Az FSB kriptográfiai információira vonatkozó követelmények. Hogyan készüljünk fel a személyes adatok tervezett FSB-ellenőrzésére? Titkosítás és elektronikus aláírás

Az információ védelmének fő feladatai azok tárolása, feldolgozása és kommunikációs csatornákon és különféle adathordozókon történő továbbítása során, amelyeket a CIPF segítségével oldottak meg: 1.

Az információk titkosságának (bizalmasságának) biztosítása. 2.

Az információ integritásának biztosítása. 3.

Az információk (okmányok) hitelességének igazolása. E problémák megoldásához a következőket kell végrehajtani

folyamatok: 1.

A tényleges információvédelmi funkciók megvalósítása, beleértve:

titkosítás/dekódolás; digitális aláírás létrehozása/ellenőrzése; szimulált betétek létrehozása/ellenőrzése. 2.

A KZI eszközök állapotának figyelése és működésének kezelése (a rendszerben):

állapotfigyelés: a digitális biztonsági eszközök meghibásodásának, jogosulatlan hozzáférési kísérletnek, kulcskompromittációnak az észlelése és regisztrálása;

üzemeltetés irányítása: intézkedések megtétele a felsorolt eltérések esetén a VIR létesítményeinek normál működésétől. 3.

KZI létesítmények karbantartásának elvégzése: kulcskezelés megvalósítása;

új hálózati előfizetők csatlakoztatásával és/vagy kilépő előfizetők kizárásával kapcsolatos eljárások végrehajtása; a CIPF azonosított hiányosságainak kiküszöbölése; új verziók bevezetése szoftver CIPF;

a CIPF műszaki eszközeinek korszerűsítése, korszerűbbre cseréje és/vagy lejárt élettartamú eszközök cseréje.

A kulcskezelés a kriptográfiai információvédelem egyik legfontosabb funkciója, és a következő fő funkciók megvalósításából áll:

kulcsgenerálás: kulcsok vagy kulcspárok generálására szolgáló mechanizmust határoz meg, garantálva azok kriptográfiai minőségét;

kulcselosztás: meghatározza azt a mechanizmust, amellyel a kulcsok megbízhatóan és biztonságosan eljuttathatók az előfizetőkhöz;

kulcstárolás: meghatároz egy mechanizmust, amellyel a kulcsok biztonságosan és megbízhatóan tárolódnak jövőbeli felhasználás céljából;

kulcs-helyreállítás: meghatározza az egyik kulcs visszaállításának (új kulccsal való cseréjének) mechanizmusát;

kulcs megsemmisítése: meghatározza azt a mechanizmust, amellyel az elavult kulcsok biztonságosan megsemmisülnek;

kulcsarchívum: olyan mechanizmus, amellyel a kulcsok biztonságosan tárolhatók konfliktushelyzetekben történő további, közjegyző által hitelesített visszaszerzésük érdekében.

Általánosságban elmondható, hogy a kriptográfiai információvédelem felsorolt funkcióinak megvalósításához olyan kriptográfiai információvédelmi rendszer létrehozása szükséges, amely egyesíti a digitális biztonsági eszközöket, a kiszolgáló személyzetet, a helyiségeket, az irodai berendezéseket, a különféle (műszaki, szabályozási és adminisztratív) dokumentációt. stb.

Mint már említettük, az információbiztonsági garanciák megszerzéséhez tanúsított digitális biztonsági eszközök használatára van szükség.

Jelenleg a legelterjedtebb probléma a védelem bizalmas információ. A probléma megoldására a FAPSI égisze alatt egy funkcionálisan teljes eszközkészletet fejlesztettek ki a bizalmas információk kriptográfiai védelmére, amely lehetővé teszi a felsorolt információvédelmi problémák megoldását az alkalmazások és felhasználási feltételek széles skálájára.

Ez a komplexum a „Verba” (aszimmetrikus kulcsrendszer) és „Verba-O” (szimmetrikus kulcsrendszer) kriptográfiai magokon alapul. Ezek a kriptomagok adattitkosítási eljárásokat biztosítanak a GOST 28147-89 „Információfeldolgozó rendszerek.

Kriptográfiai védelem" és digitális aláírás a GOST R34.10-94 "Információtechnológia. Az információk kriptográfiai védelme. Aszimmetrikus kriptográfiai algoritmuson alapuló elektronikus digitális aláírás fejlesztésének és ellenőrzésének eljárásai."

A CIPF komplexben található eszközök lehetővé teszik a védelmet elektronikus dokumentumokatés az információáramlás hitelesített titkosítási mechanizmusokat és elektronikus aláírásokat használva szinte minden modern információs technológiában, beleértve a következőket: CIPF használata offline módban;

védett információcsere off-line módban; biztonságos online információcsere; védett heterogén, i.e. vegyes információcsere.

A CIPF használatának rendszerszintű problémáinak megoldására D. A. Starovoitov vezetésével kidolgozták a Vityaz komplex kriptográfiai információvédelmi technológiát, amely egyszerre biztosítja a kriptográfiai adatok védelmét a rendszer minden részében: nemcsak a kommunikációs csatornákban és rendszercsomópontokban, hanem közvetlenül a felhasználói munkahelyeken is a dokumentum létrehozása során, amikor maga a dokumentum védett. Ezen túlmenően az általános Vityaz technológia keretein belül egy egyszerűsített, a felhasználók számára könnyen elérhető technológiát biztosítanak a licencelt CIPF-ek különféle alkalmazási rendszerekbe történő beágyazásához, ami nagyon szélessé teszi ezeknek a CIPF-eknek a felhasználási körét.

Az alábbiakban az egyes felsorolt módok védelmi eszközeinek és módszereinek leírása található.

CIPF használata offline módban.

