kanali za širenje signala koji prate rad CIPF i SF;

i) izvođenje napada iz informacijsko-telekomunikacijskih mreža u operativnoj fazi, čiji pristup nije ograničen na određeni krug osoba, ako informacijski sustavi koji koriste CIPF imaju pristup tim mrežama;

j) korištenje tijekom faze rada AS-a i softvera koji se nalazi izvan kontrolirane zone iz alata informacijskog sustava koji se koriste na mjestima rada HZJF-a (u daljnjem tekstu: standardni alati).

11. CIPF klasa KS2 koristi se za neutralizaciju napada, pri kreiranju metoda, pripremi i provedbi kojih se koriste sposobnosti navedene u stavku 10. ovog dokumenta i najmanje jedna od sljedećih dodatnih sposobnosti:

a) izvođenje napada unutar kontroliranog područja;

b) izvođenje napada u fazi rada CIPF-a na sljedeće objekte:

dokumentacija za CIPF i SF komponente.

Prostori koji sadrže skup programskih i tehničkih elemenata sustava za obradu podataka koji mogu funkcionirati samostalno ili u sklopu drugih sustava (u daljnjem tekstu SVT), na kojima su implementirani CIPF i SF;

c) dobivanje, u okviru dodijeljenih ovlasti, kao i kao rezultat promatranja, sljedećih informacija:

podatke o fizičkim mjerama zaštite objekata u kojima se nalaze resursi informacijskog sustava;

informacije o mjerama za osiguranje kontroliranog područja objekata u kojima se nalaze resursi informacijskog sustava;

podatke o mjerama ograničenja pristupa prostorima u kojima se nalaze elektronički uređaji, u kojima su implementirani CIPF i SF;

d) korištenje redovna sredstva, ograničena mjerama koje se provode u informacijskom sustavu u kojem se koristi CIPF, a usmjerene su na sprječavanje i suzbijanje neovlaštenih radnji.

12. CIPF klasa KS3 koristi se za neutralizaciju napada, pri kreiranju metoda, pripremi i provedbi kojih se koriste sposobnosti navedene u stavcima 10. i 11. ovog dokumenta i najmanje jedna od sljedećih dodatnih sposobnosti:

a) fizički pristup elektroničkim uređajima na kojima su implementirani CIPF i SF;

b) mogućnost posjedovanja hardverskih komponenti CIPF-a i SF-a, ograničenih mjerama implementiranim u informacijskom sustavu u kojem se CIPF koristi, a usmjerenih na sprječavanje i suzbijanje neovlaštenih radnji.

13. CIPF klasa KB koristi se za neutralizaciju napada, pri izradi metoda, pripremi i provedbi kojih se koriste sposobnosti navedene u stavcima 10 - 12 ovog dokumenta i najmanje jedna od sljedećih dodatnih sposobnosti:

a) kreiranje metoda, priprema i provođenje napada uz uključivanje stručnjaka u području analize signala koji prate funkcioniranje CIPF-a i SF-a, te u području korištenja nedokumentiranih (nedeklariranih) mogućnosti aplikacijskog softvera za provedbu napada;

b) provođenje laboratorijskih istraživanja kriptografske zaštite informacija koje se koriste izvan kontroliranog područja, ograničene mjerama koje se provode u informacijskom sustavu u kojem se koristi kriptografski sustav zaštite informacija, a usmjerene su na sprječavanje i suzbijanje neovlaštenih radnji;

c) izvođenje radova na stvaranju metoda i sredstava napada u istraživačkim centrima specijaliziranim za razvoj i analizu CIPF i SF, uključujući korištenje izvorni tekstovi aplikacijski softver uključen u SF koji izravno koristi pozive softverske funkcije CIPF.

14. CIPF klasa KA koristi se za neutralizaciju napada, pri izradi metoda, pripremi i provedbi kojih se koriste sposobnosti navedene u stavcima 10 - 13 ovog dokumenta i najmanje jedna od sljedećih dodatnih sposobnosti:

a) stvaranje metoda, priprema i provođenje napada uz uključivanje stručnjaka u području korištenja nedokumentiranih (nedeklariranih) mogućnosti sistemskog softvera za provedbu napada;

b) sposobnost posjedovanja informacija sadržanih u projektnoj dokumentaciji za hardverske i softverske komponente SF-a;

c) mogućnost posjedovanja svih hardverskih komponenti CIPF-a i SF-a.

