###
  • Programi
  • Sigurnost
  • Vijesti
  • Zanimljiv
  • Savjet
  • Vijesti
  • Recenzije

    • Zahtjevi za FSB kriptografske informacije. Kako se pripremiti za zakazanu FSB provjeru osobnih podataka? Enkripcija i elektronički potpis

    25.05.2021 Vijesti

    Glavni zadaci zaštite informacija tijekom njihove pohrane, obrade i prijenosa putem komunikacijskih kanala i na različitim medijima, koji se rješavaju uz pomoć CIPF-a su: 1.

    Osiguravanje tajnosti (povjerljivosti) podataka. 2.

    Osiguravanje integriteta informacija. 3.

    Potvrda vjerodostojnosti podataka (dokumenata). Za rješavanje ovih problema potrebno je implementirati sljedeće

    procesi: 1.

    Provedba stvarnih funkcija zaštite informacija, uključujući:

    šifriranje/dešifriranje; izrada/provjera digitalnog potpisa; stvaranje/provjera simuliranih umetaka. 2.

    Praćenje stanja i upravljanje radom KZI alata (u sustavu):

    praćenje stanja: detekcija i registracija slučajeva neispravnosti digitalnih sigurnosnih alata, pokušaja neovlaštenog pristupa, slučajeva kompromitacije ključeva;

    upravljanje radom: poduzimanje mjera u slučaju navedenih odstupanja od normalnog funkcioniranja objekata KIS-a. 3.

    Održavanje objekata KZI: implementacija ključnog upravljanja;

    obavljanje postupaka vezanih uz priključenje novih pretplatnika mreže i/ili isključivanje odlazećih pretplatnika; otklanjanje utvrđenih nedostataka CIPF-a; uvođenje novih verzija softver CIPF;

    modernizacija i zamjena tehničkih sredstava CIPF-a naprednijim i/ili zamjena sredstava čiji je radni vijek istekao.

    Upravljanje ključem jedna je od najvažnijih funkcija kriptografske zaštite informacija i sastoji se od implementacije sljedećih glavnih funkcija:

    generiranje ključeva: definira mehanizam za generiranje ključeva ili parova ključeva uz jamstvo njihove kriptografske kvalitete;

    distribucija ključeva: definira mehanizam kojim se ključevi pouzdano i sigurno dostavljaju pretplatnicima;

    pohrana ključeva: definira mehanizam kojim se ključevi sigurno i pouzdano pohranjuju za buduću upotrebu;

    oporavak ključa: definira mehanizam za vraćanje jednog od ključeva (zamjena novim ključem);

    uništavanje ključeva: definira mehanizam kojim se zastarjeli ključevi sigurno uništavaju;

    arhiva ključeva: mehanizam pomoću kojeg se ključevi mogu sigurno pohraniti za njihov daljnji ovjereni oporavak u konfliktnim situacijama.

    Općenito, za provedbu navedenih funkcija kriptografske zaštite informacija potrebno je izraditi sustav kriptografske zaštite informacija koji objedinjuje same digitalne sigurnosne alate, servisno osoblje, prostore, uredsku opremu, raznu dokumentaciju (tehničku, regulatornu i administrativnu) itd.

    Kao što je već navedeno, da bi se dobila jamstva informacijske sigurnosti, potrebno je koristiti certificirane digitalne sigurnosne alate.

    Trenutno je najrašireniji problem zaštite povjerljive informacije. Za rješavanje ovog problema, pod okriljem FAPSI-a, razvijen je funkcionalno cjeloviti set alata za kriptografsku zaštitu povjerljivih informacija, koji omogućuje rješavanje navedenih problema zaštite informacija za najrazličitije primjene i uvjete korištenja.

    Ovaj kompleks se temelji na kriptografskim jezgrama "Verba" (sustav asimetričnih ključeva) i "Verba-O" (sustav simetričnih ključeva). Ove kripto jezgre pružaju postupke šifriranja podataka u skladu sa zahtjevima GOST 28147-89 „Sustavi za obradu informacija.

    Kriptografska zaštita" i digitalni potpis u skladu sa zahtjevima GOST R34.10-94 "Informacijska tehnologija. Kriptografska zaštita informacija. Postupci za razvoj i provjeru elektroničkog digitalnog potpisa na temelju asimetričnog kriptografskog algoritma."

    Sredstva uključena u CIPF kompleks omogućuju vam zaštitu elektronički dokumenti i protok informacija korištenjem certificiranih mehanizama šifriranja i elektroničkih potpisa u gotovo svim modernim informacijskim tehnologijama, uključujući dopuštanje: korištenja CIPF-a u izvanmrežnom načinu rada;

    zaštićen razmjena informacija u izvanmrežnom načinu rada; sigurna razmjena informacija na mreži; zaštićeni heterogeni, t.j. mješovita razmjena informacija.

    Za rješavanje sustavnih problema korištenja CIPF-a, pod vodstvom D. A. Starovoitova, razvijena je Vityaz tehnologija složene kriptografske zaštite informacija, koja pruža kriptografsku zaštitu podataka u svim dijelovima sustava odjednom: ne samo u komunikacijskim kanalima i čvorovima sustava, već također i neposredno na radnim mjestima korisnika tijekom procesa izrade dokumenta, kada je sam dokument zaštićen. Osim toga, u okviru opće tehnologije Vityaz, omogućena je pojednostavljena tehnologija koja je lako dostupna korisnicima za ugradnju licenciranih CIPF-ova u različite aplikacijske sustave, što čini raspon korištenja ovih CIPF-ova vrlo širokim.

