Az skzi fsb követelményei. Hogyan készüljünk fel a személyes adatok tervezett FSB-ellenőrzésére? A kriptográfiai információvédelmi intézkedések rendszerének megszervezése

A kriptográfiai védelmi eszközök (CIPF) használata nagyon kétértelmű és csúszós téma. A PD üzemeltetőjének azonban joga van tényleges fenyegetés esetén CIPF-et alkalmazni a védelem biztosítása érdekében. De nem mindig világos, hogyan kell élni ezzel a joggal. És most az FSB megkönnyíti az életet, kiadták az állami IS-re és az összes többi PD-üzemeltetőre egyaránt alkalmazható módszertani ajánlásokat tartalmazó dokumentumot. Nézzük meg közelebbről ezt a dokumentumot.

Így is történt – tette közzé az FSZB 8. központja ajánlások ismertetése a PD védelmét szolgáló szabályozó jogszabályok kidolgozása terén. Ugyanakkor ajánlott ugyanazt a dokumentumot használni az ISPD operátorok számára bizonyos fenyegetési modellek fejlesztésekor.

Tehát mit gondol az FSB arról, hogyan és hol kell alkalmazni a CIPF-et?

Ez elég fontos ez a dokumentum csak az FSB honlapján teszik közzé,nincs regisztrációjaaz Igazságügyi Minisztériumban ésnincs aláírásaés- vagyis jogi jelentőségét és kötelező érvényét az irányelveken belül marad. Ezt fontos megjegyezni.

Nézzünk bele, a dokumentum preambuluma meghatározza ezt az ajánlást "ért szövetségi szervek végrehajtó hatalom… egyéb állami szervek… amelyek… olyan szabályozási jogszabályokat fogadnak el, amelyek meghatározzák a személyes adatok biztonságát fenyegető veszélyeket, amelyek relevánsak a személyes adatok feldolgozásakor információs rendszerek ah személyes adat (továbbiakban: ISPD), amelyet a vonatkozó tevékenységtípusok során hasznosítottak.”. Azok. kifejezett utalás történik az állami információs rendszerekre.

Ugyanakkor ugyanezeket a normákat „a fejlesztéstől is célszerű vezérelni privát fenyegetettségi modellek a személyes adatok információs rendszereinek üzemeltetői, akik a pénzeszközök felhasználásáról döntöttek kriptográfiai információvédelem(a továbbiakban: CIPF) a személyes adatok biztonságának biztosítása érdekében”. Azok. a dokumentum ebben az esetben minden felhasználó számára univerzálissá válik.

Mikor szükséges az SKZI használata?

A CIPF használata a személyes adatok biztonsága érdekében az alábbi esetekben szükséges:

1. ha a személyes adatok a törvény értelmében kriptográfiai védelem alá esnek Orosz Föderáció;
2. ha az információs rendszerben olyan veszélyek vannak, amelyeket csak a CIPF segítségével lehet semlegesíteni.

1. személyes adatok továbbítása olyan kommunikációs csatornákon keresztül, amelyek nincsenek védettek a rajtuk keresztül továbbított információk elkövető általi lehallgatásától vagy az ezen információk jogosulatlan befolyásolásától (például személyes adatok nyilvános információs és távközlési hálózatokon történő továbbításakor);
2. személyes adatok tárolása információhordozókon, amelyekhez a jogsértő illetéktelen hozzáférése nem kriptográfiai módszerekkel és módszerekkel nem zárható ki.

És innen jövünk. Ha a második pont is teljesen logikus, akkor az első nem annyira nyilvánvaló. A tény az, hogy a „Személyes adatokról” szóló törvény jelenlegi változata szerint név, vezetéknév és családnév már személyes adatok. Ennek megfelelően az oldalon minden levelezés vagy regisztráció (figyelembe véve, hogy a regisztráció során mennyi adatot igényel) formálisan e meghatározás alá tartozik.

De ahogy mondják, nincsenek kivételek nélküli szabályok. A dokumentum végén két táblázat található. Itt csak egy sor van Alkalmazások #1.

Jelenlegi fenyegetés:

1.1. támadást hajt végre az ellenőrzött zónában.

A távolmaradás oka (a lista kissé rövidített):

1. az ISPD-t használó, de nem CIPF-felhasználó munkavállalókat tájékoztatják az ISPD-ben történő munkavégzés szabályairól és az információbiztonsági szabályok be nem tartásáért való felelősségről;
2. A CIPF-felhasználók tájékoztatást kapnak az ISPD-ben való munkavégzés szabályairól, a CIPF-fel való munkavégzés szabályairól és az információbiztonsági szabályok be nem tartása esetén fennálló felelősségről;
3. azokat a helyiségeket, amelyekben a kriptográfiai információvédelmi rendszer található, zárható bejárati ajtókkal kell felszerelni, biztosítva, hogy a helyiségek ajtaja tartósan zárva legyen, és csak engedélyezett áthaladás céljából nyíljanak ki;
4. jóváhagyta a CIPF székhelye szerinti helyiségekbe való belépésre vonatkozó szabályokat munka- és munkaidőn kívül, valamint vészhelyzetekben;
5. jóváhagyták azon személyek listáját, akik jogosultak belépni azon helyiségekbe, ahol a CIPF található;
6. a felhasználók védett erőforrásokhoz való hozzáférésének megkülönböztetése és ellenőrzése;
7. felhasználói műveletek regisztrálása és elszámolása PD-vel;

8. azokon a munkaállomásokon és szervereken, amelyekre a CIPF telepítve van:

   tanúsított eszközöket használnak az információk illetéktelen hozzáféréssel szembeni védelmére;
9. tanúsított vírusvédelmi eszközöket használnak.

Vagyis ha a felhasználókat tájékoztatják a szabályokról és felelősségekről, és védőintézkedéseket alkalmaznak, akkor kiderül, hogy nincs miért aggódni.

• a személyes adatok biztonságának biztosítása érdekében azok ISPD-ben történő feldolgozása során olyan kriptográfiai információvédelmi eszközöket kell használni, amelyek az előírt módon átmentek a megfelelőségértékelési eljáráson.

Igaz, kicsit lejjebb írja, hogy a TsLSZ FSB honlapján megtalálható a hitelesített kriptográfiai információvédelmi eszközök listája. Többször elhangzott, hogy a megfelelőségértékelés nem tanúsítás.

• a megállapított eljárásnak megfelelően lefolyt CIPF megfelelőségértékelési eljárások hiányában ... előzetes terv vagy tervezet (vázlat-műszaki) projekt szakaszában az információs rendszer fejlesztője az üzemeltető (meghatalmazott) részvételével a javasolt CIPF fejlesztő pedig indoklást készít egy új típusú CIPF kidolgozásának célszerűségére és meghatározza annak funkcionális tulajdonságaira vonatkozó követelményeket.

Nagyon tetszik. A tény az, hogy tanúsítvány a folyamat nagyon hosszú - akár hat hónapig vagy tovább. Az ügyfelek gyakran a legújabb operációs rendszereket használják, amelyeket a tanúsított verzió nem támogat. E dokumentum szerint a vásárlók olyan termékeket használhatnak, amelyek tanúsítás alatt állnak.