15. U procesu formiranja skupa pretpostavki o sposobnostima koje se mogu koristiti za kreiranje metoda, pripremu i izvođenje napada, dodatne mogućnosti, koji nisu uključeni u one navedene u paragrafima 10 - 14 ovog dokumenta, ne utječu na postupak određivanja potrebne klase CIPF-a.

III. Sastav i sadržaj organizacijskih i tehničkih mjera potrebnih za ispunjavanje zahtjeva koje je utvrdila Vlada Ruske Federacije na zaštitu osobnih podataka za razinu 3 sigurnosti

16. U skladu sa stavkom 14. Zahtjeva za zaštitu osobnih podataka, kako bi se osigurala razina 3 sigurnosti osobnih podataka prilikom obrade u informacijskim sustavima, osim ispunjavanja zahtjeva iz stavka 5. ovog dokumenta, potrebno je potrebno za ispunjenje uvjeta za imenovanje službene osobe (djelatnika) odgovorne za osiguranje sigurnosti osobnih podataka u informacijskom sustavu.

17. Za ispunjenje zahtjeva navedenog u stavku 16. ovog dokumenta potrebno je imenovati službenu osobu (zaposlenika) operatora s dovoljnim vještinama odgovornu za osiguranje sigurnosti osobnih podataka u informacijskom sustavu.

18. Da bi se ispunio zahtjev naveden u podstavku "d" stavka 5. ovog dokumenta, potrebno je, umjesto mjere predviđene u podstavku "c" stavka 9. ovog dokumenta, koristiti za osiguranje potrebne razine sigurnosti osobnih podataka prilikom obrade u informacijskom sustavu:

IV. Sastav i sadržaj organizacijskih i tehničkih mjera potrebnih za ispunjavanje zahtjeva koje je utvrdila Vlada Ruske Federacije na zaštitu osobnih podataka za razinu 2 sigurnosti

19. U skladu sa stavkom 15. Zahtjeva za zaštitu osobnih podataka, kako bi se osigurala razina 2 sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima, osim ispunjavanja zahtjeva predviđenih stavcima 5. i 16. ovog dokumenta potrebno je ispuniti zahtjev da je pristup sadržaju dnevnika elektroničkih poruka bio moguć isključivo službenim osobama (zaposlenicima) operatora ili ovlaštenoj osobi kojoj su podaci sadržani u navedenom dnevniku nužni za obavljanje službenih (radnih) poslova. dužnosti.

20. Da bi se ispunio zahtjev naveden u stavku 19. ovog dokumenta, potrebno je:

a) odobrenje od strane čelnika operatera popisa osoba dopuštenih sadržaju dnevnika elektroničkih poruka i održavanje navedenog popisa ažurnim;

b) pružanje informacijskom sustavu automatiziranih sredstava koja registriraju zahtjeve korisnika informacijskog sustava za dobivanje osobnih podataka, kao i činjenice davanja osobnih podataka o tim zahtjevima u dnevnik elektroničkih poruka;

c) osiguravanje informacijskog sustava automatiziranim sredstvima koja isključuju pristup sadržaju elektroničkog dnevnika poruka osoba koje nisu navedene u popisu osoba odobrenom od strane čelnika operatora odobrenom za sadržaj elektroničkog dnevnika poruka;

d) osiguranje periodičnog praćenja rada automatiziranih sredstava navedenih u podstavcima "b" i "c" ovog stavka (najmanje jednom u šest mjeseci).

21. Da bi se ispunio zahtjev naveden u podstavku "d" stavka 5. ovog dokumenta, potrebno je, umjesto mjera predviđenih u podstavku "c" stavka 9. i stavku 18. ovog dokumenta, osigurati traženu razinu sigurnost osobnih podataka prilikom obrade u informacijskom sustavu:

CIPF klasa KB i viša u slučajevima kada su prijetnje tipa 2 relevantne za informacijski sustav;

CIPF klasa KS1 i viša u slučajevima kada su prijetnje tipa 3 relevantne za informacijski sustav.