    U nastavku slijedi opis sredstava i načina zaštite za svaki od navedenih načina.

    Korištenje CIPF-a u izvanmrežnom načinu rada.

    Kod autonomnog rada s CIPF-om mogu se implementirati sljedeće vrste kriptografske zaštite podataka: stvaranje sigurnog dokumenta; zaštita datoteka;

    stvaranje sigurnog sustav datoteka; stvaranje zaštićenog logičkog pogona. Na zahtjev korisnika mogu se implementirati sljedeće vrste kriptografske zaštite dokumenata (datoteka):

    enkripcija dokumenta (datoteke), koja čini njegov sadržaj nedostupnim kako pri pohranjivanju dokumenta (datoteke), tako i pri prijenosu komunikacijskim kanalima ili ručno;

    izrada simuliranog umetka, koji osigurava kontrolu cjelovitosti dokumenta (datoteke);

    generiranje elektroničkog digitalnog potpisa kojim se osigurava kontrola cjelovitosti dokumenta (datoteke) i autentikacija osobe koja je potpisala dokument (datoteku).

    Kao rezultat, zaštićeni dokument (datoteka) pretvara se u šifriranu datoteku koja sadrži, ako je potrebno, elektronički digitalni potpis. Digitalni potpis, ovisno o organizaciji procesa obrade informacija, može biti prikazan kao posebna datoteka od dokumenta koji se potpisuje. Ova datoteka se zatim može ispisati na disketu ili drugi medij za isporuku kurirom ili poslati putem bilo kojeg dostupnog e-pošta, primjerice putem interneta.

    Sukladno tome, po primitku kriptirane datoteke elektroničkom poštom ili na jednom ili drugom mediju, izvršeni koraci kriptografske zaštite provode se obrnutim redoslijedom (dešifriranje, provjera imitacija, provjera digitalnog potpisa).

    Provoditi život baterije S CIPF-om se mogu koristiti sljedeća certificirana sredstva:

    uređivač teksta "Lexicon-Verba", implementiran na temelju CIPF-a "Verba-O" i CIPF-a "Verba";

    CIPF programski paket „Autonomni radno mjesto", implementiran na temelju CIPF "Verba" i "Verba-O" za Windows 95/98/NT;

    upravljački program za kriptografski disk PTS "DiskGuard".

    Sigurni program za obradu teksta "Lexicon-Verba".

    Sustav Lexikon-Verba je potpuni uređivač teksta s podrškom za enkripciju dokumenata i elektronički digitalni potpis. Za zaštitu dokumenata koristi kriptografske sustave Verba i Verba-O. Jedinstvenost ovog proizvoda je u tome što su funkcije šifriranja i potpisivanja teksta jednostavno uključene u funkcije modernog uređivač teksta. Šifriranje i potpisivanje dokumenta u ovom se slučaju pretvara iz posebnih procesa u jednostavno standardne radnje pri radu s dokumentom.

    U isto vrijeme, sustav Lexicon-Verba izgleda kao obični uređivač teksta. Opcije oblikovanja teksta uključuju potpuna prilagodba fontovi i odlomci dokumenata; tablice i popisi; zaglavlja, bilješke, bočne trake; korištenje stilova i mnoge druge funkcije uređivača teksta koji zadovoljava suvremene zahtjeve. "Lexicon-Verba" omogućuje izradu i uređivanje dokumenata u formatima Lexicon, RTF, MS Word 6/95/97, MS Write.

    Autonomno radno mjesto.

    CIPF "Autonomous Workplace" implementiran je na bazi CIPF "Verba" i "Verba-O" za Windows 95/98/NT i omogućuje korisniku interaktivno obavljanje sljedećih funkcija:

    šifriranje/dešifriranje datoteka pomoću ključeva; šifriranje/dešifriranje datoteka pomoću lozinke; pričvršćivanje/uklanjanje/provjera elektroničkih digitalnih potpisa (EDS) ispod datoteka;

    provjera šifriranih datoteka;

    stavljanje digitalnog potpisa + enkripcija (u jednoj akciji) datoteka; dešifriranje + uklanjanje digitalnog potpisa (u jednoj radnji) ispod datoteka;

    izračun hash datoteke.

    CIPF "Autonomno radno mjesto" preporučljivo je koristiti za svakodnevni rad zaposlenika koji trebaju osigurati:

    prijenos povjerljivih podataka na u elektroničkom obliku ekspresno ili kurirom;

    slanje povjerljivih podataka preko mreže uobičajena uporaba, uključujući internet;

    zaštita od neovlaštenog pristupa povjerljivim informacijama o osobnih računala zaposlenici.

    Zahtjevi za informacijsku sigurnost pri projektiranju informacijskih sustava ukazuju na karakteristike koje karakteriziraju sredstva informacijske sigurnosti koja se koriste. Definirani su različitim aktima regulatora u području sigurnosti sigurnost informacija, posebno - FSTEC i FSB Rusije. Koje sigurnosne klase postoje, vrste i vrste zaštitne opreme, kao i gdje možete saznati više o tome, prikazani su u članku.