A CIPF-fel végzett autonóm munka során a következő típusú kriptográfiai információvédelem valósítható meg: védett dokumentum létrehozása; fájlvédelem;

biztonságos létrehozása fájlrendszer; védett logikai meghajtó létrehozása. A felhasználó kérésére a következő típusú dokumentumok (fájlok) kriptográfiai védelme valósítható meg:

a dokumentum (fájl) titkosítása, amely elérhetetlenné teszi annak tartalmát mind a dokumentum (fájl) tárolásakor, mind kommunikációs csatornákon vagy kézzel történő továbbításakor;

szimulált betét kidolgozása, amely biztosítja a dokumentum (fájl) integritásának ellenőrzését;

elektronikus digitális aláírás létrehozása, amely biztosítja a dokumentum (fájl) sértetlenségének ellenőrzését és az iratot (irat) aláíró személy hitelesítését.

Ennek eredményeként a védett dokumentum (fájl) titkosított fájllá alakul, amely szükség esetén elektronikus digitális aláírást is tartalmaz. A digitális aláírás az információfeldolgozási folyamat megszervezésétől függően az aláírandó dokumentumtól külön fájlként is bemutatható. Ez a fájl ezután floppy lemezre vagy más adathordozóra küldhető futárszolgálattal, vagy elküldhető bármely elérhető eszközön keresztül email, például az interneten keresztül.

Ennek megfelelően egy titkosított fájl e-mailben, vagy egyik vagy másik adathordozón történő megérkezésekor az elvégzett kriptográfiai védelmi lépések fordított sorrendben valósulnak meg (dekódolás, utánzatok ellenőrzése, digitális aláírás ellenőrzése).

Megvalósít elem élettartam A következő tanúsított eszközök használhatók a CIPF-fel:

"Lexicon-Verba" szövegszerkesztő, amelyet a CIPF "Verba-O" és CIPF "Verba" alapján hajtottak végre;

CIPF szoftvercsomag „Autonomous munkahely", a CIPF "Verba" és "Verba-O" alapján implementálva Windows 95/98/NT rendszerhez;

kriptográfiai lemezmeghajtó PTS "DiskGuard".

Biztonságos szövegszerkesztő "Lexicon-Verba".

A Lexikon-Verba rendszer egy teljes értékű szövegszerkesztő, amely támogatja a dokumentumok titkosítását és az elektronikus digitális aláírást. A dokumentumok védelmére a Verba és a Verba-O kriptográfiai rendszereket használja. Ennek a terméknek az az egyedisége, hogy a titkosítás és a szövegaláírás funkciói egyszerűen bekerülnek a modern eszközök funkciói közé. szöveg szerkesztő. A dokumentum titkosítása és aláírása ebben az esetben speciális folyamatokból egyszerűen szabványos műveletekké válik, amikor egy dokumentummal dolgozik.

Ugyanakkor a Lexicon-Verba rendszer úgy néz ki, mint egy normál szövegszerkesztő. A szövegformázási lehetőségek közé tartozik teljes testreszabás dokumentum betűtípusok és bekezdések; táblázatok és listák; fejlécek, lábjegyzetek, oldalsávok; stílusok használata és a modern követelményeknek megfelelő szövegszerkesztő számos egyéb funkciója. A "Lexicon-Verba" lehetővé teszi dokumentumok létrehozását és szerkesztését Lexicon, RTF, MS Word 6/95/97, MS Write formátumokban.

Autonóm munkahely.

A CIPF "Autonomous Workplace" a CIPF "Verba" és "Verba-O" alapján valósul meg Windows 95/98/NT rendszerhez, és lehetővé teszi a felhasználó számára a következő funkciók interaktív végrehajtását:

fájlok titkosítása/dekódolása kulcsok használatával; fájlok titkosítása/visszafejtése jelszóval; Elektronikus digitális aláírások (EDS) rögzítése/eltávolítása/ellenőrzése fájlok alá;

titkosított fájlok ellenőrzése;

digitális aláírás rögzítése + fájlok titkosítása (egy műveletben); dekódolás + digitális aláírás eltávolítása (egy műveletben) a fájlok alatt;

hash fájl számítás.

A CIPF "Autonóm Munkahely"-et tanácsos használni azon alkalmazottak mindennapi munkájához, akiknek biztosítaniuk kell:

részére bizalmas információk továbbítása elektronikus formában expressz vagy futár útján;

bizalmas információk küldése a hálózaton keresztül közös használatú, beleértve az internetet is;

védelem a bizalmas információkhoz való jogosulatlan hozzáférés ellen személyi számítógépek alkalmazottak.

Az információbiztonságra vonatkozó követelmények az információs rendszerek tervezésekor jelzik azokat a jellemzőket, amelyek az alkalmazott információbiztonsági eszközöket jellemzik. Ezeket a biztonság területén a szabályozók különféle jogi aktusai határozzák meg információ biztonság, különösen - az FSTEC és az orosz FSB. A cikk tükrözi, hogy milyen biztonsági osztályok vannak, a védőfelszerelések típusai és típusai, valamint hogy hol lehet többet megtudni erről.

Bevezetés

Napjainkban az információbiztonság biztosításának kérdései fokozott figyelem tárgyát képezik, hiszen az információbiztonság biztosítása nélkül mindenhol megvalósuló technológiák új, komoly problémák forrásává válnak.

Az orosz FSZB a helyzet súlyosságáról számol be: a támadók által több év alatt okozott károk összege világszerte 300 milliárd dollártól ezermilliárd dollárig terjedt. Az Orosz Föderáció legfőbb ügyésze által közölt információk szerint csak 2017 első felében Oroszországban a bűncselekmények száma magas technológia hatszorosára nőtt, a károk teljes összege meghaladta a 18 millió dollárt.2017-ben az ipari szektorban a célzott támadások számának növekedését figyelték meg világszerte. Különösen Oroszországban 22%-kal nőtt a támadások száma 2016-hoz képest.

Az információs technológiákat fegyverként kezdték használni katonai-politikai, terrorista célokra, szuverén államok belügyeibe való beavatkozásra, valamint egyéb bűncselekmények elkövetésére. Az Orosz Föderáció egy nemzetközi információbiztonsági rendszer létrehozása mellett áll.

A területen Orosz Föderáció az információk tulajdonosai és az információs rendszerek üzemeltetői kötelesek megakadályozni az információkhoz való jogosulatlan hozzáférési kísérleteket, valamint folyamatosan figyelemmel kísérni az informatikai infrastruktúra biztonsági állapotát. Ugyanakkor az információvédelmet különféle intézkedésekkel, beleértve a technikaiakat is, biztosítják.