V. Sastav i sadržaj organizacijskih i tehničkih mjera potrebnih za ispunjavanje zahtjeva koje je utvrdila Vlada Ruske Federacije na zaštitu osobnih podataka za 1 razinu sigurnosti

22. U skladu sa stavkom 16. Zahtjeva za zaštitu osobnih podataka, kako bi se osigurala razina 1 sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima, osim ispunjavanja zahtjeva predviđenih stavcima 5., 16. i 19. ovog dokumenta moraju biti ispunjeni sljedeći zahtjevi:

a) automatsku registraciju u elektroničkom sigurnosnom dnevniku promjena ovlasti zaposlenika operatera za pristup osobnim podacima sadržanim u informacijskom sustavu;

b) osnivanje posebne ustrojstvene jedinice odgovorne za osiguranje sigurnosti osobnih podataka u informacijskom sustavu ili dodjeljivanje njenih funkcija nekoj od postojećih ustrojstvenih jedinica.

23. Da bi se ispunio zahtjev naveden u podstavku "a" stavka 22. ovog dokumenta, potrebno je:

a) opskrbu informacijskog sustava automatiziranim sredstvima koja omogućuju automatsko bilježenje promjena u elektroničkom sigurnosnom dnevniku u ovlastima zaposlenika operatera za pristup osobnim podacima sadržanim u informacijskom sustavu;

b) odraz u elektroničkom sigurnosnom dnevniku ovlasti zaposlenika operatera osobnih podataka za pristup osobnim podacima sadržanim u informacijskom sustavu. Navedene ovlasti moraju odgovarati Odgovornosti na poslu zaposlenici operatera;

c) imenovanje od strane operatora osobe odgovorne za periodično praćenje vođenja elektroničkog sigurnosnog dnevnika i usklađenosti ovlasti zaposlenika operatera iskazanih u njemu s njihovim radnim obvezama (najmanje jednom mjesečno).

24. Da bi se ispunio zahtjev naveden u podstavku "b" stavka 22. ovog dokumenta, potrebno je:

a) provodi analizu izvedivosti stvaranja posebne strukturne jedinice odgovorne za osiguranje sigurnosti osobnih podataka u informacijskom sustavu;

b) formirati zasebnu strukturnu jedinicu odgovornu za osiguranje sigurnosti osobnih podataka u informacijskom sustavu ili dodijeliti njezine funkcije nekoj od postojećih strukturnih jedinica.

25. Da bi se ispunio zahtjev naveden u podstavku "a" stavka 5. ovog dokumenta, za osiguranje razine 1 sigurnosti potrebno je:

a) opremiti prozore prostorija koji se nalaze na prvom i (ili) gornjem katu zgrada, kao i prozore prostorija koji se nalaze u blizini požarnih izlaza i drugih mjesta s kojih neovlaštene osobe mogu ući u prostore, metalnim rešetkama ili kapcima , sigurnosni alarm ili druga sredstva koja sprječavaju nekontrolirani ulazak neovlaštenih osoba u prostorije;

b) opremiti prozore i vrata Prostorija u kojima se nalaze poslužitelji informacijskog sustava metalnim rešetkama, sigurnosnim alarmima ili drugim sredstvima koja sprječavaju nekontrolirani ulazak neovlaštenih osoba u prostor.

26. Da bi se ispunio zahtjev naveden u podstavku "d" stavka 5. ovog dokumenta, potrebno je, umjesto mjera predviđenih u podstavku "c" stavka 9., stavcima 18. i 21. ovog dokumenta, osigurati traženo stupanj zaštite osobnih podataka pri obradi u informacijskom sustavu:

CIPF klasa KA u slučajevima kada su prijetnje tipa 1 relevantne za informacijski sustav;

CIPF klasa KB i viša u slučajevima kada su prijetnje tipa 2 relevantne za informacijski sustav.