    Uvod

    Danas su pitanja osiguranja informacijske sigurnosti predmet velike pozornosti, jer tehnologije koje se svugdje implementiraju bez osiguravanja informacijske sigurnosti postaju izvor novih ozbiljnih problema.

    Ruski FSB izvještava o ozbiljnosti situacije: iznos štete koju su tijekom nekoliko godina prouzročili napadači diljem svijeta kretao se od 300 milijardi do 1 trilijun dolara. Prema podacima glavnog tužitelja Ruske Federacije, samo u prvoj polovici 2017. u Rusiji se povećao broj kaznenih djela u području visoka tehnologija ušesterostručio, ukupna šteta premašila je 18 milijuna dolara Porast ciljanih napada u industrijskom sektoru u 2017. zabilježen je u cijelom svijetu. Konkretno, u Rusiji je povećanje broja napada u usporedbi s 2016. bilo 22%.

    Informacijske tehnologije počele su se koristiti kao oružje u vojno-političke, terorističke svrhe, za uplitanje u unutarnje stvari suverenih država, kao i za činjenje drugih kaznenih djela. Ruska Federacija zalaže se za stvaranje međunarodnog sustava informacijske sigurnosti.

    Na teritoriju Ruska Federacija vlasnici informacija i operateri informacijskih sustava dužni su spriječiti pokušaje neovlaštenog pristupa informacijama, kao i kontinuirano pratiti stanje sigurnosti informatičke infrastrukture. Istodobno, zaštita informacija osigurava se poduzimanjem raznih mjera, uključujući i tehničke.

    Alati za informacijsku sigurnost, odnosno sustavi za zaštitu informacija, osiguravaju zaštitu informacija u informacijskim sustavima, koji su u biti skup informacija pohranjenih u bazama podataka, informacijske tehnologije osiguranje njegove obrade i tehnička sredstva.

    Suvremene informacijske sustave karakterizira korištenje različitih hardverskih i softverskih platformi, teritorijalna distribucija komponenti, kao i interakcija s otvorene mreže prijenos podataka.

    Kako zaštititi podatke u takvim uvjetima? Odgovarajuće zahtjeve predstavljaju ovlaštena tijela, posebno FSTEC i FSB Rusije. U okviru članka pokušat ćemo prikazati glavne pristupe klasifikaciji sustava informacijske sigurnosti, uzimajući u obzir zahtjeve ovih regulatora. Ostali načini opisivanja klasifikacije informacijske sigurnosti, koji se odražavaju u regulatornim dokumentima ruskih odjela, kao i stranih organizacija i agencija, izvan su opsega ovog članka i dalje se ne razmatraju.

    Članak može biti koristan stručnjacima početnicima u području informacijske sigurnosti kao izvor strukturiranih informacija o metodama klasifikacije informacijske sigurnosti na temelju zahtjeva FSTEC-a Rusije (u većoj mjeri) i, ukratko, FSB-a Rusije.

    Struktura koja utvrđuje postupak i koordinira pružanje informacijske sigurnosti korištenjem nekriptografskih metoda je FSTEC Rusije (ranije Državna tehnička komisija pri predsjedniku Ruske Federacije, Državna tehnička komisija).

    Ako je čitatelj ikada vidio Državni registar certificiranih alata za informacijsku sigurnost, koji je formirao FSTEC Rusije, onda je svakako obratio pozornost na prisutnost u opisnom dijelu svrhe sustava zaštite informacija kao što je "RD SVT razreda”, “razina nepostojanja nesukladnosti s podacima o nesukladnosti” itd. (Slika 1) .

    Slika 1. Isječak registra certificiranih uređaja za zaštitu informacija

    Klasifikacija alata za kriptografsku zaštitu informacija

    FSB Rusije definirao je klase sustava kriptografske zaštite informacija: KS1, KS2, KS3, KV i KA.

    Glavne značajke IPS-a klase KS1 uključuju njihovu sposobnost da izdrže napade koji se izvode izvan kontroliranog područja. To podrazumijeva da se stvaranje metoda napada, njihova priprema i implementacija provodi bez sudjelovanja stručnjaka u području razvoja i analize kriptografske informacijske sigurnosti. Pretpostavlja se da se informacije o sustavu u kojem se koriste navedeni sustavi informacijske sigurnosti mogu dobiti iz otvorenih izvora.

    Ako kriptografski informacijski sigurnosni sustav može izdržati napade blokirane pomoću klase KS1, kao i one koji se izvode unutar kontroliranog područja, tada takva informacijska sigurnost odgovara klasi KS2. Pretpostavlja se, primjerice, da bi tijekom pripreme napada mogle postati dostupne informacije o fizičkim mjerama zaštite informacijskih sustava, osiguravanju kontroliranog prostora i sl.

    Ako je moguće oduprijeti se napadima ako postoji fizički pristup računalnoj opremi s instaliranim kriptografskim sigurnosnim informacijama, kaže se da je takva oprema u skladu s klasom KS3.