Az információbiztonsági eszközök vagy információvédelmi rendszerek biztosítják az információs rendszerekben található információk védelmét, amelyek lényegében adatbázisokban tárolt információk gyűjteményei, információs technológiák feldolgozásának, technikai eszközeinek biztosítása.

A modern információs rendszereket a különféle hardver- és szoftverplatformok használata, a komponensek területi megoszlása, valamint a nyílt hálózatok adatátvitel.

Hogyan lehet megvédeni az információkat ilyen körülmények között? A megfelelő követelményeket felhatalmazott szervek, különösen az FSTEC és az orosz FSB terjesztik elő. A cikk keretein belül megpróbáljuk tükrözni az információbiztonsági rendszerek osztályozásának főbb megközelítéseit, figyelembe véve ezen szabályozók követelményeit. Az információbiztonság besorolásának leírásának egyéb módjai, amelyek az orosz minisztériumok, valamint a külföldi szervezetek és ügynökségek szabályozási dokumentumaiban tükröződnek, túlmutatnak e cikk hatályán, és nem foglalkoznak tovább.

A cikk hasznos lehet az információbiztonság területén dolgozó kezdő szakemberek számára, mint strukturált információk forrása az információbiztonság osztályozási módszereiről az orosz FSTEC (nagyobb mértékben) és röviden az orosz FSB követelményei alapján.

Az eljárást meghatározó és az információbiztonság nem kriptográfiai módszerekkel történő biztosítását koordináló struktúra az oroszországi FSTEC (korábban az Orosz Föderáció elnöke alatt működő Állami Műszaki Bizottság, Állami Műszaki Bizottság).

Ha az olvasó valaha is látta a Tanúsított Információbiztonsági Eszközök Állami Nyilvántartását, amelyet az orosz FSTEC hoz létre, akkor minden bizonnyal figyelt arra, hogy az információvédelmi rendszer céljának leíró részében olyan kifejezések jelenjenek meg, mint az „RD SVT osztály”, „nem megfelelőségi adatok hiányának mértéke” stb. (1. ábra) .

1. ábra Hitelesített információvédelmi eszközök nyilvántartásának töredéke

A kriptográfiai információbiztonsági eszközök osztályozása

Az oroszországi FSB meghatározta a kriptográfiai információvédelmi rendszerek osztályait: KS1, KS2, KS3, KV és KA.

A KS1 osztályú IPS fő jellemzői közé tartozik, hogy képesek ellenállni az ellenőrzött területen kívülről érkező támadásoknak. Ez azt jelenti, hogy a támadási módszerek létrehozása, előkészítése és végrehajtása a kriptográfiai információbiztonság fejlesztésével és elemzésével foglalkozó szakemberek részvétele nélkül történik. Feltételezhető, hogy a megadott információbiztonsági rendszereket használó rendszerrel kapcsolatos információk nyílt forrásokból szerezhetők be.

Ha egy kriptográfiai információbiztonsági rendszer képes ellenállni a KS1 osztályú blokkolt támadásoknak, valamint az ellenőrzött területen belül végrehajtott támadásoknak, akkor az ilyen információbiztonság a KS2 osztálynak felel meg. Feltételezhető például, hogy a támadás előkészítése során az információs rendszerek védelmét szolgáló fizikai intézkedésekről, az ellenőrzött terület biztosításáról stb.

Ha lehetséges ellenállni a támadásoknak, ha fizikailag hozzá lehet férni a telepített kriptográfiai biztonsági információkkal rendelkező számítógépes berendezésekhez, az ilyen berendezések állítólag megfelelnek a KS3 osztálynak.

Ha a kriptográfiai információbiztonság ellenáll a támadásoknak, amelyek létrehozása során ezen eszközök fejlesztésének és elemzésének szakértői vettek részt, beleértve a kutatóközpontokat, és lehetőség nyílt a biztonsági eszközök laboratóriumi vizsgálatára, akkor a HF osztálynak való megfelelésről beszélünk. .

Ha a támadási módszerek kidolgozásába az NDV rendszerszoftverek használatának szakértőit vonták be, a megfelelő tervdokumentáció rendelkezésre állt, és a kriptográfiai információbiztonsági rendszerek bármely hardvereleméhez hozzá lehetett férni, akkor az ilyen támadások elleni védelem biztosítható a KA osztály.

Az elektronikus aláírás-védelmi eszközök osztályozása

Az elektronikus aláírási eszközöket, attól függően, hogy ellenállnak-e a támadásoknak, általában a következő osztályokkal hasonlítják össze: KS1, KS2, KS3, KB1, KB2 és KA1. Ez a besorolás hasonló a fentebb a kriptográfiai információbiztonsággal kapcsolatban tárgyalthoz.

következtetéseket

A cikk megvizsgálta az oroszországi információbiztonság osztályozásának néhány módszerét, amelyek alapját az információvédelem területén működő szabályozó hatóságok szabályozási keretei képezik. A figyelembe vett osztályozási lehetőségek nem teljesek. Mindazonáltal reméljük, hogy a bemutatott összefoglaló információk lehetővé teszik az információbiztonság területén kezdő szakember számára a gyors navigációt.

A kriptográfiai biztonsági intézkedések (CIPF) használata nagyon ellentmondásos és csúszós téma. A PD üzemeltetőjének azonban joga van a CIPF-et használni, hogy biztosítsa a védelmet tényleges fenyegetések esetén. De nem mindig világos, hogyan kell ezt a jogot használni. És most az FSB megkönnyíti az életet: megjelent egy módszertani ajánlások dokumentuma, amely mind az állami információs rendszerekre, mind az összes többi PD-üzemeltetőre vonatkozik. Tekintsük ezt a dokumentumot részletesebben.

És így is történt – tette közzé a 8. FSB-központ ajánlások ismertetése a személyes adatok védelmére vonatkozó szabályozás kidolgozása terén. Ugyanakkor javasolt, hogy az ISDN szolgáltatók ugyanezt a dokumentumot használják a privát fenyegetési modellek fejlesztésekor.