1 Zbirka zakonodavstva Ruske Federacije, 2012, N 45, 6257.

2 Faze životnog ciklusa CIPF-a uključuju razvoj (modernizaciju) ovih sredstava, njihovu proizvodnju, skladištenje, transport, puštanje u rad (puštanje u rad) i rad.

3 Granica kontrolirane zone može biti opseg zaštićenog teritorija poduzeća (ustanove), ograde zaštićene zgrade, zaštićeni dio zgrade, dodijeljene prostorije.

Valerij Konjavski
Znanstveni direktor VNIIPVTI,
znanstveni savjetnik OKB SAPR

Svaka operacija s nasumičnim brojem proizvest će nasumični broj. Nasumični niz dodan otvorenom tekstu proizvest će nasumični kriptotekst. Što je gama kvaliteta bolja, manja je vjerojatnost dešifriranja kriptoteksta. Ako je gama doista slučajna, tada se kriptotekst ne može dešifrirati.

Vernamova šifra

Sredstva kriptografske zaštite informacija (CIPF) mogu se podijeliti na sredstva za šifriranje i sredstva Elektronički potpis(RUJAN).

Prijenos raspona u obliku ogromnih rola bušene papirne trake nije bio baš zgodan i prilično skup. Stoga su s njom ponekad nastajali problemi ponovno koristiti i, posljedično, s curenjem važnih informacija.

Kako se koluti bušenih papirnatih traka ne bi prenosili preko skupih kanala, smislili su načine za generiranje duge game iz nasumičnog, ali kratkog ključa. U to je vrijeme bilo lakše prenijeti kratki slučajni ključ nego dugi.

Certificirani CIPF

S pojavom modernih medija za pohranu, situacija se dramatično promijenila i sada nema problema u proizvodnji i prijenosu gigabajta gama - sve dok je DNG dobar. Softverski generatori pseudoslučajnih sekvenci (PSP) ovdje se mogu koristiti samo iz očaja da ne postoji dobar fizički generator.

Kriptografski standardi definiraju nizove operacija koje omogućuju dobivanje sigurno šifriranog otvorenog teksta na temelju dobrog ključa. Međutim, ključevi se ipak moraju izrađivati pomoću dobrih senzora.

Regulator postavlja pravila, ispitni laboratoriji provjeravaju jesu li ispunjeni zahtjevi za operacije, ključeve i nepostojanje utjecaja drugih procesa na te procese - tako nastaju certificirani kriptografski sustavi zaštite informacija.

Enkripcija i elektronički potpis

Gama mora imati sljedeća svojstva:

biti doista slučajan, to jest, formiran fizičkim, analognim, a ne digitalnim procesima;
odgovaraju ili premašuju navedenu veličinu otvorenog teksta;
primijeniti na svaku poruku samo jednom, a zatim uništiti.

Ova šifra se zove Vernam šifra - i to je jedina šifra koja ima apsolutnu kriptografsku snagu. Sada nema potrebe dokazivati njenu snagu, jer je to učinio K. Shannon još 1945. godine. Velika gama duljina, njeno formiranje na temelju fizičkih procesa i zajamčeno uništenje uvjeti su za snagu šifre.

Enkripcija je neophodna kako bi se osiguralo da samo oni koji mogu imaju pristup informacijama. Elektronički potpis služi za evidentiranje volje osobe. A ako CIPF mora ispravno izvršiti kriptografske transformacije u provjerenom okruženju, onda to nije dovoljno za elektronički potpis. Potrebno je poduzeti sve mjere kako bi se slobodna volja osobe. Tome je usmjeren Savezni zakon 63, zbog čega je jedan od njegovih najvažnijih zahtjeva zahtjev za ispravnom vizualizacijom dokumenta koji osoba potpisuje. Dakle, za razliku od CIPF-a, dodane su provjere alata za vizualizaciju za kvalificirani SES. Naravno, provode se i sve potrebne provjere kriptografskih algoritama.