    Ako se kriptografska informacijska sigurnost odupire napadima, u čije su stvaranje uključeni stručnjaci u području razvoja i analize ovih alata, uključujući istraživačke centre, te je bilo moguće provesti laboratorijske studije sigurnosnih sredstava, tada govorimo o usklađenosti s HF klasom .

    Ako su stručnjaci u području korištenja softvera NDV sustava bili uključeni u razvoj metoda napada, bila je dostupna odgovarajuća projektna dokumentacija i postojao pristup bilo kojoj hardverskoj komponenti kriptografskih informacijskih sigurnosnih sustava, tada se zaštita od takvih napada može osigurati pomoću KA klasa.

    Klasifikacija sredstava zaštite elektroničkog potpisa

    Alati za elektronički potpis, ovisno o sposobnosti podnošenja napada, obično se uspoređuju sa sljedećim klasama: KS1, KS2, KS3, KB1, KB2 i KA1. Ova je klasifikacija slična onoj o kojoj se raspravljalo u odnosu na sigurnost kriptografskih informacija.

    zaključke

    U članku su ispitane neke metode klasifikacije informacijske sigurnosti u Rusiji, čija je osnova regulatorni okvir regulatora u području zaštite informacija. Razmotrene opcije klasifikacije nisu iscrpne. Ipak, nadamo se da će predstavljeni sažetak informacija omogućiti početniku stručnjaku u području informacijske sigurnosti da se brzo snađe.

    Korištenje kriptografskih sigurnosnih mjera (CIPF) vrlo je kontroverzna i skliska tema. Međutim, PD Operator ima pravo koristiti CIPF kako bi osigurao zaštitu u slučaju stvarnih prijetnji. Ali nije uvijek jasno kako koristiti ovo pravo. A sada FSB olakšava život; objavljen je dokument metodoloških preporuka, primjenjiv i na državne informacijske sustave i na sve ostale PD operatere. Pogledajmo detaljnije ovaj dokument.

    I tako se dogodilo, objavio je 8. centar FSB-a opisivanje preporuka u području razvoja propisa za zaštitu osobnih podataka. Istodobno, preporuča se da ISDN operateri koriste ovaj isti dokument kada razvijaju modele privatnih prijetnji.


    Dakle, što FSB misli o tome kako i gdje bi se trebao koristiti CIPF?


    Prilično je važno da ovaj dokument objavljeno samo na web stranici FSB-a,nema registracijuu Ministarstvu pravosuđa ine nosi ničiji potpisI- odnosno njegov pravni značaj i obveznost ostaje samo u okviru preporuka. Ovo je važno zapamtiti.


    Pogledajmo unutra, preambula dokumenta definira preporuke "Za savezna tijela izvršna vlast... druga državna tijela... koja... donose regulatorne pravne akte kojima se definiraju prijetnje sigurnosti osobnih podataka koje su relevantne pri obradi osobnih podataka u informacijskim sustavima osobnih podataka (u daljnjem tekstu - ISPD), koji djeluju u provedbi relevantnih vrsta aktivnosti". Oni. izričito se spominju državni informacijski sustavi.



    Međutim, u isto vrijeme, također je preporučljivo voditi se tim istim standardima prilikom razvoja privatni modeli prijetnji operateri informacijskih sustava osobnih podataka koji su odlučili koristiti sredstva kriptografska zaštita informacija(u daljnjem tekstu CIPF) kako bi se osigurala sigurnost osobnih podataka.” Oni. U tom slučaju dokument postaje univerzalan za sve korisnike.



    Kada je potrebno koristiti CIPF?


    Korištenje CIPF-a za osiguranje sigurnosti osobnih podataka potrebno je u sljedećim slučajevima:

    1. ako osobni podaci podliježu kriptografskoj zaštiti u skladu sa zakonodavstvom Ruske Federacije;
    2. ako u informacijski sistem Postoje prijetnje koje se mogu neutralizirati samo uz pomoć CIPF-a.
      3.

    1. prijenos osobnih podataka komunikacijskim kanalima koji nisu zaštićeni od presretanja informacija koje se njima prenose od strane uljeza ili od neovlaštenih utjecaja na te informacije (primjerice, kod prijenosa osobnih podataka putem javnih informacijsko-telekomunikacijskih mreža);
    2. pohranjivanje osobnih podataka na medije za pohranu, kojima se neovlašteni pristup prekršitelja ne može isključiti korištenjem nekriptografskih metoda i tehnika.

    I evo do čega dolazimo. Ako je i druga točka sasvim logična, onda prva nije tako očita. Činjenica je da prema trenutnoj verziji Zakona “O osobnim podacima” ime, prezime i patronim već su osobni podaci. Sukladno tome, svako dopisivanje ili registracija na stranici (uzimajući u obzir koliko je podataka sada potrebno tijekom registracije) formalno potpada pod ovu definiciju.



    Ali, kako kažu, nema pravila bez iznimke. Na kraju dokumenta nalaze se dvije tablice. Navedimo samo jedan redak Prijave br. 1.



    Trenutna prijetnja:

    1.1. izvođenje napada unutar kontroliranog područja.