Tehát mit gondol az FSB arról, hogyan és hol kell felhasználni a CIPF-et?

Nagyon fontos, hogy ez a dokumentum csak az FSB honlapján teszik közzé,nincs regisztrációjaaz Igazságügyi Minisztériumban ésnem viseli senki aláírásátÉs- vagyis jogi jelentőségét és kötelező érvényét csak az ajánlások keretein belül marad. Ezt fontos megjegyezni.

Vessünk egy pillantást belülre, a dokumentum preambuluma határozza meg, hogy az ajánlások "Mert szövetségi szervek végrehajtó hatalom... egyéb kormányzati szervek... amelyek... olyan szabályozási jogszabályokat fogadnak el, amelyek meghatározzák a személyes adatok biztonságát fenyegető veszélyeket, amelyek relevánsak a személyes adatoknak a végrehajtás során működtetett személyes adatok információs rendszerekben (továbbiakban - ISPD) történő kezelése során. a releváns tevékenységtípusokról". Azok. kifejezett utalás van a kormányzati információs rendszerekre.

Ugyanakkor a fejlesztés során is tanácsos ugyanezeket a szabványokat követni privát fenyegetettségi modellek a személyes adatok információs rendszereinek üzemeltetői, akik a pénzeszközök felhasználása mellett döntöttek kriptográfiai információvédelem(a továbbiakban: CIPF) a személyes adatok biztonságának biztosítása érdekében.” Azok. Ebben az esetben a dokumentum minden felhasználó számára univerzálissá válik.

Mikor szükséges a CIPF használata?

A CIPF használata a személyes adatok biztonsága érdekében az alábbi esetekben szükséges:

ha a személyes adatok kriptográfiai védelem alá esnek az Orosz Föderáció jogszabályai szerint;

ha be tájékoztatási rendszer Vannak olyan fenyegetések, amelyeket csak a CIPF segítségével lehet semlegesíteni.

személyes adatok továbbítása olyan kommunikációs csatornákon keresztül, amelyek nincsenek védettek a rajtuk keresztül továbbított információk behatolója általi lehallgatástól vagy ezen információk jogosulatlan befolyásolásától (például személyes adatok nyilvános információs és távközlési hálózatokon történő továbbításakor);

személyes adatok tárolása adathordozón, amelyhez a jogsértő illetéktelen hozzáférése nem zárható ki nem titkosítási módszerekkel és technikákkal.

És ez az, amihez eljutunk. Ha a második pont is teljesen logikus, akkor az első nem annyira nyilvánvaló. A tény az, hogy a „Személyes adatokról szóló törvény” jelenlegi változata szerint keresztnév, vezetéknév és apanév már személyes adatok. Ennek megfelelően minden levelezés vagy regisztráció az oldalon (figyelembe véve, hogy most mennyi adatra van szükség a regisztráció során) formálisan e meghatározás alá tartozik.

De ahogy mondják, nincsenek kivételek nélküli szabályok. A dokumentum végén két táblázat található. Adjunk csak egy sort Pályázatok 1. sz.

Jelenlegi fenyegetés:

1.1. támadás végrehajtása ellenőrzött területen belül.

A távolmaradás oka (a lista kissé lerövidítve):

az ISPD-t használó, de nem CIPF-felhasználó munkavállalókat tájékoztatni kell az ISPD-ben végzett munka szabályairól és az információbiztonsági szabályok be nem tartásáért való felelősségről;

A CIPF felhasználók tájékoztatást kapnak az ISDN-ben történő munkavégzés szabályairól, a CIPF-fel való munkavégzés szabályairól és az információbiztonsági szabályok be nem tartása esetén fennálló felelősségről;

azokat a helyiségeket, amelyekben a kriptográfiai információvédelmi rendszer található, zárható bejárati ajtókkal kell felszerelni, biztosítva, hogy a helyiségek ajtaja tartósan zárva legyen, és csak engedélyezett áthaladás céljából nyíljanak ki;

jóváhagyták a kriptográfiai információvédelmi rendszerek elhelyezett helyiségekbe való belépésre vonatkozó szabályokat munka- és munkaidőn kívül, valamint vészhelyzetekben;

jóváhagyták azon személyek listáját, akik beléphetnek azon helyiségekbe, ahol kriptográfiai információvédelmi rendszerek találhatók;

megtörténik a védett erőforrásokhoz való felhasználói hozzáférés elhatárolása és ellenőrzése;

a személyes adatokkal végzett felhasználói műveletek regisztrációja és elszámolása történik;

azokon a munkaállomásokon és szervereken, amelyekre a CIPF telepítve van:
tanúsított eszközöket használnak az információk illetéktelen hozzáféréssel szembeni védelmére;

Minősített vírusvédelmi termékeket használnak.

Vagyis ha a felhasználókat tájékoztatják a szabályokról és felelősségekről, és védelmi intézkedéseket alkalmaznak, akkor nincs ok az aggodalomra.

A személyes adatok ISPD-ben történő feldolgozása során történő biztonságának biztosítása érdekében olyan CIPF-et kell használni, amely a megállapított eljárásnak megfelelően átesett a megfelelőségértékelési eljáráson.

Igaz, pont alatta azt írja, hogy a tanúsított kriptográfiai információvédelmi eszközök listája megtalálható a TsLSZ FSB honlapján. Nem egyszer elhangzott, hogy a megfelelőségértékelés nem minősítés.

a CIPF-re vonatkozó megfelelőségértékelési eljárást a megállapított eljárásnak megfelelően teljesítők hiányában... az előzetes tervezés vagy az előzetes (műszaki) tervezés szakaszában az információs rendszer fejlesztője, az üzemeltető közreműködésével (jogosult személy) és a CIPF javasolt fejlesztője, elkészíti az indoklást egy új típusú CIPF kidolgozásának megvalósíthatóságára vonatkozóan, és meghatározza annak funkcionális tulajdonságaira vonatkozó követelményeket.