Prilikom analize pojedine sheme elektroničkog potpisa obično se postavlja pitanje: „Je li moguće brzo odabrati dvije različite (smislene) poruke koje će imati iste elektroničke potpise.“ Odgovor je ovdje obično ne. Ako se koristi dobra hash funkcija bez učinkovitog mehanizma za otkrivanje kolizije, napad je gotovo uvijek osuđen na neuspjeh. Mikhail Gruntovich (vidi stranicu 48) postavio je pitanje drugačije: "Je li moguće, imajući dvije poruke, odabrati ključeve potpisa tako da se elektronički potpisi podudaraju?" I pokazalo se da je to iznimno jednostavno za napraviti!

Gruntovichev napad

Razmotrimo specifične uvjete za provedbu ovog napada (u vrlo pojednostavljenoj verziji) na primjeru potpisa prema El-Gamalovoj shemi. Vjera u snagu ove sheme temelji se na (hipotetskoj) složenosti problema diskretnog logaritma, ali ovdje se ne napada problem diskretne matematike.

CIPF mora biti hardverski. Moraju sadržavati fizički RNG potrebne kvalitete i osigurati nepovratnost ne samo ključa potpisa, već i drugih kriptografskih elemenata koji utječu na snagu algoritama.

Uvedimo sljedeću oznaku:

H – kriptografska hash funkcija;
Zn – skup brojeva (0,1, …, n - 1), n – prirodni broj;
a (mod p) – ostatak dijeljenja cijelog broja a s prirodnim brojem p.

Za shemu generiranja potpisa ElGamal:

prosti broj p dovoljne širine je fiksan i g je primitivni element mod p;
privatni ključ potpisa je bilo koji broj x iz Zp.

Izračun potpisa poruke m:

izračunava se hash kod h = H(m);
odabire se slučajni broj k koji je međusobno prost s p - 1:1< k < p - 1;
izračunava se r = g k (mod p);
izračunava se s = k -1 (h - xr) (mod p - 1);
signatura je par c = (r, s).

Sada pogledajmo što napadač treba učiniti da bi izveo napad. Trebao bi generirati hash kodove:

h 1 = H(m 1), h 2 = H(m 2)

i odgovarajući potpisi s istim slučajnim brojem k:

s = k -1 (h 1 - x 1 r) (mod p - 1) i
s = k -1 (h 2 - x 2 r) (mod p - 1).

A to znači da:

h 1 - x 1 r (mod p - 1) = h 2 - x 2 r (mod p - 1).

Neke značajke na koje biste trebali obratiti pozornost kada koristite CIPF.
1. Ako je u dokumentaciji za CIPF naznačeno u kojem se OS-u može koristiti, tada bi se trebao koristiti u ovom sustavu. U suprotnom, čak i ako CIPF radi, i dalje ćete morati provesti istraživanje o ispravnoj integraciji poznatog CIPF-a u novo okruženje. To nije teško (relativno) za hardverske CIPF-ove, ali prilično teško za softverske.
2. Ako hardverski CIPF nema verificirani DFS i nema verificiranih alata za samotestiranje (a drugačije ne može biti u CIPF-u implementiranom na univerzalnim čipovima pametnih kartica), tada obratite pozornost na dokumente o instalaciji i radu. Budući da se odnekud mora dodati entropija i napraviti testiranje, može se pokazati da se ovaj CIPF može autonomno koristiti vrlo kratko vrijeme, npr. dva ili tri dana. Ovo nije uvijek zgodno.
3. Ako vam ponude bilo koji token i kažu da je certificiran za klasu KS2 ili višu, nemojte vjerovati. Najvjerojatnije, dokumentacija zahtijeva da se ovaj token koristi u okruženju zaštićenom elektroničkom bravom. Bez toga klasa neće biti viša od KS1.

Kao što vidite, prilikom odabira ključeva x 1 i x 2 tako da je zadovoljen gornji uvjet, potpisi se podudaraju, unatoč činjenici da su poruke koje se potpisuju različite! Imajte na umu da su za izračunavanje x 2 iz poznatog x 1 potrebni izračuni minimalni u usporedbi s problemom subeksponencijalnog diskretnog logaritma.