    Razlog nedolaska (spisak malo skraćen):

    1. zaposlenici koji su korisnici ISPD-a, a nisu korisnici CIPF-a, upoznati su s pravilima rada u ISPD-u i odgovornosti za nepoštivanje pravila informacijske sigurnosti;
    2. Korisnici CIPF-a upoznati su s pravilima rada u ISDN-u, pravilima rada s CIPF-om i odgovornosti za nepoštivanje pravila informacijske sigurnosti;
    3. prostor u kojem se nalazi sustav kriptografske zaštite informacija opremljen je ulaznim vratima s bravom, čime se osigurava da su vrata prostora stalno zaključana i otvorena samo za dopušteni prolaz;
    4. odobrena su pravila za pristup prostorijama u kojima se nalaze sustavi kriptografske zaštite informacija u radno i neradno vrijeme, kao iu izvanrednim situacijama;
    5. odobren je popis osoba koje imaju pravo pristupa prostorijama u kojima se nalaze sustavi kriptografske zaštite informacija;
    6. provodi se razgraničenje i kontrola pristupa korisnika zaštićenim resursima;
    7. provodi se registracija i obračun radnji korisnika s osobnim podacima;

    8. na radnim stanicama i poslužiteljima na kojima je instaliran CIPF:

      koriste se certificirana sredstva za zaštitu informacija od neovlaštenog pristupa;
    9. Koriste se certificirani proizvodi za zaštitu od virusa.

    Odnosno, ako su korisnici upoznati s pravilima i odgovornostima te se primjenjuju mjere zaštite, onda nema razloga za brigu.



    • Za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u ISPD-u mora se koristiti CIPF koji je prošao postupak ocjenjivanja sukladnosti na propisani način.

    Istina, ispod stoji da se popis certificiranih kriptografskih uređaja za zaštitu podataka može pronaći na web stranici TsLSZ FSB. Više je puta rečeno da ocjena sukladnosti nije certifikacija.


    • u nedostatku onih koji su prošli postupak ocjene sukladnosti za CIPF u skladu s utvrđenom procedurom... u fazi idejnog projekta ili idejnog (nacrta tehničkog) projekta, izrađivač informacijskog sustava, uz sudjelovanje operatera (ovlaštena osoba) i predlagača izrađivača CIPF-a, izrađuje obrazloženje izvedivosti razvoja novog tipa CIPF-a i utvrđuje zahtjeve za njegova funkcionalna svojstva.

    To me stvarno veseli. Činjenica je da ovjera Proces je vrlo dug - do šest mjeseci ili više. Korisnici često koriste najnovije operativne sustave koje certificirana verzija ne podržava. Sukladno ovom dokumentu kupci mogu koristiti proizvode koji su u postupku certificiranja.



    U dokumentu se navodi sljedeće:

    Pri korištenju komunikacijskih kanala (linija) s kojih je nemoguće presresti zaštićene informacije koje se njima prenose i (ili) u kojima je nemoguće izvršiti neovlaštene utjecaje na te informacije, kada Opći opis informacijski sustavi moraju navesti:

    1. opis metoda i sredstava zaštite tih kanala od neovlaštenog pristupa njima;
    2. zaključke koji se temelje na rezultatima istraživanja sigurnosti ovih komunikacijskih kanala (linija) od neovlaštenog pristupa zaštićenim informacijama koje putem njih prenosi organizacija koja ima pravo provoditi takva istraživanja, s pozivom na dokument koji sadrži te zaključke.
      3.


  • sigurnosna svojstva (povjerljivost, cjelovitost, dostupnost, autentičnost) koja se moraju osigurati za obrađene osobne podatke;
  • komunikacijske kanale (linije) koji se koriste u svakom podsustavu ili u informacijskom sustavu kao cjelini, uključujući kabelski sustavi, te mjere za ograničavanje neovlaštenog pristupa zaštićenim informacijama koje se prenose tim komunikacijskim kanalima (vodovima), s naznakom komunikacijskih kanala (vodova) u kojima je neovlašteni pristup zaštićenim informacijama koje se njima prenose nemoguć, te mjere koje se provode za osiguranje te kvalitete;
  • mediji zaštićenih informacija koji se koriste u svakom podsustavu informacijskog sustava ili u informacijskom sustavu u cjelini (s izuzetkom komunikacijskih kanala (linija).

    • Međutim, ovdje postoji mnogo nijansi: računovodstvo i skladištenje alata za šifriranje, pristup CIPF-u i propisi za njihovu upotrebu moraju se provoditi u strogom skladu sa zakonskim zahtjevima.

    Kršenje pravila informacijske sigurnosti, prema članku 13.12 Zakonika o upravnim prekršajima Ruske Federacije, može povlačiti za sobom niz sankcija: novčane kazne za službenike i organizacije, kao i oduzimanje samih sredstava za kripto zaštitu. Posljedica može biti nemogućnost slanja elektroničkih izvješća ili blokada rada ustanove u sustavu razmjene podataka.

    Redoviti nadzor nad korištenjem alata za šifriranje koji se koriste za osiguranje sigurnosti osobnih podataka (u daljnjem tekstu PD) provodi se temeljem zahtjeva sljedećih propisa:

    • Savezni zakon od 27. srpnja 2006. br. 152-FZ „O osobnim podacima”;
    • Naredba FSB-a Rusije od 10. srpnja 2014. br. 378;
    • Uputa FAPSI br. 152 od 13.06.2001.
    • i niz drugih regulatornih dokumenata.