A dokumentum kimondja, hogy:

Olyan kommunikációs csatornák (vonalak) használatakor, amelyekről lehetetlen a rajtuk keresztül továbbított védett információ lehallgatása és (vagy) amelyeken nem lehet jogosulatlan műveleteket végrehajtani ezen információkon, amikor Általános leírása információs rendszerek, meg kell adnia:

1. azoknak a módszereknek és eszközöknek a leírása, amelyek megvédik ezeket a csatornákat a jogosulatlan hozzáféréstől;
2. az e kommunikációs csatornák (vonalak) biztonságáról szóló tanulmányok eredményein alapuló következtetéseket a rajtuk keresztül továbbított védett információkhoz való jogosulatlan hozzáféréstől az ilyen tanulmányok lefolytatására jogosult szervezet által, hivatkozással az e következtetéseket tartalmazó dokumentumra.

Itt azonban számos árnyalat van: a titkosítási eszközök könyvelése és tárolása, a CIPF-hez való hozzáférés, használatukra vonatkozó szabályokat szigorúan a törvényi előírásoknak megfelelően kell végrehajtani.

Az információvédelmi szabályok megsértése az Orosz Föderáció közigazgatási szabálysértési kódexének 13.12. cikkével összhangban számos szankciót vonhat maga után: pénzbírságot a tisztviselők és szervezetek számára, valamint maguknak a kriptográfiai védelmi eszközöknek az elkobzását. Ennek az lehet az eredménye, hogy nem lehet elektronikus jelentést küldeni, vagy blokkolja az intézmény munkáját az adatcsere rendszerben.

A személyes adatok biztonságát szolgáló titkosító eszközök (a továbbiakban: PD) használatának rendszeres ellenőrzése az alábbi szabályzatok előírásai alapján történik:

• 2006. július 27-i szövetségi törvény, 152-FZ „A személyes adatokról”;
• Az orosz FSZB 2014. július 10-i 378. számú rendelete;
• 2001. június 13-án kelt 152. számú FAPSI utasítás;
• és számos egyéb szabályozó dokumentum.

Az FSZB éves ellenőrzési tervét az Orosz Föderáció Legfőbb Ügyészségének hivatalos honlapján teszik közzé. Itt bármely szervezet TIN vagy OGRN alapján tájékozódhat az aktuális évben soron következő ellenőrzésekről, azok időtartamáról és időszakáról.

Az FSB-ellenőrzésre való felkészüléshez számos szervezési intézkedést kell végrehajtani, ki kell dolgozni és jóvá kell hagyni a CIPF-fel végzett munkával kapcsolatos dokumentumokat.

A következő kérdések megválaszolása segít megszervezni az audit előkészítését, és a tennivalókra összpontosítani:

1. Rendelkezik-e a szervezet az információk kriptográfiai védelmével? Vannak-e dokumentumok a beszerzésükről, vezetnek-e nyilvántartást? Milyen dokumentumok szabályozzák a CIPF elidegenítésre és felhasználásra történő átadását?
2. A vállalkozás melyik osztálya felelős a CIPF-fel való együttműködésért, nevezetesen: következtetések levonása a CIPF használatának lehetőségéről, intézkedések kidolgozása a használt CIPF működését és biztonságát a számukra kiadott tanúsítványok feltételei szerint, tételes elszámolás a felhasznált CIPF-ről, az ezekre vonatkozó működési és műszaki dokumentációt, a szolgáltatók számláját bizalmas információ, a CIPF felhasználási feltételeinek betartásának ellenőrzése, a CIPF felhasználási feltételeinek megsértésének tényállásának vizsgálata és következtetések levonása, a bizalmas információk kriptográfiai védelmének megszervezésére szolgáló séma kidolgozása?
3. Milyen dokumentumok szabályozzák a fent megjelölt osztály létrehozását, és milyen dokumentumok jelölik ki az osztályon belüli tevékenységek elvégzéséért felelős személyeket?
4. Kidolgoztak-e szabályozást a CIPF elszámolására és tárolására?
5. Jóváhagyták-e a CIPF számviteli naplók nyomtatványait, hogyan tartják karban?
6. Meghatározták-e a felelősök körét és a felelősséget a CIPF-fel való együttműködés szabályainak megsértése esetén?
7. Hogyan zajlik az SZKI tárolása, hozzáférésének biztosítása?

Minden dokumentumot a szervezet vezetőjének vagy felhatalmazott személyének jóvá kell hagynia, a titoktartás nem szükséges, azonban a dokumentumok csak a szervezet alkalmazottainak és az ellenőröknek szóljanak.

Az FSB ellenőrzések során az ügyfelek támogatásának tapasztalata lehetővé tette számunkra, hogy azonosítsuk azokat a legjellemzőbb blokkokat, amelyekre a szabályozó testület figyelmet fordít.

1. A személyes adatok védelmét szolgáló szervezeti intézkedések rendszerének megszervezése

2. A kriptográfiai információvédelmi intézkedések rendszerének megszervezése

3. Engedélyek és működési dokumentáció

4. A szerviz személyzettel szemben támasztott követelmények

5. A CIPF működése

6. Szervezeti rendelkezések

A fenti követelmények mindegyike az FSB ellenőrzéseinek lefolytatására vonatkozó szabályzatból következik. A konkrét intézkedéseket a 2001. június 13-i 152. számú FAPSI-rendeletnek megfelelően hajtják végre.

A követelmények legalább egy részének betartása jelentősen megnöveli annak valószínűségét, hogy minden szabályozási eljárást bírság nélkül kell átmenni. Általánosságban elmondható, hogy a követelményekben nincs redundancia, minden intézkedés valóban fontos, és a szervezet érdekeit védi.

Nyikita Jarkov, az SKB Kontur licencelési csoportjának vezetője, Kontur-Safety projekt

Regisztrációs szám: N 33620

A 2006. július 27-i N 152-FZ „A személyes adatokról” 1 szövetségi törvény 19. cikkének 4. részével összhangban Rendelek:

jóváhagyja az Orosz Föderáció kormánya által a személyes adatok védelmére megállapított követelmények teljesítéséhez szükséges kriptográfiai információvédelmi eszközöket használó személyes adatok adatkezelése során a személyes adatok biztonságának biztosítására szolgáló szervezési és technikai intézkedések mellékelt terjedelmét és tartalmát. az egyes biztonsági szintekhez.

Rendező A. Bortnikov

1 Az Orosz Föderáció Jogszabálygyűjteménye, 2006, N 31 (I. rész), art. 3451; 2009, N 48, Art. 5716; N 52 (I. rész), art. 6439; 2010, N 27, Art. 3407; N 31, art. 4173, Art. 4196; 49. sz. 6409; N 52 (I. rész), art. 6974; 2011, N 23, art. 3263; N 31, art. 4701; 2013, N 14, Art. 1651; N 30 (I. rész), art. 4038.

Alkalmazás

Az Orosz Föderáció kormánya által a személyes adatok védelmére vonatkozó követelmények teljesítéséhez szükséges kriptográfiai információvédelmi eszközöket használó személyes adatok információs rendszerekben történő feldolgozása során a személyes adatok biztonságát biztosító szervezési és technikai intézkedések összetétele és tartalma. a biztonsági szintekről

I. Általános rendelkezések

1. Jelen dokumentum meghatározza azon szervezeti és technikai intézkedések összetételét és tartalmát, amelyek biztosítják a személyes adatok biztonságát a személyes adatok információs rendszereiben (a továbbiakban: információs rendszer) kriptográfiai információvédelmi eszközökkel (a továbbiakban: CIPF) történő feldolgozásuk során. szükséges ahhoz, hogy megfeleljenek az Orosz Föderáció kormánya által a személyes adatok védelmére meghatározott követelményeknek az egyes biztonsági szintek tekintetében.