Međutim, nije sve tako strašno. Činjenica je da dobiveni rezultati ne diskreditiraju stvarne kriptografska snaga elektroničkog potpisa. Oni pokazuju moguću ranjivost kada zlouporaba EP mehanizmi.

Ovaj primjer jasno pokazuje ranjivosti koje nastaju kada se CIPF implementira na pogrešan način. Opisani napad moguć je ako korisnik zna svoj ključ potpisa i može saznati slučajni broj.

postoji radikalan način za borbu protiv napada ove vrste - da biste to učinili, samo trebate imati uređaj u kojem:

generira se ključ potpisa;
izračunava se ključ provjere potpisa;
javni ključ izvozi, uključujući i za certifikaciju od strane centra za certifikaciju;
Potpisni ključ se koristi za generiranje digitalnog potpisa samo unutar uređaja, ne može se izvesti! Nedavno se takvi uređaji nazivaju uređajima sa ključ koji se ne može ukloniti;
Nasumični broj se nikada ne pojavljuje u računalnom okruženju, on se generira i uništava nakon upotrebe unutar uređaja.

Odavde je jasno da su pouzdanija opcija SEP i CIPF, izrađeni u obliku opreme. U tom slučaju može se osigurati dovoljna kvaliteta RNG-a i pouzdana pohrana ključa potpisa.

Šifriranje

Vratimo se sada enkripciji i razgovarajmo o tome kada i zašto je treba koristiti, kako pojedinaca, i legalno.

Istaknimo prvo glavne vrste enkripcije, a to su pretplatnik i kanal. Kao što nazivi sugeriraju, u slučaju pretplatničke enkripcije, pretplatnik prvo šifrira informacije (datoteku, dokument), a zatim ih u zatvorenom obliku šalje kanalu. Kod enkripcije kanala, sam kanal je zaštićen kriptografskim metodama, a pretplatnik ne mora brinuti o šifriranju informacija prije nego ih prenese preko kanala. Ako je kanal veza od točke do točke, tada se koriste kanalni koderi. Ako kanal nije žica, već aktivna struktura poput Interneta, tada ne treba sve biti šifrirano, već samo podatke. Adrese se ne mogu iskriviti, inače paketi jednostavno neće doći do primatelja. Ovdje se koriste mehanizmi virtualne privatne mreže (VPN). Najpoznatiji protokoli su IPsec i SSL. Gotovo svi VPN proizvodi na tržištu implementiraju jedan od ovih protokola.

VPN

Da biste svjesno odabrali jedan ili drugi proizvod, morate razumjeti kako se razlikuju i na koje ćete poteškoće naići tijekom rada s tim proizvodima. Evo što barem trebate imati na umu:

Kriptografsku zaštitu kanala treba koristiti ako postoji prijetnja da su podaci koje prenosite toliko zanimljivi uljezu da će se pridružiti kanalu i početi “slušati” cijelu vašu razmjenu. Naravno, morate početi sa zaštitom kanala nakon što je interna mreža pouzdano zaštićena, budući da je insajder obično jeftiniji od napada na kanal; 1 oba protokola - ovi protokoli su dizajnirani za interakciju ne između klijenata, već između mreža, pa ih je teško konfigurirati. Tako, životnu važnost imati mrežne sigurnosne kontrole – njih treba odabrati prve;
u skupu TCP/IP protokola IPsec radi na IP sloju, a SSL na TCP sloju. To jest, ako IPsec pruža zaštitu na razini sustava, onda SSL pruža zaštitu na razini aplikacije. Budući da IPsec radi znatno "niže", on samim time "inkapsulira" znatno veći broj protokola u sigurnosnu domenu nego SSL, što je, naravno, bolje;
Kada upravljate VPN-om, vaš glavni zadatak je upravljanje ključevima. Ključeve je potrebno pravovremeno izdati, promijeniti - jednom riječju, njima treba upravljati. Svaki CIPF ima vlastiti sustav za generiranje i upravljanje ključevima. Ako već koristite neki sustav ključeva, nastavite ga koristiti. Nemojte pokretati "zoološki vrt" - održavanje čak i jednog sustava je teško, a kamoli nekoliko - gotovo nemoguć zadatak;
ako je vaš zadatak povezan s osiguranjem aktivnosti mnogih informacijskih objekata raspoređenih u prostoru, tada koristite VPN. Ovo se odnosi samo na one objekte između kojih se intenzivno informacijska interakcija zaštićeni podaci koji napadaču mogu biti toliko zanimljivi da je spreman “osluškivati” kanale. Ako sve ne ide dobro, pokušajte se ograničiti na zaštitu kriptografskih podataka pretplatnika.