    Plan inspekcije FSB-a za godinu objavljen je na službenoj web stranici Ureda glavnog tužitelja Ruske Federacije. Ovdje svaka organizacija, koristeći svoj TIN ili OGRN, može saznati o predstojećim inspekcijama ove godine, njihovom trajanju i razdoblju.

    Kako bi se pripremili za inspekciju FSB-a, potrebno je poduzeti niz organizacijskih mjera, izraditi i odobriti dokumente koji se odnose na rad s kriptografskom zaštitom informacija.

    Odgovori na sljedeća pitanja pomoći će vam da sistematizirate svoju pripremu za inspekciju i usredotočite se na potrebne mjere:

    1. Ima li organizacija sredstva za kriptografsku zaštitu informacija? Postoje li dokumenti za njihovu nabavu, vodi li se evidencija? Koji dokumenti reguliraju prijenos CIPF-a za otuđenje i korištenje?
    2. Koji je odjel u poduzeću odgovoran za rad s CIPF-om, naime: sastavljanje zaključaka o mogućnosti korištenja CIPF-a, izrada mjera za osiguranje funkcioniranja i sigurnosti CIPF-a koji se koristi u skladu s uvjetima certifikata izdanih za njih, kopija- usporedno računovodstvo korištenih CIPF-a, operativna i tehnička dokumentacija za njih, računovodstvo servisiranih nositelja povjerljivih informacija, praćenje poštivanja uvjeta korištenja CIPF-a, istraga i izrada zaključaka o činjenicama kršenja uvjeta korištenja CIPF-a , razvoj sheme za organiziranje kriptografske zaštite povjerljivih informacija?
    3. Koji dokumenti reguliraju stvaranje gore navedenog odjela, kao i koji dokumenti određuju osobe odgovorne za provođenje radnji unutar ovog odjela?
    4. Jesu li razvijeni propisi za evidentiranje i pohranjivanje CIPF-a?
    5. Jesu li obrasci knjigovodstvenih dnevnika CIPF odobreni i kako se održavaju?
    6. Je li definiran krug odgovornih osoba i odgovornost u slučaju kršenja pravila za rad s CIPF-om?
    7. Kako se provodi pohrana i omogućavanje pristupa SZKI?

    Svi dokumenti moraju biti odobreni od strane čelnika ili ovlaštene osobe organizacije; nisu potrebne oznake tajnosti, ali dokumenti moraju biti namijenjeni samo zaposlenicima organizacije i inspektorima.

    Naše iskustvo u podršci klijentima tijekom inspekcija FSB-a omogućilo nam je identificirati najtipičnije blokove na koje regulatorno tijelo obraća pozornost.

    1. Organizacija sustava organizacijskih mjera zaštite osobnih podataka

    Što se provjerava

    		 Savjet

    Opseg primjene CIPF-a u informacijskim sustavima osobnih podataka;

    Dostupnost dokumenata odjela i naloga o organizaciji kriptografske zaštite

    		 Odsječni dokumenti i naredbe o organiziranju kriptografske zaštite informacija Potrebno je uputiti na dokumente koji definiraju obavezna uporaba CIPF za obradu i prijenos informacija. Što se tiče zaštite osobnih podataka u državnim sustavima, radi se o 17. i 21. Naredbi FSTEC-a

    2. Organizacija sustava mjera zaštite kriptografskih informacija

    3. Dozvole i radna dokumentacija

    Što se provjerava

    		 Koje dokumente je potrebno dostaviti Savjet

    Dostupnost potrebnih licenci za korištenje CIPF-a u informacijskim sustavima osobnih podataka;

    Dostupnost potvrda o sukladnosti za korišteni CIPF;

    Dostupnost operativne dokumentacije za CIPF (obrasci, pravila rada, priručnik za rukovanje itd.);

    Postupak evidentiranja CIPF-a, operativna i tehnička dokumentacija za njih

    Licence i certifikati za korišteni CIPF;

    Radna dokumentacija za CIPF

    Na koje dokumente mislimo:

    1) softverske licence,

    2) dostupnost distribucija za te licence, stečene zakonito,

    4. Zahtjevi za servisno osoblje

    Što se provjerava

    		 Koje dokumente je potrebno dostaviti Savjet

    Postupak registracije osoba ovlaštenih za rad u CIPF-u;

    Dostupnost funkcionalnih odgovornosti odgovornih korisnika CIPF-a;

    Popunjenost stalnih radnih mjesta kadrovima i njihova dostatnost za rješavanje problema organiziranja kriptografske zaštite informacija;

    Organizacija procesa obuke osoba koje koriste CIPF

    Odobrene liste;

    Dokumenti koji potvrđuju funkcionalne odgovornosti zaposlenika;

    Dnevnik korisnika kriptografskih alata;

    Dokumenti koji potvrđuju završetak obuke zaposlenika

    Morate imati sljedeće dokumente:

    1) upute za rad s CIPF-om,

    2) imenovanje internim nalozima odgovornih za rad sa CIPF-om

    5. Djelovanje CIPF-a

    Što se provjerava

    		 Koje dokumente je potrebno dostaviti Savjet

    Provjera ispravnog puštanja u rad;

    Ocjena tehničkog stanja sustava kriptografske zaštite informacija;