Ez igazán boldoggá tesz. A tény az, hogy tanúsítvány A folyamat nagyon hosszú - akár hat hónapig vagy tovább. Az ügyfelek gyakran a legújabb operációs rendszereket használják, amelyeket a tanúsított verzió nem támogat. Ennek a dokumentumnak megfelelően a vásárlók olyan termékeket használhatnak, amelyek tanúsítás alatt állnak.

A dokumentum kimondja, hogy:

Olyan kommunikációs csatornák (vonalak) használatakor, amelyekről lehetetlen a rajtuk keresztül továbbított védett információk lehallgatása és (vagy) amelyeken lehetetlen ezen információk jogosulatlan befolyásolása, amikor Általános leírása Az információs rendszereknek fel kell tüntetniük:

azoknak a módszereknek és eszközöknek a leírása, amelyek megvédik ezeket a csatornákat a jogosulatlan hozzáféréstől;

az e kommunikációs csatornák (vonalak) biztonságáról szóló tanulmányok eredményein alapuló következtetések a rajtuk keresztül továbbított védett információkhoz való jogosulatlan hozzáféréstől az ilyen tanulmányok lefolytatására jogosult szervezet által, hivatkozással az e következtetéseket tartalmazó dokumentumra.

a kezelt személyes adatokra vonatkozóan biztosítandó biztonsági jellemzők (bizalmasság, integritás, elérhetőség, hitelesség);

az egyes alrendszerekben vagy az információs rendszer egészében használt kommunikációs csatornák (vonalak), beleértve kábelrendszerek, valamint az e kommunikációs csatornákon (vonalakon) továbbított védett információkhoz való jogosulatlan hozzáférés korlátozására irányuló intézkedések, megjelölve azokat a kommunikációs csatornákat (vonalakat), amelyekben az ezeken keresztül továbbított védett információkhoz való jogosulatlan hozzáférés nem lehetséges, valamint az e minőség biztosítása érdekében végrehajtott intézkedések;

az információs rendszer egyes alrendszereiben vagy az információs rendszer egészében (a kommunikációs csatornák (vonalak) kivételével) használt védett információhordozók.

Itt azonban sok apróság van: a titkosítási eszközök elszámolását és tárolását, a CIPF-hez való hozzáférést, használatuk szabályozását szigorúan a törvényi előírásoknak megfelelően kell elvégezni.

Az információvédelmi szabályok megsértése az Orosz Föderáció közigazgatási szabálysértési kódexének 13.12. cikke szerint számos szankciót vonhat maga után: pénzbírságot szabhatnak ki tisztviselőkre és szervezetekre, valamint maguknak a titkosítási eszközöknek az elkobzását. Ennek következménye lehet az elektronikus jelentések küldésének hiánya vagy az intézmény adatcsere-rendszerben történő munkavégzése blokkolása.

A személyes adatok biztonságát szolgáló titkosító eszközök (továbbiakban: PD) használatának rendszeres ellenőrzése az alábbi szabályzatok követelményei alapján történik:

2006. július 27-i szövetségi törvény, 152-FZ „A személyes adatokról”;
Az orosz FSZB 2014. július 10-i 378. számú rendelete;
2001. június 13-án kelt 152. számú FAPSI utasítás;
és számos egyéb szabályozó dokumentum.

Az FSZB éves ellenőrzési tervét az Orosz Föderáció Legfőbb Ügyészségének hivatalos honlapján teszik közzé. Itt minden szervezet tájékozódhat a TIN vagy OGRN segítségével az idei évben soron következő ellenőrzésekről, azok időtartamáról és időtartamáról.

Az FSB ellenőrzésére való felkészüléshez számos szervezeti intézkedés megtétele, a kriptográfiai információvédelemmel kapcsolatos dokumentumok kidolgozása és jóváhagyása szükséges.

Az alábbi kérdésekre adott válaszok segítenek rendszerezni az ellenőrzésre való felkészülést, és a szükséges intézkedésekre összpontosítani:

Rendelkezik-e a szervezet kriptográfiai információvédelmi eszközzel? Vannak-e dokumentumok a beszerzésükről, vezetnek-e nyilvántartást? Milyen dokumentumok szabályozzák a CIPF elidegenítésre és felhasználásra történő átadását?
A vállalkozás melyik osztálya felelős a CIPF-fel való együttműködésért, nevezetesen: következtetések levonása a CIPF használatának lehetőségéről, intézkedések kidolgozása a CIPF működését és biztonságát biztosító, a számukra kiadott tanúsítványok feltételei szerint, másolat- a felhasznált CIPF-ek másolati elszámolása, az ezekre vonatkozó működési és műszaki dokumentáció, a bizalmas információk kiszolgált birtokosainak elszámolása, a CIPF felhasználási feltételeinek betartásának ellenőrzése, a CIPF felhasználási feltételeinek megsértésének tényeinek vizsgálata és következtetések levonása , a bizalmas információk kriptográfiai védelmének megszervezésére szolgáló rendszer kidolgozása?
Milyen dokumentumok szabályozzák a fent megjelölt osztály létrehozását, valamint milyen dokumentumok jelölik ki az osztályon belüli tevékenységekért felelős személyeket?
Kidolgoztak-e szabályozást a CIPF rögzítésére és tárolására?
Jóváhagyták-e a CIPF számviteli naplók nyomtatványait, hogyan tartják karban?
Meghatározták-e a felelősök körét és a felelősséget a CIPF-fel való együttműködés szabályainak megsértése esetén?
Hogyan történik az SZKI tárolása és hozzáférésének biztosítása?

Minden dokumentumot a szervezet vezetőjének vagy meghatalmazottjának jóvá kell hagynia, biztonsági minősítés nem szükséges, azonban a dokumentumok csak a szervezet dolgozóinak és ellenőreinek szólhatnak.

Az FSB ellenőrzések során az ügyfelek támogatásában szerzett tapasztalataink lehetővé tették, hogy azonosítsuk azokat a legjellemzőbb blokkokat, amelyekre a szabályozó hatóság figyelmet fordít.