2. Ez a dokumentum a CIPF-et használó üzemeltetők számára készült, hogy biztosítsák a személyes adatok biztonságát az információs rendszerekben történő feldolgozásuk során.

3. A jelen dokumentumban meghatározott szervezési és technikai intézkedések alkalmazásáról az üzemeltető gondoskodik, figyelembe véve a kriptográfiai információvédelemre vonatkozó operatív dokumentumok követelményeit, amelyek célja a személyes adatok biztonságának biztosítása az információs rendszerekben történő feldolgozásuk során.

4. A CIPF működését a CIPF-re vonatkozó dokumentációnak és az e dokumentumban meghatározott követelményeknek, valamint az érintett terület viszonyait szabályozó egyéb szabályozó jogszabályoknak megfelelően kell végezni.

II. Az Orosz Föderáció kormánya által megállapított követelmények teljesítéséhez szükséges szervezeti és technikai intézkedések összetétele és tartalma a személyes adatok védelmére 4 biztonsági szinthez

5. Az Orosz Föderáció kormányának 2012. november 1-jei N1119 1 rendeletével jóváhagyott, a személyes adatoknak a személyes adatok információs rendszerekben történő feldolgozása során történő védelmére vonatkozó követelmények (a továbbiakban: a személyes adatokra vonatkozó követelmények) 13. pontjával összhangban. személyes adatok védelme), a személyes adatok 4. szintű biztonságának biztosításához az információs rendszerekben történő feldolgozásuk során az alábbi követelményeknek kell teljesülniük:

a) olyan rendszer megszervezése, amely biztosítja azon helyiségek biztonságát, amelyekben az információs rendszer található, megakadályozva azon személyek ellenőrizetlen belépését vagy tartózkodását ezekbe a helyiségekbe, akik nem rendelkeznek hozzáférési joggal;

b) a személyes adathordozók biztonságának biztosítása;

c) az információs rendszerben kezelt személyes adatokhoz való hozzáférést hivatali (munkaügyi) feladataik ellátásához szükséges személyek listáját meghatározó dokumentum üzemeltetőjének jóváhagyása;

d) olyan információbiztonsági eszközök használata, amelyek átmentek az Orosz Föderáció információbiztonsági jogszabályai követelményeinek való megfelelés értékelésére szolgáló eljáráson, abban az esetben, ha ilyen eszközök használata szükséges a jelenlegi fenyegetések semlegesítéséhez.

6. A jelen dokumentum 5. bekezdésének "a" alpontjában meghatározott követelmény teljesítése érdekében olyan rendszert kell biztosítani, amely megakadályozza az ellenőrizetlen belépést vagy tartózkodást azon helyiségekbe, ahol a használt CIPF található, a CIPF és (vagy) kulcs-, hitelesítő- és jelszó-információ hordozói CIPF (a továbbiakban - Telephely), olyan személyek kerülnek tárolásra, akik nem rendelkeznek hozzáférési joggal a Telephelyhez, ami az alábbiakkal érhető el:

a) a Helyiség zárakkal ellátott bejárati ajtókkal való felszerelése, a Helyiségek ajtajának tartós bezárásának és csak engedélyezett átjárásra nyílásának biztosítása, valamint a Helyiségek munkanap végén történő lezárása vagy a Helyiség megfelelő felszerelése technikai eszközök, jelzi a Helyiség jogosulatlan megnyitását;

b) a Munkahelyiség munka- és munkaidőn kívüli, valamint rendkívüli helyzetekben történő belépés szabályainak jóváhagyása;

c) a Helyiségbe való belépésre jogosultak névsorának jóváhagyása.

7. A jelen dokumentum 5. bekezdésének "b" alpontjában meghatározott követelmény teljesítéséhez szükséges:

a) a kivehető személyes adathordozókat belső zárral felszerelt széfekben (fémszekrényekben) tárolni, két vagy több duplikált kulccsal, valamint kulcslyukak vagy kombinációs zárak lezárására szolgáló eszközökkel. Ha a személyes adatok cserélhető gépi adathordozóján csak személyes adatokat tárolnak CIPF-fel titkosított formában, akkor az ilyen adathordozók széfeken (fémszekrényeken) kívül tárolhatók;

b) a személyes adatok gépi hordozóinak esetenkénti elszámolása, amely a személyes adathordozók nyilvántartási (sorszámos) nyilvántartásának vezetésével valósul meg.

8. A jelen dokumentum 5. bekezdésének "c" alpontjában meghatározott követelmény teljesítéséhez szükséges:

a) kidolgozza és jóváhagyja azon személyek listáját, akiknek az információs rendszerben kezelt személyes adataihoz hivatali (munkaügyi) feladataik ellátásához hozzáférése szükséges;

b) naprakészen tartsa azon személyek névsorát meghatározó dokumentumot, akiknek az információs rendszerben kezelt személyes adataihoz való hozzáférése hivatali (munkaügyi) feladataik ellátásához szükséges.

9. A jelen dokumentum (5) bekezdése "d" alpontjában meghatározott követelmény teljesítéséhez a személyes adatok védelmének minden szintjén a megfelelő osztályba tartozó kriptográfiai információvédelmi eszközöket kell használni, amelyek lehetővé teszik a személyes adatok biztonságának biztosítását. amikor célzott műveleteket hajt végre hardver és (vagy) szoftver eszközök a CIPF által védett személyes adatok biztonságának megsértése vagy az ehhez szükséges feltételek megteremtése (a továbbiakban: támadás) céljából, amelyet úgy ér el:

a) kiindulási adatok beszerzése a módszerek létrehozásában, a támadások előkészítésében és lebonyolításában felhasználható lehetőségekről feltételezések halmazának kialakításához;

b) a módszerek létrehozása, a támadások előkészítése és lebonyolítása során felhasználható lehetőségekre vonatkozó feltételezések halmazának kialakítása és jóváhagyása az üzemeltető vezetője által, és ez alapján meghatározva és figyelembe véve a kívánt osztály tényleges fenyegetéseinek típusát. kriptográfiai információvédelem;

c) felhasználás a személyes adatok megkívánt biztonsági szintjének biztosítására a KS1 és magasabb osztályú CIPF információs rendszerben történő feldolgozásuk során.