    Poštivanje rokova i potpunost Održavanje;

    Provjera poštivanja pravila za korištenje CIPF-a i postupak postupanja s ključnim dokumentima u vezi s njima

    Potvrde o puštanju CIPF-a u rad;

    Dnevnik kopirnog računovodstva CIPF-a;

    Dnevnik evidentiranja i izdavanja medija s ključnim informacijama

    Potrebno je izraditi sljedeće dokumente:

    1) potvrde o ugradnji CIPF-a,

    2) nalog za odobravanje obrazaca očevidnika

    6. Organizacijske mjere

    Što se provjerava

    		 Koje dokumente je potrebno dostaviti Savjet

    Ispunjavanje uvjeta za smještaj, posebnu opremu, sigurnost i organizaciju režima u prostorijama u kojima su instalirani sustavi kriptografske zaštite informacija ili se pohranjuju ključni dokumenti za njih;

    Sukladnost načina pohrane CIPF-a i ključne dokumentacije sa zahtjevima;

    Procjena stupnja do kojeg je operater opskrbljen kriptoključevima i organiziranje njihove dostave;

    Provjera dostupnosti uputa za ponovno uspostavljanje komunikacije u slučaju kompromitacije postojećih ključeva CIPF-a

    Radna dokumentacija za CIPF;

    Prostori dodijeljeni za instalaciju CIPF-a i skladištenje ključnih dokumenata za njih;

    Upute u slučaju kompromitacije postojećih CIPF ključeva

    1) Usklađenost sa zahtjevima Upute 152 FAPSI. Ovisi o specifičnim uvjetima; može zahtijevati ugradnju zaštite, postavljanje zavjesa na prozore, kupnju sefa itd.

    2) Upute za rad sa CIPF-om

    Svi gore navedeni zahtjevi proizlaze iz Pravilnika o provođenju FSB inspekcija. Konkretne radnje provode se sukladno Naredbi FAPSI broj 152 od 13. lipnja 2001. godine.

    Usklađenost s barem dijelom zahtjeva značajno će povećati vjerojatnost prolaska svih regulatornih postupaka bez kazne. Općenito, nema suvišnosti u zahtjevima; sve radnje su doista važne i rade na zaštiti interesa organizacije.

    Nikita Jarkov, voditeljica grupe za licenciranje u SKB Kontur, projekt Kontur-Sigurnost

    Komentari...

    Alexey, dobar dan!
    U odgovoru 8. Centra ne stoji ništa o potrebi korištenja certificiranog CIPF-a. Ali postoje „Metodološke preporuke...“ odobrene od strane rukovodstva 8. centra FSB-a Rusije od 31. ožujka 2015. br. 149/7/2/6-432, u kojima se u drugom paragrafu nalazi sljedeći odlomak dio:

    Za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u ISPD-u mora se koristiti CIPF koji je prošao postupak ocjenjivanja sukladnosti na propisani način. Popis CIPF-a certificiranih od strane FSB-a Rusije objavljen je na službenoj web stranici Centra za licenciranje, certificiranje i zaštitu državnih tajni FSB-a Rusije (www.clsz.fsb.ru). Dodatne informacije Preporuča se dobiti informacije o određenim alatima za informacijsku sigurnost izravno od programera ili proizvođača tih alata i, ako je potrebno, od specijaliziranih organizacija koje su provele studije slučaja ovih alata;

    Zašto ovo nije uvjet za korištenje certificiranog CIPF-a?

    Postoji naredba FSB-a Rusije od 10. srpnja 2014. br. 378, koja u podstavku „d” stavka 5. navodi: „upotreba alata za sigurnost informacija koji su prošli postupak procjene usklađenosti sa zahtjevima zakonodavstva Ruske Federacije u području informacijske sigurnosti, u slučajevima kada je uporaba takvih sredstava nužna za neutralizaciju trenutnih prijetnji."

    Ovo “kada je uporaba takvih sredstava nužna za neutraliziranje trenutnih prijetnji” malo je zbunjujuće. Ali sva ta potreba mora biti opisana u modelu uljeza.

    Ali u ovom slučaju, opet, odjeljak 3 „Metodoloških preporuka...” iz 2015. navodi da „Kada se koriste komunikacijski kanali (linije) iz kojih je nemoguće presresti zaštićene informacije koje se prenose kroz njih i (ili) u kojima je nemoguće izvršiti neovlaštene utjecaje Ove informacije moraju biti navedene u općem opisu informacijskih sustava:
    - opis metoda i sredstava zaštite tih kanala od neovlaštenog pristupa njima;
    – zaključke temeljene na rezultatima istraživanja sigurnosti ovih komunikacijskih kanala (linija) od neovlaštenog pristupa zaštićenim informacijama koje se njima prenose od strane organizacije koja ima pravo provoditi takva istraživanja, s pozivom na dokument koji sadrži te zaključke.«

    Ono što mislim pod svim ovim – da, nema potrebe koristiti kriptografsku informacijsku zaštitu uvijek i svugdje kada se osigurava sigurnost obrade osobnih podataka. Ali da biste to učinili, morate stvoriti model počinitelja, gdje se sve to može opisati i dokazati. Pisali ste o dva slučaja kada ih trebate koristiti. Ali činjenica da je za osiguranje sigurnosti obrade osobnih podataka otvoreni kanali komunikacije ili ako obrada tih osobnih podataka nadilazi granice kontrolirane zone, možete koristiti necertificirani CIPF - nije tako jednostavno. I može se dogoditi da je lakše koristiti certificirane kriptografske uređaje za zaštitu informacija i pridržavati se svih zahtjeva tijekom njihovog rada i pohrane nego koristiti necertificirane proizvode i sukobljavati se s regulatorom, koji će se, vidjevši takvu situaciju, jako truditi trljati njihov nos unutra.