1. A személyes adatok védelmét szolgáló szervezeti intézkedések rendszerének megszervezése

Mit ellenőriznek		Tanács
A CIPF alkalmazási köre a személyes adatok információs rendszereiben; A kriptográfiai védelem megszervezésére vonatkozó tanszéki dokumentumok és utasítások rendelkezésre állása	Osztályi dokumentumok és utasítások a kriptográfiai információvédelem megszervezéséről	Meghatározó dokumentumokra kell hivatkozni kötelező használat CIPF az információk feldolgozásához és továbbításához. Ami a személyes adatok védelmét illeti az állami rendszerekben, ez 17 és 21 FSTEC-megrendelés

Mit ellenőriznek

Tanács

A CIPF alkalmazási köre a személyes adatok információs rendszereiben;

A kriptográfiai védelem megszervezésére vonatkozó tanszéki dokumentumok és utasítások rendelkezésre állása

Osztályi dokumentumok és utasítások a kriptográfiai információvédelem megszervezéséről

Meghatározó dokumentumokra kell hivatkozni kötelező használat CIPF az információk feldolgozásához és továbbításához. Ami a személyes adatok védelmét illeti az állami rendszerekben, ez 17 és 21 FSTEC-megrendelés

2. A kriptográfiai információvédelmi intézkedések rendszerének megszervezése

3. Engedélyek és működési dokumentáció

Mit ellenőriznek	Milyen dokumentumokat kell benyújtani	Tanács
A CIPF személyes adatok információs rendszerekben való használatához szükséges engedélyek rendelkezésre állása; Megfelelőségi tanúsítványok rendelkezésre állása a használt CIPF számára; A CIPF működési dokumentációjának rendelkezésre állása (űrlapok, üzemeltetési szabályok, kezelői kézikönyv stb.); A CIPF rögzítésének eljárása, az üzemeltetési és műszaki dokumentáció számukra	A felhasznált CIPF licencei és tanúsítványai; Működési dokumentáció a CIPF számára	Milyen dokumentumokra gondolunk: 1) szoftverlicencek, 2) a legálisan beszerzett licencek disztribúcióinak elérhetősége,

Mit ellenőriznek

Milyen dokumentumokat kell benyújtani

Tanács

A CIPF személyes adatok információs rendszerekben való használatához szükséges engedélyek rendelkezésre állása;

Megfelelőségi tanúsítványok rendelkezésre állása a használt CIPF számára;

A CIPF működési dokumentációjának rendelkezésre állása (űrlapok, üzemeltetési szabályok, kezelői kézikönyv stb.);

A CIPF rögzítésének eljárása, az üzemeltetési és műszaki dokumentáció számukra

A felhasznált CIPF licencei és tanúsítványai;

Működési dokumentáció a CIPF számára

Milyen dokumentumokra gondolunk:

1) szoftverlicencek,

2) a legálisan beszerzett licencek disztribúcióinak elérhetősége,

4. A szerviz személyzettel szemben támasztott követelmények

Mit ellenőriznek	Milyen dokumentumokat kell benyújtani	Tanács
A CIPF-nél dolgozni jogosult személyek nyilvántartásba vételének eljárása; A CIPF felelős felhasználóinak funkcionális felelősségének rendelkezésre állása; Rendszeres munkakörök létszáma és megfelelősége a kriptográfiai információvédelem megszervezésével kapcsolatos problémák megoldásához; A CIPF-et használó személyek képzési folyamatának megszervezése	Jóváhagyott listák; Az alkalmazottak funkcionális felelősségét igazoló dokumentumok; Kriptográfiai eszközök felhasználói naplója; Az alkalmazottak képzésének elvégzését igazoló dokumentumok	A következő dokumentumokkal kell rendelkeznie: 1) utasítások a CIPF-fel való együttműködéshez, 2) a CIPF-fel való együttműködésért felelős személyek kinevezése belső utasítások alapján

Mit ellenőriznek

Milyen dokumentumokat kell benyújtani

Tanács

A CIPF-nél dolgozni jogosult személyek nyilvántartásba vételének eljárása;

A CIPF felelős felhasználóinak funkcionális felelősségének rendelkezésre állása;

Rendszeres munkakörök létszáma és megfelelősége a kriptográfiai információvédelem megszervezésével kapcsolatos problémák megoldásához;

A CIPF-et használó személyek képzési folyamatának megszervezése

Jóváhagyott listák;

Az alkalmazottak funkcionális felelősségét igazoló dokumentumok;

Kriptográfiai eszközök felhasználói naplója;

Az alkalmazottak képzésének elvégzését igazoló dokumentumok

A következő dokumentumokkal kell rendelkeznie:

1) utasítások a CIPF-fel való együttműködéshez,

2) a CIPF-fel való együttműködésért felelős személyek kinevezése belső utasítások alapján

5. A CIPF működése

Mit ellenőriznek	Milyen dokumentumokat kell benyújtani	Tanács
A helyes üzembe helyezés ellenőrzése; A kriptográfiai információvédelmi rendszer műszaki állapotának felmérése; A határidők betartása és a teljesség Karbantartás; A CIPF használatára vonatkozó szabályok és az azokhoz kapcsolódó kiemelt dokumentumok kezelési rendjének betartásának ellenőrzése	CIPF üzembe helyezésének igazolásai; A CIPF példányonkénti elszámolásának naplója; A legfontosabb információkat tartalmazó adathordozók rögzítésének és kiadásának naplója	A következő dokumentumokat kell kidolgozni: 1) CIPF telepítési tanúsítványok, 2) a hajónapló nyomtatványok jóváhagyásának elrendelése

Mit ellenőriznek

Milyen dokumentumokat kell benyújtani

Tanács

A helyes üzembe helyezés ellenőrzése;

A kriptográfiai információvédelmi rendszer műszaki állapotának felmérése;

A határidők betartása és a teljesség Karbantartás;

A CIPF használatára vonatkozó szabályok és az azokhoz kapcsolódó kiemelt dokumentumok kezelési rendjének betartásának ellenőrzése

CIPF üzembe helyezésének igazolásai;

A CIPF példányonkénti elszámolásának naplója;