10. A KS1 osztályú CIPF a támadások semlegesítésére szolgál, metódusok létrehozása, előkészítése és végrehajtása során az alábbiak közül a képességeket használják fel:

a) módszerek kidolgozása, támadások előkészítése és végrehajtása szakemberek bevonása nélkül a kriptográfiai információvédelem fejlesztésébe és elemzésébe;

b) módszerek kidolgozása, támadások előkészítése és végrehajtása különböző szakaszokban életciklus CIPF 2;

c) támadás végrehajtása azon a területen kívül, amelyen belül a személyek és/vagy járművek tartózkodása és tevékenysége ellenőrzése történik (a továbbiakban: ellenőrzött zóna) 3 ;

d) a következő támadások végrehajtása a CIPF fejlesztése (korszerűsítése), gyártása, tárolása, szállítása, valamint a CIPF üzembe helyezési szakaszában (üzembe helyezési munkák):

jogosulatlan változtatások bevezetése a CIPF-ben és (vagy) olyan hardver- és szoftvereszközök összetevőiben, amelyekkel együtt a CIPF normálisan és a CIPF (a továbbiakban: SF) működési környezetet reprezentáló összességében működik, amely befolyásolhatja a CIPF-re vonatkozó követelmények teljesítését, beleértve a rosszindulatú programok használatát is;

jogosulatlan módosítások bevezetése a CIPF és az SF összetevői dokumentációjában;

e) támadások végrehajtása a CIPF működésének szakaszában:

személyes adatok;

a CIPF kulcs-, hitelesítés- és jelszóinformációi;

a CIPF szoftverösszetevői;

a CIPF hardverelemei;

SF szoftverösszetevők, beleértve a BIOS-szoftvert;

SF hardver alkatrészek;

kommunikációs csatornákon továbbított adatok;

egyéb objektumok, amelyek a módszerek létrehozásában, a támadások előkészítésében és lebonyolításában felhasználható lehetőségekre vonatkozó javaslatcsomag kialakítása során jönnek létre, figyelembe véve az információs rendszerben használtakat információs technológiák, hardver (a továbbiakban AC) és szoftver(a továbbiakban: szoftver);

f) a CIPF-et használó információs rendszerrel kapcsolatos információk beszerzése szabadon elérhető forrásokból (ideértve az információs és távközlési hálózatokat is, amelyekhez nem korlátozódik a személyek meghatározott köre, ideértve az internetes információs és távközlési hálózatot is). Ebben az esetben a következő információk szerezhetők be:

általános információk arról az információs rendszerről, amelyben a CIPF-et használják (cél, összetétel, üzemeltető, objektumok, amelyekben az információs rendszer erőforrásai találhatók);

információ az információs technológiákról, adatbázisokról, AS-ról, az információs rendszerben a CIPF-fel együtt használt szoftverekről, kivéve a csak az információtechnológiai tervdokumentációban szereplő információkat, adatbázisokat, AU-kat, az információs rendszerben a CIPF-fel együtt használt szoftvereket;

általános információk a CIPF működése során felhasznált védett információkról;

tájékoztatás azokról a kommunikációs csatornákról, amelyeken keresztül a CIPF által védett személyes adatokat továbbítják (a továbbiakban: kommunikációs csatorna);

minden lehetséges adat továbbított nyitott forma kommunikációs csatornákon keresztül, amelyeket szervezeti és technikai intézkedések nem védenek az információkhoz való jogosulatlan hozzáféréstől;

tájékoztatás a CIPF és az SF működési szabályainak minden olyan megsértéséről, amely olyan kommunikációs csatornákon jelenik meg, amelyek szervezeti és technikai intézkedésekkel nem védettek az információkhoz való jogosulatlan hozzáféréstől;

minden olyan kommunikációs csatornában megnyilvánuló információ, amely nem védett az információkhoz való jogosulatlan hozzáféréstől szervezeti és technikai intézkedésekkel, a CIPF és az SF hardverelemeinek hibáival és hibáival szemben;

a CIPF és az SF hardverkomponenseitől származó jelek elemzése eredményeként kapott információ;

g) jelentkezés:

szabadon hozzáférhető vagy használható az ellenőrzött területen kívüli AS és szoftver, beleértve a CIPF és SF hardver- és szoftverkomponenseit;

speciálisan tervezett AS és szoftver;

h) a műveleti szakaszban a támadás előkészítése és (vagy) lebonyolítása során végrehajtott műveletek közvetítésének eszközeként történő felhasználása a támadás alanyától a támadás tárgyáig (tárgytól alanyáig):

kommunikációs csatornák, amelyeket szervezeti és technikai intézkedések nem védenek az információkhoz való jogosulatlan hozzáféréstől;

a CIPF és az SF működését kísérő jelek elosztási csatornái;

i) támadás végrehajtása a működési szakaszban információs és távközlési hálózatokból, amelyekhez a hozzáférés nem korlátozódik egy bizonyos körre, ha a CIPF-et használó információs rendszerek hozzáférnek ezekhez a hálózatokhoz;

j) a CIPF működési helyein használt információs rendszer eszközeinek összetételéből az ellenőrzött területen kívül található AS és szoftverek működési szakaszában történő felhasználása (a továbbiakban: standard eszközök).

11. A KS2 osztályú CIPF a támadások semlegesítésére szolgál, olyan módszerek létrehozása, előkészítése és végrehajtása során, amelyek a jelen dokumentum 10. pontjában felsoroltak képességeit és az alábbi kiegészítő szolgáltatások legalább egyikét használják:

a) támadás végrehajtása az ellenőrzött zónán belül;

b) támadások végrehajtása a CIPF működési szakaszában a következő objektumok ellen:

a CIPF és SF összetevők dokumentációja.

Olyan helyiségek, amelyekben önállóan vagy más rendszerek részeként (a továbbiakban - SVT) működő adatfeldolgozó rendszerek szoftverei és műszaki elemei találhatók, amelyeken a CIPF és az SF megvalósul;

c) a kapott felhatalmazás keretein belül, valamint a megfigyelések eredményeként a következő információk megszerzése:

információ azon objektumok fizikai védelmi intézkedéseiről, amelyekben az információs rendszer erőforrásai találhatók;

információk azokról az intézkedésekről, amelyek biztosítják az objektumok ellenőrzött területét, ahol az információs rendszer erőforrásai találhatók;

információk az olyan helyiségekhez való hozzáférés korlátozására vonatkozó intézkedésekről, amelyekben a számítógépes berendezés található, és amelyen a CIPF és az SF megvalósul;

d) felhasználás rendszeres alapok korlátozzák a CIPF-et használó információs rendszerben végrehajtott, a jogosulatlan cselekmények megelőzését és visszaszorítását célzó intézkedések.

12. A KS3 osztályú CIPF a támadások semlegesítésére szolgál, olyan módszerek létrehozása, előkészítése és végrehajtása során, amelyek a jelen dokumentum 10. és 11. pontjában felsoroltak közül a lehetőségeket és az alábbi kiegészítő funkciók legalább egyikét kihasználják:

a) fizikai hozzáférés az SVT-hez, amelyen a CIPF és az SF megvalósul;

b) a CIPF és SF hardverösszetevőinek képessége, amelyet a CIPF-et használó információs rendszerben végrehajtott intézkedések korlátoznak, és amelyek célja a jogosulatlan tevékenységek megakadályozása és visszaszorítása.

13. A KB osztályú CIPF a támadások semlegesítésére szolgál, olyan módszerek létrehozása, előkészítése és végrehajtása során, amelyek a jelen dokumentum 10-12.

a) módszerek kidolgozása, támadások előkészítése és végrehajtása szakemberek bevonásával a CIPF és az SF működését kísérő jelelemzés, valamint az alkalmazási szoftverek dokumentálatlan (bejelentetlen) képességeinek támadások megvalósítására való felhasználása területén;

b) az ellenőrzött területen kívül használt CIPF laboratóriumi vizsgálatainak elvégzése, amelyet a CIPF-et használó információs rendszerben végrehajtott intézkedések korlátoznak, és amelyek célja a jogosulatlan tevékenységek megakadályozása és visszaszorítása;

c) támadási módszerek és eszközök kidolgozása a kriptográfiai információvédelem és az SF fejlesztésére és elemzésére szakosodott kutatóközpontokban, beleértve a forráskód tartalmazza a hívásokat közvetlenül használó SF alkalmazásszoftverben szoftver jellemzői SKZI.