Pretplatnik CIPF

Ne karakteriziraju ih algoritmi (definirani standardima), već pomoćni programi koji omogućuju korištenje tih CIPF-ova i uvjeti koji moraju biti ispunjeni. Poželjno je da je prikladno koristiti ta sredstva.

I što je najvažnije, ne zaboravite imati dovoljno zaštitne opreme. Nema potrebe za korištenjem skupih CIPF-ova tamo gdje možete bez njih.

I još nešto: CIPF i SEP koji ispunjavaju sve zahtjeve o kojima smo govorili postoje. Do klase KV2. Ne imenujem ih samo da članak ne postane reklama.

Književnost

Konyavsky V.A. Računalni kriminal. T. II. – M., 2008.
Yashchenko V.V. Uvod u kriptografiju. Nove matematičke discipline. – M., 2001.

Zahtjevi za informacijsku sigurnost pri projektiranju informacijskih sustava ukazuju na karakteristike koje karakteriziraju sredstva informacijske sigurnosti koja se koriste. Definirani su različitim aktima regulatora u području sigurnosti sigurnost informacija, posebno - FSTEC i FSB Rusije. Koje sigurnosne klase postoje, vrste i vrste zaštitne opreme, kao i gdje možete saznati više o tome, prikazani su u članku.

Uvod

Danas su pitanja osiguranja informacijske sigurnosti predmet velike pozornosti, jer tehnologije koje se svugdje implementiraju bez osiguravanja informacijske sigurnosti postaju izvor novih ozbiljnih problema.

Ruski FSB izvještava o ozbiljnosti situacije: iznos štete koju su tijekom nekoliko godina prouzročili napadači diljem svijeta kretao se od 300 milijardi do 1 trilijun dolara. Prema podacima glavnog tužitelja Ruske Federacije, samo u prvoj polovici 2017. u Rusiji se povećao broj kaznenih djela u području visoka tehnologija ušesterostručio, ukupna šteta premašila je 18 milijuna dolara Porast ciljanih napada u industrijskom sektoru u 2017. zabilježen je u cijelom svijetu. Konkretno, u Rusiji je povećanje broja napada u usporedbi s 2016. bilo 22%.

Informacijske tehnologije počele su se koristiti kao oružje u vojno-političke, terorističke svrhe, za uplitanje u unutarnje stvari suverenih država, kao i za činjenje drugih kaznenih djela. Ruska Federacija zalaže se za stvaranje međunarodnog sustava informacijske sigurnosti.

Na području Ruske Federacije nositelji informacija i operateri informacijskih sustava dužni su blokirati pokušaje neovlaštenog pristupa informacijama, kao i kontinuirano pratiti stanje sigurnosti IT infrastrukture. Istodobno, zaštita informacija osigurava se poduzimanjem raznih mjera, uključujući i tehničke.

Alati informacijske sigurnosti, odnosno sustavi zaštite informacija, osiguravaju zaštitu informacija u informacijskim sustavima, koji su u biti skup informacija pohranjenih u bazama podataka, informacijske tehnologije koje osiguravaju njihovu obradu i tehnička sredstva.

Suvremene informacijske sustave karakterizira korištenje različitih hardverskih i softverskih platformi, teritorijalna distribucija komponenti, kao i interakcija s otvorene mreže prijenos podataka.