A legfontosabb információkat tartalmazó adathordozók rögzítésének és kiadásának naplója

A következő dokumentumokat kell kidolgozni:

1) CIPF telepítési tanúsítványok,

2) a hajónapló nyomtatványok jóváhagyásának elrendelése

6. Szervezési intézkedések

Mit ellenőriznek	Milyen dokumentumokat kell benyújtani	Tanács
Az elhelyezésre, a speciális felszerelésekre, a biztonságra és a rezsim megszervezésére vonatkozó követelmények teljesítése azokban a helyiségekben, ahol kriptográfiai információvédelmi rendszereket telepítenek, vagy ahol a kulcsfontosságú dokumentumokat tárolják; A CIPF tárolási módjának és a kulcsdokumentációnak a követelményeknek való megfelelése; Annak felmérése, hogy az üzemeltető milyen mértékben rendelkezik kriptokulcsokkal, és megszervezi azok szállítását; A kommunikáció visszaállítására vonatkozó utasítások elérhetőségének ellenőrzése a meglévő kulcsok CIPF-hez való kompromittálódása esetén	Működési dokumentáció a CIPF számára; A CIPF telepítésére és a számukra legfontosabb dokumentumok tárolására kijelölt helyiségek; Útmutató a meglévő CIPF-kulcsok kompromittálódása esetére	1) A FAPSI 152. utasítása követelményeinek való megfelelés. Különleges feltételektől függ; szükség lehet biztonsági felszerelésre, függöny felszerelésére az ablakokra, széf vásárlására stb. 2) Útmutató a CIPF-fel való munkához

Mit ellenőriznek

Milyen dokumentumokat kell benyújtani

Tanács

Az elhelyezésre, a speciális felszerelésekre, a biztonságra és a rezsim megszervezésére vonatkozó követelmények teljesítése azokban a helyiségekben, ahol kriptográfiai információvédelmi rendszereket telepítenek, vagy ahol a kulcsfontosságú dokumentumokat tárolják;

A CIPF tárolási módjának és a kulcsdokumentációnak a követelményeknek való megfelelése;

Annak felmérése, hogy az üzemeltető milyen mértékben rendelkezik kriptokulcsokkal, és megszervezi azok szállítását;

A kommunikáció visszaállítására vonatkozó utasítások elérhetőségének ellenőrzése a meglévő kulcsok CIPF-hez való kompromittálódása esetén

Működési dokumentáció a CIPF számára;

A CIPF telepítésére és a számukra legfontosabb dokumentumok tárolására kijelölt helyiségek;

Útmutató a meglévő CIPF-kulcsok kompromittálódása esetére

1) A FAPSI 152. utasítása követelményeinek való megfelelés. Különleges feltételektől függ; szükség lehet biztonsági felszerelésre, függöny felszerelésére az ablakokra, széf vásárlására stb.

2) Útmutató a CIPF-fel való munkához

A fenti követelmények mindegyike az FSB ellenőrzések lefolytatására vonatkozó szabályzatból következik. A konkrét intézkedéseket a 2001. június 13-i 152. számú FAPSI-rendeletnek megfelelően hajtják végre.

A követelmények legalább egy részének betartása jelentősen növeli annak valószínűségét, hogy az összes szabályozási eljárást bírság nélkül kell átmenni. Általánosságban elmondható, hogy a követelményekben nincs redundancia, minden intézkedés valóban fontos, és a szervezet érdekeit szolgálja.

Nyikita Jarkov, az SKB Kontur, Kontur-Safety projekt engedélyezési csoportjának vezetője

Hozzászólások...

Alexey, jó napot!
A 8. Központ válasza nem utal arra, hogy tanúsított CIPF használatára lenne szükség. De vannak „Módszertani ajánlások...”, amelyeket az oroszországi FSZB 8. központjának vezetése hagyott jóvá 2015. március 31-i 149/7/2/6-432 számon, amelyben a következő bekezdés található rész:

A személyes adatok ISPD-ben történő feldolgozása során történő biztonságának biztosítása érdekében olyan CIPF-et kell használni, amely az előírt módon átesett a megfelelőségértékelési eljáráson. Az orosz FSB által hitelesített CIPF-ek listája az oroszországi FSB engedélyezési, tanúsítási és államtitk-védelmi központjának hivatalos honlapján (www.clsz.fsb.ru) található. További információ Javasoljuk, hogy a konkrét információbiztonsági eszközökről közvetlenül az eszközök fejlesztőitől vagy gyártóitól szerezzen információkat, és szükség esetén azoktól a szakosodott szervezetektől, amelyek esettanulmányokat készítettek ezekről az eszközökről;

Miért nem kötelező ez a tanúsított CIPF használatának?

Az oroszországi FSZB 2014. július 10-i 378. számú végzése kimondja: „olyan információbiztonsági eszközök használata, amelyek megfeleltek a jogszabályi követelményeknek való megfelelés értékelésére. az Orosz Föderáció által az információbiztonság területén, azokban az esetekben, amikor ilyen eszközök alkalmazása szükséges a jelenlegi fenyegetések semlegesítéséhez."

Ez „amikor ilyen eszközök használata szükséges a jelenlegi fenyegetések semlegesítéséhez” kissé zavaró. De mindezt az igényt le kell írni a behatoló modellben.

De ebben az esetben is a 2015. évi „Módszertani ajánlások...” 3. pontja kimondja, hogy „Olyan kommunikációs csatornák (vonalak) használatakor, amelyekről nem lehet lehallgatni a rajtuk továbbított védett információt, és (vagy) jogosulatlan befolyásolás lehetetlen Ezt az információt fel kell tüntetni az információs rendszerek általános leírásában:
- azon módszerek és eszközök leírása, amelyek megvédik ezeket a csatornákat a jogosulatlan hozzáféréstől;
- az e kommunikációs csatornák (vonalak) biztonságáról szóló tanulmányok eredményein alapuló következtetések a rajtuk keresztül továbbított védett információkhoz való jogosulatlan hozzáféréstől az ilyen tanulmányok lefolytatására jogosult szervezet által, hivatkozással az e következtetéseket tartalmazó dokumentumra."