14. A KA osztályú CIPF a támadások semlegesítésére szolgál, olyan módszerek létrehozása, előkészítése és végrehajtása során, amelyek a jelen dokumentum 10-13.

a) módszerek kidolgozása, támadások előkészítése és végrehajtása szakemberek bevonásával a rendszerszoftver dokumentálatlan (be nem jelentett) képességeinek támadások végrehajtására való felhasználása területén;

b) az SF hardver- és szoftverkomponenseinek tervdokumentációjában szereplő információk birtoklása;

c) a CIPF és az SF összes hardverösszetevőjének birtoklása.

15. A módszerek létrehozásában, a támadások előkészítésében és lebonyolításában felhasználható lehetőségekre vonatkozó feltételezések halmazának kialakítása során, további jellemzők, amelyek nem szerepelnek a jelen dokumentum 10–14. pontjában felsoroltakban, nem érintik a CIPF szükséges osztályának meghatározására vonatkozó eljárást.

III. Az Orosz Föderáció kormánya által megállapított követelmények teljesítéséhez szükséges szervezeti és technikai intézkedések összetétele és tartalma a személyes adatok védelmére a 3-as biztonsági szinthez

16. A személyes adatok védelmére vonatkozó követelmények 14. pontja szerint a személyes adatok 3. szintű védelmének biztosítása érdekében az információs rendszerekben történő feldolgozásuk során, a jelen dokumentum (5) bekezdésében foglalt követelmények teljesítése mellett. , az információs rendszerben található személyes adatok biztonságának biztosításáért felelős tisztségviselő (munkavállaló) kijelölésére vonatkozó követelmény teljesítése szükséges.

17. A jelen dokumentum 16. pontjában meghatározott követelmény teljesítéséhez az információs rendszerben található személyes adatok biztonságának biztosításáért felelõs, megfelelõ szaktudással rendelkezõ üzemeltetõ (munkavállaló) kijelölése szükséges.

18. A jelen dokumentum (5) bekezdésének "d" alpontjában meghatározott követelmény teljesítése érdekében a jelen dokumentum 9. bekezdésének "c" alpontjában előírt intézkedés helyett a szükséges védelmi szint biztosítására kell alkalmazni személyes adatok az információs rendszerben történő feldolgozásuk során:

IV. Az Orosz Föderáció kormánya által megállapított követelmények teljesítéséhez szükséges szervezeti és technikai intézkedések összetétele és tartalma a személyes adatok védelmére a 2-es biztonsági szinthez

19. A személyes adatok védelmére vonatkozó követelmények (15) bekezdése szerint a személyes adatok 2. szintű védelmének biztosítása érdekében az információs rendszerekben történő feldolgozásuk során, az (5) és (16) bekezdésében foglalt követelmények teljesítése mellett. jelen dokumentumban annak a követelménynek a teljesítése szükséges, hogy az elektronikus üzenetnapló tartalmához csak az üzemeltető tisztségviselői (alkalmazottai), illetve az arra felhatalmazott személy férhessen hozzá, akinek a hivatali (munkavégzés) ellátásához szüksége van a naplóban szereplő információkra. ) feladatait.

20. A jelen dokumentum 19. pontjában meghatározott követelmény teljesítéséhez szükséges:

a) az elektronikus üzenetnapló tartalmára feljogosított személyek listájának az üzemeltető vezetője általi jóváhagyása, a megadott lista naprakész vezetése;

b) az információs rendszer olyan automatizált eszközökkel való ellátása, amelyek az információs rendszer felhasználóinak személyes adatok megszerzésére irányuló kérelmét, valamint az ezen kérelmekre vonatkozó személyes adatok megadásának tényeit az elektronikus üzenetnaplóban rögzítik;

c) az információs rendszer olyan automatizált eszközökkel történő ellátása, amelyek kizárják az elektronikus üzenetnapló tartalmához való hozzáférést azon személyek számára, akik nem szerepelnek az üzemeltető vezetője által jóváhagyott, az elektronikus üzenetnapló tartalmára feljogosított személyek listáján;

d) az e bekezdés "b" és "c" alpontjában meghatározott automatizált eszközök teljesítményének időszakos ellenőrzése (legalább félévente egyszer).

21. A jelen dokumentum (5) bekezdésének "d" alpontjában meghatározott követelmény teljesítéséhez a jelen dokumentum 9. bekezdésének "c" alpontjában és a 18. pontban előírt intézkedések helyett az előírt szint biztosítására kell alkalmazni. a személyes adatok védelméről azok információs rendszerben történő feldolgozása során:

CIPF osztály KB és magasabb azokban az esetekben, amikor a 2-es típusú fenyegetések relevánsak az információs rendszer szempontjából;

CIPF osztály KS1 és magasabb azokban az esetekben, amikor a 3-as típusú fenyegetések relevánsak az információs rendszer szempontjából.

V. Az Orosz Föderáció kormánya által megállapított követelmények teljesítéséhez szükséges szervezeti és technikai intézkedések összetétele és tartalma a személyes adatok védelmére 1 biztonsági szinthez

22. A személyes adatok védelmére vonatkozó követelmények 16. pontjában foglaltaknak megfelelően a személyes adatok I. szintű védelmének biztosítása érdekében az információs rendszerekben történő feldolgozásuk során az (5), (16) bekezdésben foglalt követelmények teljesítése, ill. 19. pontja szerint a következő követelményeknek kell teljesülniük:

a) az üzemeltető alkalmazottjának az információs rendszerben tárolt személyes adatokhoz való hozzáférési jogában bekövetkezett változás automatikus rögzítése az elektronikus biztonsági naplóban;

b) az információs rendszerben található személyes adatok biztonságának biztosításáért felelős külön szervezeti egység létrehozása, vagy funkcióinak a meglévő strukturális egységekhez való hozzárendelése.

23. A jelen dokumentum 22. bekezdésének "a" alpontjában meghatározott követelmény teljesítéséhez szükséges:

a) az információs rendszer olyan automatizált eszközökkel történő ellátása, amelyek lehetővé teszik az üzemeltető alkalmazottjának az információs rendszerben található személyes adatokhoz való hozzáférési jogosultságában bekövetkezett változások automatikus rögzítését az elektronikus biztonsági naplóban;

b) a személyes adatok kezelője munkavállalóinak az információs rendszerben található személyes adatokhoz való hozzáférési jogkörének tükrözése az elektronikus biztonsági naplóban. Ezeknek a hatásköröknek összhangban kell lenniük hivatalos feladatokat az üzemeltető alkalmazottai;

c) az elektronikus biztonsági napló vezetésének és az üzemeltető munkavállalóinak abban feltüntetett hatósági hatósági betartásának időszakos ellenőrzéséért felelős személy kijelölése az üzemeltető részéről (legalább havonta).

24. A jelen dokumentum 22. bekezdésének "b" alpontjában meghatározott követelmény teljesítéséhez szükséges:

a) elemzi az információs rendszerben található személyes adatok biztonságának biztosításáért felelős külön szervezeti egység létrehozásának megvalósíthatóságát;

b) az információs rendszerben található személyes adatok biztonságának biztosításáért külön szervezeti egységet hozzon létre, vagy annak funkcióit a meglévő szerkezeti egységek valamelyikéhez rendeli.