Kako zaštititi podatke u takvim uvjetima? Odgovarajuće zahtjeve predstavljaju ovlaštena tijela, posebno FSTEC i FSB Rusije. U okviru članka pokušat ćemo prikazati glavne pristupe klasifikaciji sustava informacijske sigurnosti, uzimajući u obzir zahtjeve ovih regulatora. Ostali načini opisivanja klasifikacije informacijske sigurnosti, koji se odražavaju u regulatornim dokumentima ruskih odjela, kao i stranih organizacija i agencija, izvan su opsega ovog članka i dalje se ne razmatraju.

Članak može biti koristan stručnjacima početnicima u području informacijske sigurnosti kao izvor strukturiranih informacija o metodama klasifikacije informacijske sigurnosti na temelju zahtjeva FSTEC-a Rusije (u većoj mjeri) i, ukratko, FSB-a Rusije.

Struktura koja utvrđuje postupak i koordinira pružanje informacijske sigurnosti korištenjem nekriptografskih metoda je FSTEC Rusije (ranije Državna tehnička komisija pri predsjedniku Ruske Federacije, Državna tehnička komisija).

Ako je čitatelj ikada vidio Državni registar certificiranih alata za informacijsku sigurnost, koji je formirao FSTEC Rusije, onda je svakako obratio pozornost na prisutnost u opisnom dijelu svrhe sustava zaštite informacija kao što je "RD SVT razreda”, “razina nepostojanja nesukladnosti s podacima o nesukladnosti” itd. (Slika 1) .

Slika 1. Isječak registra certificiranih uređaja za zaštitu informacija

Klasifikacija alata za kriptografsku zaštitu informacija

FSB Rusije definirao je klase sustava kriptografske zaštite informacija: KS1, KS2, KS3, KV i KA.

Glavne značajke IPS-a klase KS1 uključuju njihovu sposobnost da izdrže napade koji se izvode izvan kontroliranog područja. To podrazumijeva da se stvaranje metoda napada, njihova priprema i implementacija provodi bez sudjelovanja stručnjaka u području razvoja i analize kriptografske informacijske sigurnosti. Pretpostavlja se da se informacije o sustavu u kojem se koriste navedeni sustavi informacijske sigurnosti mogu dobiti iz otvorenih izvora.

Ako kriptografski informacijski sigurnosni sustav može izdržati napade blokirane pomoću klase KS1, kao i one koji se izvode unutar kontroliranog područja, tada takva informacijska sigurnost odgovara klasi KS2. Pretpostavlja se, primjerice, da bi tijekom pripreme napada mogle postati dostupne informacije o fizičkim mjerama zaštite informacijskih sustava, osiguravanju kontroliranog prostora i sl.

Ako je moguće oduprijeti se napadima ako postoji fizički pristup računalnoj opremi s instaliranim kriptografskim sigurnosnim informacijama, kaže se da je takva oprema u skladu s klasom KS3.

Ako se kriptografska informacijska sigurnost odupire napadima, u čije su stvaranje uključeni stručnjaci u području razvoja i analize ovih alata, uključujući istraživačke centre, te je bilo moguće provesti laboratorijske studije sigurnosnih sredstava, tada govorimo o usklađenosti s HF klasom .

Ako su stručnjaci u području korištenja softvera NDV sustava bili uključeni u razvoj metoda napada, bila je dostupna odgovarajuća projektna dokumentacija i postojao pristup bilo kojoj hardverskoj komponenti kriptografskih informacijskih sigurnosnih sustava, tada se zaštita od takvih napada može osigurati pomoću KA klasa.

Klasifikacija sredstava zaštite elektroničkog potpisa

Alati za elektronički potpis, ovisno o sposobnosti podnošenja napada, obično se uspoređuju sa sljedećim klasama: KS1, KS2, KS3, KB1, KB2 i KA1. Ova je klasifikacija slična onoj o kojoj se raspravljalo u odnosu na sigurnost kriptografskih informacija.

zaključke

U članku su ispitane neke metode klasifikacije informacijske sigurnosti u Rusiji, čija je osnova regulatorni okvir regulatora u području zaštite informacija. Razmotrene opcije klasifikacije nisu iscrpne. Ipak, nadamo se da će predstavljeni sažetak informacija omogućiti početniku stručnjaku u području informacijske sigurnosti da se brzo snađe.