    Nepoznati komentari...

    Slučaj kada je uporaba takvih sredstava neophodna za neutraliziranje trenutnih prijetnji: zahtjev Naredbe FSTEC-a Rusije br. 17 od 11. veljače 2013. (zahtjevi za državne i općinske ISPDn),

    klauzula 11. Kako bi se osigurala zaštita informacija sadržanih u informacijskom sustavu, koriste se alati za informacijsku sigurnost koji su prošli ocjenu sukladnosti u obliku obvezne certifikacije za usklađenost sa zahtjevima informacijske sigurnosti u skladu s člankom 5. Saveznog zakona od 27. prosinca , 2002 br. 184-FZ “O tehničkoj regulativi”.

    Alexey Lukatsky komentira...

    Proximo: preporuke FSB-a su nelegitimne. Naredba 378 je legitimna, ali se mora promatrati u kontekstu cjelokupnog zakonodavstva, a kaže da pojedinosti o ocjeni usklađenosti utvrđuje Vlada ili predsjednik. Ni jedni ni drugi nisu donosili takve pravne akte

    Alexey Lukatsky komentira...

    Anton: U državnoj vlasti, zahtjev za certifikaciju je utvrđen zakonom, 17. naredba ih jednostavno ponavlja. A mi govorimo o PDn

    Nepoznati komentari...

    Alexey Lukatsky: Ne. Preporuke FSB-a su nelegitimne" Koliko nelegitimne? Govorim o dokumentu br. 149/7/2/6-432 od 19. svibnja 2015. (http://www.fsb.ru/fsb/science/ single.htm!id%3D10437608 %40fsbResearchart.html), ali ne i o dokumentu od 21.02.2008. br. 149/54-144.

    Još jedan stručnjak također je prethodno podnio zahtjev FSB-u na sličnu temu, a rečeno mu je da se ne moraju koristiti „Metodologija...“ i „Preporuke...“ FSB-a iz 2008. ako se radi o ove dokumente. Ali opet, ti dokumenti nisu službeno otkazani. A jesu li ti dokumenti legitimni ili ne, vjerujem da će inspektori FSB-a odlučiti na licu mjesta tijekom inspekcije.

    Zakon kaže da osobni podaci moraju biti zaštićeni. Podzakonski akti Vlade, FSB-a, FSTEC-a točno određuju kako ih treba zaštititi. Propisi FSB-a kažu: "Koristite certificirano. Ako ne želite certificirano, dokažite da ga možete koristiti. I budite tako ljubazni da o tome priložite zaključak tvrtke koja ima licencu za izdavanje takvih zaključaka." Nešto kao ovo...

    Alexey Lukatsky komentira...

    1. Svaka preporuka je preporuka, a ne obvezan uvjet.
    2. Priručnik iz 2015. nema nikakve veze s operaterima PD-a - odnosi se na državne službenike koji pišu modele prijetnji za podređene institucije (uzimajući u obzir točku 1).
    3. FSB nema pravo provoditi inspekcije komercijalnih PD operatera, a za vladine agencije pitanje korištenja necertificirane kriptografske zaštite podataka se ne isplati - oni su dužni koristiti certificirana rješenja, bez obzira na prisutnost PD-a, to su zahtjevi Saveznog zakona-149.
    4. Podzakonski propisi vam govore kako zaštititi i to je normalno. Ali oni ne mogu određivati ​​oblik procjene zaštitne opreme - to može samo uredba Vlade ili predsjednika. FSB nije ovlašten za to

    Nepoznati komentari...

    Prema Dekretu 1119:

    4. Odabir sredstava informacijske sigurnosti za sustav zaštite osobnih podataka provodi operater u skladu s regulatornim pravnim aktima koje su donijeli Savezna služba sigurnosti Ruske Federacije i Savezna služba za tehničku i izvoznu kontrolu u skladu s dijelom 4. članka 19. Saveznog zakona "O osobnim podacima".
    13.g. Korištenje alata za informacijsku sigurnost koji su prošli procjenu sukladnosti sa zahtjevima zakonodavstva Ruske Federacije u području informacijske sigurnosti, u slučajevima kada je korištenje takvih alata potrebno za neutralizaciju trenutnih prijetnji.

    Kako opravdati nerelevantnost prijetnje pri prijenosu osobnih podataka putem kanala telekom operatera?

    Oni. ako ne CIPF, onda očito
    - pristup terminalu i tanki klijenti, ali u isto vrijeme podatke o informacijskoj sigurnosti terminala
    pristup mora biti certificiran.
    - zaštita kanala od strane telekom operatora, odgovornost telekom operatera (provajdera).

    Alexey Lukatsky komentira...

    Nebitnost određuje operater i za to mu ne treba nitko