25. A jelen dokumentum (5) bekezdés "a" alpontjában meghatározott követelmény teljesítéséhez, az 1. biztonsági szint biztosításához szükséges:

a) fel kell szerelni az épületek első és (vagy) utolsó emeletén található Helyiségek ablakait, valamint a tűzlépcsők közelében elhelyezkedő Helyiségek ablakait, valamint egyéb olyan helyeket, ahonnan illetéktelen személyek bejuthatnak a helyiségbe, fémrúddal vagy redőnnyel, betörésjelzővel vagy más olyan eszközzel, amely megakadályozza az illetéktelen személyek ellenőrizetlen bejutását a helyiségbe;

b) az információs rendszer szervereinek elhelyezésére szolgáló Telephely nyílászáróit fémrácsokkal, riasztóval vagy egyéb olyan eszközzel felszerelni, amely megakadályozza az illetéktelen személyek helyiségbe való ellenőrizetlen bejutását.

26. A jelen dokumentum (5) bekezdésének "d" alpontjában meghatározott követelmény teljesítéséhez a jelen dokumentum 9. bekezdésének "c" alpontjában, 18. és 21. pontjában előírt intézkedések helyett a jelen dokumentum 18. és 21. pontjában foglaltak biztosítására a a személyes adatok szükséges szintű védelme az információs rendszerben történő feldolgozásuk során:

A KA osztályú CIPF olyan esetekben, amikor az 1-es típusú fenyegetések relevánsak az információs rendszer szempontjából;

KB vagy magasabb osztályú CIPF olyan esetekben, amikor a 2-es típusú fenyegetések relevánsak az információs rendszer szempontjából.

1 Az Orosz Föderáció Jogszabálygyűjteménye, 2012, N 45, 6257.

2 A CIPF életciklusának szakaszai közé tartozik ezen eszközök fejlesztése (korszerűsítése), gyártása, tárolása, szállítása, üzembe helyezése (üzembe helyezése), üzemeltetése.

3 Az ellenőrzött övezet határa lehet a vállalkozás (intézmény) védett területének kerülete, a védett épület határoló szerkezetei, a védett épületrész, a kiosztott helyiségek.

Valerij Konjavszkij
A VNIIPVTI tudományos témavezetője,
tudományos tanácsadó OKB SAPR

Bármely véletlen számmal végzett művelet véletlen számot ad. A nyílt szöveghez hozzáadott véletlenszerű szekvencia véletlenszerű titkosítási szöveget ad. Minél jobb a gamma minőség, annál kisebb az esély a kriptotext megfejtésére. Ha a gamma valóban véletlenszerű, akkor a kriptotext nem dekódolható.

Vernam titkosítás

A kriptográfiai információvédelem eszközei (CIPF) titkosítási eszközökre és eszközökre oszthatók Elektronikus aláírás(szeptember).

Nem volt túl kényelmes és meglehetősen költséges a tartományt hatalmas tekercs lyukszalag formájában továbbítani. Ezért néha problémák voltak vele újrafelhasználásés ennek következtében fontos információk kiszivárogtatásával.

Annak érdekében, hogy ne továbbítsák a lyukszalag tekercseit drága csatornákon, olyan módszereket találtak ki, amelyek segítségével egy véletlenszerű, de rövid kulcsból hosszú skálát hozhatnak létre. Abban az időben egyszerűbb volt rövid véletlenszerű kulcsot küldeni, mint egy hosszút.

CIPF minősítéssel

A modern adathordozók megjelenésével a helyzet drámaian megváltozott, és mára már nem jelent gondot gigabájt gamma előállítása és továbbítása – ha csak a DFS jó lenne. A szoftveres pszeudo-véletlen sorrendgenerátorokat (PSP) itt csak abból a kétségbeesésből lehet használni, hogy nincs jó fizikai generátor.

A kriptográfiai szabványok olyan műveletsorokat határoznak meg, amelyek lehetővé teszik a biztonságosan titkosított egyszerű szöveg megszerzését egy jó kulcs alapján. Ugyanakkor a kulcsokat továbbra is jó szenzorokon kell elkészíteni.

A szabályozó határozza meg a szabályokat, a vizsgálólaboratóriumok ellenőrzik, hogy a műveletekre, kulcsokra vonatkozó követelmények teljesülnek-e, és hogy más folyamatok nem befolyásolják ezeket a folyamatokat - így jelennek meg a tanúsított kriptográfiai információvédelmi eszközök.

Titkosítás és elektronikus aláírás

A gamma a következő tulajdonságokkal kell, hogy rendelkezzen:

• valóban véletlenszerű legyen, azaz fizikai, analóg, és nem digitális folyamatok révén alakuljon ki;
• megfeleljen a megadott egyszerű szöveg méretének, vagy meghaladja azt;
• minden üzenetre csak egyszer alkalmazzák, majd elvetik.

Az ilyen titkosítást Vernam-rejtjelnek nevezik, és ez az egyetlen titkosítás, amely abszolút kriptográfiai erősséggel rendelkezik. Erősségét most nem kell bizonygatni, ahogy K. Shannon tette ezt még 1945-ben. A gamma nagy hossza, kialakulása fizikai folyamatok és garantált pusztulás alapján - ezek a feltétele a rejtjel erejének.

A titkosításra azért van szükség, hogy csak azok férhessenek hozzá, akik hozzáférhetnek az információhoz. Az EP egy személy akaratának rögzítésére szolgál. És ha a CIPF-nek helyesen kell végrehajtania a kriptográfiai átalakításokat egy ellenőrzött környezetben, akkor ez nem elég az elektronikus aláíráshoz. Minden intézkedést meg kell tenni ennek biztosítására egy személy szabad akarata. Az FZ-63 erre irányul, ezért az egyik legfontosabb követelménye a személy által aláírt dokumentum helyes megjelenítésének követelménye. Így a CIPF-fel ellentétben a minősített SES esetében a vizualizációs eszközök ellenőrzése is hozzáadásra kerül. Természetesen a kriptográfiai algoritmusok minden szükséges ellenőrzését is elvégzik.

Az egyik vagy másik ES-séma elemzésekor a kérdés általában a következőképpen vetődik fel: "Lehetséges-e gyorsan felvenni két különböző (értelmes) üzenetet, amelyeknek ugyanaz az ES-je." A válasz itt általában negatív. Ha jó hash függvényt használunk, amelyre nem találtak hatékony ütközési mechanizmust, akkor egy ilyen támadás szinte mindig kudarcra van ítélve. Mihail Gruntovich (lásd: 48. o.) másként fogalmazta meg a kérdést: „Lehetséges-e két üzenet birtokában úgy kiválasztani az aláírási kulcsokat, hogy az ES egyezzen?”. És kiderült, hogy rendkívül egyszerűen elkészíthető!

Gruntovich támadás

Megfontoljuk a támadás végrehajtásának konkrét feltételeit (nagyon leegyszerűsített változatban) az ElGamal séma szerinti aláírás példájával. A séma stabilitásába vetett hit a diszkrét logaritmus-probléma (hipotetikus) összetettségén alapul, de itt nem a diszkrét matematika problémáját támadják.