Mit értek ez alatt - igen, nem kell mindig és mindenhol kriptográfiai információvédelmet alkalmazni a személyes adatok kezelésének biztonsága érdekében. Ehhez azonban létre kell hozni egy modellt az elkövetőről, ahol mindez leírható és bizonyítható. Két esetről írtál, amikor szükséged van rájuk. Hanem az, hogy a személyes adatok kezelésének biztonsága érdekében csatornák megnyitása kommunikációt, vagy ha ezeknek a személyes adatoknak a feldolgozása túlmutat az ellenőrzött zóna határain, használhat nem hitelesített CIPF-et - ez nem ilyen egyszerű. És megtörténhet, hogy egyszerűbb hitelesített kriptográfiai információvédelmi eszközöket használni, és minden követelményt betartani azok működése és tárolása során, mint nem hitelesített termékeket és fenékfejeket használni a szabályozóval, aki egy ilyen helyzet láttán nagyon megpróbálja dörzsölni. be az orruk.

Ismeretlen megjegyzések...

Az az eset, amikor ilyen eszközök alkalmazása szükséges a jelenlegi fenyegetések semlegesítéséhez: az oroszországi FSTEC 2013. február 11-i 17. számú rendelete (az állami és önkormányzati ISPDn-re vonatkozó követelmények),

11. záradék Az információs rendszerben található információk védelmének biztosítása érdekében olyan információbiztonsági eszközöket használnak, amelyek a december 27-i szövetségi törvény 5. cikkével összhangban az információbiztonsági követelményeknek való megfelelésről szóló kötelező tanúsítvány formájában teljesítették a megfelelőségértékelést. , 2002 No. 184-FZ „A műszaki előírásokról”.

Alexey Lukatsky kommentálja...

Proximo: Az FSB ajánlásai illegitimek. A 378-as rendelet jogos, de minden jogszabály összefüggésében figyelembe kell venni, és kimondja, hogy a megfelelőségértékelés sajátosságait a kormány vagy az elnök határozza meg. Sem egyik, sem a másik nem adott ki ilyen jogi aktusokat

Alexey Lukatsky kommentálja...

Anton: Az államigazgatásban az igazolási kötelezettséget törvény írja elő, a 17. parancs egyszerűen megismétli azokat. És a PDn-ről beszélünk

Ismeretlen megjegyzések...

Alexey Lukatsky: Nem. Az FSB ajánlásai illegitimek" Mennyire illegitimek? A 2015. május 19-i 149/7/2/6-432 számú dokumentumról beszélek (http://www.fsb.ru/fsb/science/ single.htm!id%3D10437608 %40fsbResearchart.html), de nem a 2008. 02. 21-i 149/54-144 számú dokumentumról.

Korábban egy másik szakember is megkereste az FSZB-t hasonló témában, és azt mondták neki, hogy az FSZB 2008-as „Módszertana...” és „Ajánlások...” című részét nem kell használni, ha arról van szó. ezeket a dokumentumokat. De ismét, ezeket a dokumentumokat hivatalosan nem törölték. Azt pedig, hogy ezek a dokumentumok jogosak-e vagy sem, úgy gondolom, az FSZB ellenőrei az ellenőrzés során a helyszínen döntenek majd.

A törvény kimondja, hogy a személyes adatokat védeni kell. A kormány, az FSB és az FSTEC szabályzatai pontosan meghatározzák, hogyan kell védeni őket. Az FSZB szabályzata így szól: "Tanúsítványt használjon. Ha nem akar tanúsítványt, igazolja, hogy tudja használni. És legyen olyan kedves, hogy csatoljon erről egy olyan cégtől származó következtetést, amelyik rendelkezik engedéllyel ilyen következtetések kiadására." Valami ilyesmi...

Alexey Lukatsky kommentálja...

1. Minden ajánlás ajánlás, és nem kötelező követelmény.
2. A 2015-ös kézikönyvnek semmi köze a PD kezelőihez - azokra a kormánytisztviselőkre vonatkozik, akik fenyegetési modelleket írnak az alárendelt intézmények számára (az 1. pont figyelembevételével).
3. Az FSB-nek nincs joga ellenőrizni a kereskedelmi PD üzemeltetőket, és a kormányzati szervek számára nem éri meg a nem hitelesített kriptográfiai információvédelem alkalmazásának kérdése - kötelesek tanúsított megoldások, függetlenül a PD jelenlététől, ezek a 149-es szövetségi törvény követelményei.
4. A szabályzat megmondja, hogyan kell védekezni, és ez normális. De nem tudják meghatározni a védőfelszerelés értékelési formáját - ezt csak a kormány vagy az elnök rendelete teheti meg. Az FSB nem jogosult erre

Ismeretlen megjegyzések...

Az 1119-es rendelet szerint:

4. A személyes adatok védelmére szolgáló rendszer információbiztonsági eszközeinek megválasztását az üzemeltető az Orosz Föderáció Szövetségi Biztonsági Szolgálata és a Szövetségi Műszaki és Exportellenőrzési Szolgálat által a 4. rész értelmében elfogadott szabályozási jogi aktusokkal összhangban végzi el. a „Személyes adatokról” szóló szövetségi törvény 19. cikke.
13.g. Olyan információbiztonsági eszközök használata, amelyek az Orosz Föderáció információbiztonsági jogszabályai követelményeinek való megfelelés értékelésén estek át, olyan esetekben, amikor ilyen eszközök használata szükséges a jelenlegi fenyegetések semlegesítéséhez.

Hogyan igazolható a fenyegetés relevanciájának hiánya a személyes adatok távközlési szolgáltató csatornáin történő továbbítása során?

Azok. ha nem CIPF, akkor látszólag
- terminál hozzáférés és vékony kliensek, hanem egyúttal a terminál információbiztonsági adatait is
a hozzáférést hitelesíteni kell.
- a csatornák távközlési védelme, a távközlési szolgáltató (szolgáltató) felelőssége.

Alexey Lukatsky kommentálja...

Az irrelevánsságot az üzemeltető határozza meg, és ehhez nincs szüksége senkire