A CIPF-nek hardvernek kell lennie. Tartalmazniuk kell a szükséges minőségű fizikai RNG-t, és biztosítaniuk kell, hogy ne csak az aláírási kulcs, hanem más, az algoritmusok erősségét befolyásoló kriptográfiai elemek is ne nyerhetők ki.

Vezessük be a következő jelölést:

• H egy kriptográfiai hash függvény;
  Zn számok halmaza (0,1, …, n - 1), n ​​természetes szám;
  a (mod p) egy a egész szám p természetes számmal való osztásának maradéka.

Az ElGamal aláírásgenerálási séma esetében:

• egy elegendő kapacitású p prímszám rögzített, és g egy mod p primitív elem;
• az aláírás privát kulcsa tetszőleges x szám a Zp-ből.

Az üzenet aláírásának m kiszámítása:

• a h = H(m) hash kód kiszámítása;
• egy k véletlenszámot p - 1:1 koprímszámmal választunk< k < p - 1;
• r = g k (mod p) kiszámítva;
• s = k -1 (h - xr) (mod p - 1) kiszámítva;
• az aláírás a c = (r, s) pár.

Most nézzük meg, mit kell tennie egy támadónak a támadás végrehajtásához. Hash kódokat kell generálnia:

• h 1 \u003d H (m 1), h 2 \u003d H (m 2)

és azonos k véletlenszámú aláírások:

• s = k -1 (h 1 - x 1 r) (mod p - 1) és
  s \u003d k -1 (h 2 - x 2 r) (mod p - 1).

Ez pedig azt jelenti, hogy:

h 1 - x 1 r (mod p - 1) = h 2 - x 2 r (mod p - 1).

Néhány funkció, amelyekre az SKZI használatakor figyelni kell.
1. Ha a CIPF dokumentációjában szerepel, hogy melyik operációs rendszerben használható, akkor ebben a rendszerben kell használni. Ellenkező esetben, még ha a CIPF működik is, akkor is kutatást kell végeznie az ismert CIPF új környezetbe való beágyazásának helyességéről. Ez nem nehéz (viszonylag) a hardveres CIPF, de meglehetősen nehéz a szoftver.
2. Ha a hardveres kriptográfiai információvédelmi rendszer nem rendelkezik ellenőrzött DSC-vel és nincsenek bevált önellenőrző eszközök (egyébként az univerzális chipkártya mikroáramkörökre készült kriptográfiai információvédelmi eszközökben nem lehet), akkor ügyeljen a beágyazási dokumentumokra és működését. Mivel valahonnan hozzá kell adni az entrópiát, és tesztelni kell, kiderülhet, hogy ez a CIPF nagyon rövid ideig, például két-három napig, önállóan használható. Ez nem mindig kényelmes.
3. Ha felajánlanak neked bármilyen tokent, és azt mondják, hogy az a KS2 osztálynak és afölötti tanúsítvánnyal rendelkezik, ne higgye el. Valószínűleg a dokumentáció előírja, hogy ezt a tokent elektronikus zárral védett környezetben kell használni. E nélkül az osztály nem lesz magasabb, mint a CC1.

Mint látható, az x 1 és x 2 kulcs kiválasztásánál, hogy a fenti feltétel teljesüljön, az aláírások megegyeznek, annak ellenére, hogy az aláírt üzenetek eltérőek! Vegye figyelembe, hogy az x 2 egy ismert x 1-ből történő kiszámításához a szükséges számítások minimálisak a szubexponenciális diszkrét logaritmus-problémához képest.

Azonban nem minden olyan ijesztő. Az a tény, hogy a kapott eredmények semmilyen módon nem teszik hiteltelenné a az EP kriptográfiai erőssége. Megmutatják a sebezhetőség lehetőségét helytelen alkalmazás EP mechanizmusok.

Ez a példa egyértelműen bemutatja azokat a sebezhetőségeket, amelyek akkor merülnek fel, ha a CIPF nem megfelelően van implementálva. A leírt támadás akkor lehetséges, ha a felhasználó ismeri aláírási kulcsát, és meg tud találni egy véletlen számot.

Létezik radikális módon az ilyen típusú támadások leküzdése - ehhez csak olyan eszközre van szüksége, amelyben:

• aláíró kulcs jön létre;
• az aláírás-ellenőrző kulcs kiszámítása megtörténik;
• nyilvános kulcs exportált, beleértve a tanúsító hatóságnál történő tanúsítást;
• az aláírási kulcs ES generálására csak a készüléken belül használható, exportálása lehetetlen! A közelmúltban az ilyen eszközöket eszközöknek nevezik vissza nem állítható kulcs;
• a véletlen szám soha nem jelenik meg a számítógépes környezetben, a készüléken belüli alkalmazás után generálódik és megsemmisül.

Innentől egyértelmű, hogy a megbízhatóbb lehetőség az EPS és a CIPF, amelyek felszerelés formájában készülnek. Ebben az esetben biztosítható az RNG megfelelő minősége és az aláírási kulcs tárolásának megbízhatósága.

Titkosítás

Térjünk vissza most a titkosításhoz, és beszéljünk arról, hogy mikor és miért érdemes használni magánszemélyek valamint jogi.

Először is emeljük ki a titkosítás fő típusait, ezek az előfizetői és a csatorna. A nevekből következően az előfizetői titkosításnál az előfizető először titkosítja az információt (fájl, dokumentum), majd zárt formában továbbítja a csatornának. A csatornatitkosítással magát a csatornát védik kriptográfiai módszerekkel, és az előfizetőnek nem kell aggódnia az információk titkosítása miatt, mielőtt azokat a csatornán továbbítaná. Ha a csatorna egy pont-pont kapcsolat, akkor a rendszer csatornakódolókat használ. Ha a csatorna nem vezetékek, hanem egy aktív struktúra, mint az internet, akkor nem kell mindent titkosítani, csak az adatokat. A címeket nem lehet torzítani, különben a csomagok egyszerűen nem jutnak el a címzetthez. Itt jönnek szóba a virtuális magánhálózatok (VPN). A legismertebb protokollok az IPsec és az SSL. Szinte az összes piacon lévő VPN implementálja ezen protokollok valamelyikét.

VPN

Annak érdekében, hogy tudatosan válasszon egy vagy másik eszközt, meg kell értenie, miben különböznek egymástól, és milyen nehézségekbe ütközik ezen eszközök használata során. Íme a minimum dolgok, amelyeket szem előtt kell tartani:

• A csatornák kriptográfiai védelmét kell alkalmazni, ha fennáll annak a veszélye, hogy az Ön által továbbított adatok annyira érdekesek a behatoló számára, hogy csatlakozik a csatornához, és elkezdi "hallgatni" az egész adatcserét. Természetesen el kell kezdeni a csatornák védelmét a belső hálózat megbízható védelme után, mivel egy bennfentes általában olcsóbb, mint egy csatorna elleni támadás; 1 mindkét protokoll - ezeket a protokollokat nem ügyfelekkel, hanem hálózatokkal való interakcióra tervezték, ezért nehéz konfigurálni őket. Ily módon alapvető rendelkezzen hálózati biztonsági vezérlőkkel – mindenekelőtt ezeket kell kiválasztani;
• a TCP/IP protokollveremben az IPsec az IP rétegben, míg az SSL a TCP rétegben működik. Vagyis ha az IPsec inkább rendszerszinten nyújt védelmet, akkor az SSL - alkalmazásszinten. Mivel az IPsec sokkal "alacsonyabban" működik, így sokkal több protokollt "beágyaz" a védelmi területen, mint az SSL, ami természetesen jobb;
• VPN működtetésekor az elsődleges szempont a kulcskezelés. A kulcsokat időben ki kell adni, megváltoztatni – egyszóval kezelni kell. Minden CIPF-nek saját kulcsgeneráló és -kezelési rendszere van. Ha már használ valamelyiket kulcsrendszer használd tovább. Ne indítson "állatkertet" - még egy rendszert is nehéz fenntartani, sőt több - szinte elviselhetetlen feladat;
• ha a feladata számos, térben elosztott informatizációs objektum működésének biztosításához kapcsolódik, akkor használja a VPN-t. Ez csak azokra az objektumokra vonatkozik, amelyek között intenzív információs interakció zajlik védett adatokkal, amelyek annyira érdekelhetik a behatolót, hogy készen áll a csatornák "hallgatására". Ha minden nem működik megfelelően, próbálja meg korlátozni magát az előfizetői kriptográfiai adatok védelmére.

Előfizető CIPF

Nem (szabványok által meghatározott) algoritmusok jellemzik őket, hanem olyan segédprogramok, amelyek lehetővé teszik ezeknek a CIPF-eknek a használatát, és a teljesítendő feltételek. Kívánatos, hogy ezeknek az eszközöknek a használata kényelmes legyen.

És ami a legfontosabb - emlékezzen a védőfelszerelések elegendőségére. Nincs szükség drága CIPF használatára, ahol nélkülözheti őket.

És még valami: vannak CIPF és SEP, amelyek megfelelnek az összes megvitatott követelménynek. KV2 osztályig. Csak azért nem nevezem meg őket, hogy a cikk ne legyen reklám.

Irodalom

1. Konyavsky V.A. Számítógépes bűnözés. T. II. - M., 2008.
2. Jascsenko V.V. Bevezetés a kriptográfiába. Új matematikai tudományágak. - M., 2001.

Az információs rendszerek tervezésének információbiztonsági követelményei jelzik azokat a jellemzőket, amelyek az alkalmazott információvédelmi eszközöket jellemzik. Ezeket az ellátás területén a szabályozók különféle jogi aktusai határozzák meg információ biztonság, különösen az orosz FSTEC és az FSB. A cikkből kiderül, milyen biztonsági osztályok vannak, a védelmi eszközök típusai és típusai, valamint hogy hol lehet többet megtudni erről.

Bevezetés

Napjainkban az információbiztonság biztosításának kérdései fokozott figyelem tárgyát képezik, hiszen az információbiztonság nélkül mindenhol bevezetett technológiák újabb komoly problémák forrásaivá válnak.

Az orosz FSZB a helyzet súlyosságáról számol be: a kiberbűnözők által több év alatt okozott károk összege világszerte 300 milliárd dollártól 1 billió dollárig terjedt. Az Orosz Föderáció legfőbb ügyészének tájékoztatása szerint Oroszországban csak 2017 első felében volt a bűncselekmények száma magas technológia hatszorosára nőtt, a károk teljes összege meghaladta a 18 millió dollárt. Az ipari szektorban 2017-ben a célzott támadások számának növekedését figyelték meg világszerte. Különösen Oroszországban 22%-kal nőtt a támadások száma 2016-hoz képest.

Az információs technológiákat fegyverként kezdték használni katonai-politikai, terrorista célokra, szuverén államok belügyeibe való beavatkozásra, valamint egyéb bűncselekmények elkövetésére. Az Orosz Föderáció egy nemzetközi információbiztonsági rendszer létrehozása mellett áll.

Az Orosz Föderáció területén az információtulajdonosoknak és az információs rendszerek üzemeltetőinek meg kell akadályozniuk az információkhoz való jogosulatlan hozzáférési kísérleteket, valamint folyamatosan figyelemmel kell kísérniük az IT-infrastruktúra biztonsági állapotát. Ugyanakkor az információvédelmet különféle intézkedések, köztük technikai intézkedések elfogadásával biztosítják.

Az információbiztonsági eszközök vagy információbiztonsági eszközök az információs rendszerekben található információk védelmét biztosítják, amelyek lényegében adatbázisokban tárolt információk, azok feldolgozását biztosító információs technológiák és technikai eszközök kombinációja.

A modern információs rendszereket a különféle hardver- és szoftverplatformok használata, az összetevők területi megoszlása, valamint a nyílt adatátviteli hálózatokkal való interakció jellemzi.

Hogyan lehet megvédeni az információkat ilyen körülmények között? A vonatkozó követelményeket felhatalmazott szervek, különösen az FSTEC és az oroszországi FSB határozzák meg. A cikk keretein belül megpróbáljuk tükrözni az információbiztonsági rendszerek osztályozásának főbb megközelítéseit, figyelembe véve ezen szabályozók követelményeit. Az információbiztonsági létesítmények osztályozásának leírásának egyéb módjai, amelyek az orosz részlegek, valamint a külföldi szervezetek és ügynökségek szabályozási dokumentumaiban tükröződnek, túlmutatnak e cikk hatályán, és nem foglalkoznak tovább.

A cikk hasznos lehet kezdők számára az információbiztonság területén, mint strukturált információforrás az információbiztonsági információk besorolásának módszereiről az orosz FSTEC (nagyobb mértékben) és röviden az orosz FSB követelményei alapján. .

Az információbiztonság nem kriptográfiai módszereinek biztosításának eljárását és tevékenységét meghatározó struktúra az oroszországi FSTEC (korábban az Orosz Föderáció elnöke alatt működő Állami Műszaki Bizottság, Állami Műszaki Bizottság).

Ha az olvasónak látnia kellett a tanúsított információbiztonsági eszközök állami nyilvántartását, amelyet az orosz FSTEC hoz létre, akkor minden bizonnyal figyelt arra, hogy az információbiztonsági létesítmény céljának leíró részében olyan kifejezések jelenjenek meg, mint az „osztály”. RD SVT”, „az NDV hiányának szintje” stb. (1. ábra).

1. ábra: A tanúsított információbiztonsági létesítmények nyilvántartásának részlete

Az információvédelem kriptográfiai eszközeinek osztályozása

Az oroszországi FSB meghatározza a kriptográfiai információbiztonsági eszközök osztályait: KS1, KS2, KS3, KV és KA.

A SZI osztály KS1 fő jellemzői közé tartozik, hogy képesek ellenállni az ellenőrzött zónán kívülről végrehajtott támadásoknak. Ez azt jelenti, hogy a támadási módszerek létrehozása, előkészítése és végrehajtása a kriptográfiai információbiztonsági eszközök fejlesztésével és elemzésével foglalkozó szakemberek részvétele nélkül történik. Feltételezhető, hogy a rendszerrel kapcsolatos információk, amelyekben ezeket az információbiztonsági eszközöket használják, nyílt forrásokból szerezhetők be.

Ha egy kriptográfiai IPS képes ellenállni a CS1 osztály által blokkolt támadásoknak, valamint ellenőrzött zónában végrehajtott támadásoknak, akkor az ilyen IPS a CS2 osztálynak felel meg. Ugyanakkor feltételezhető például, hogy a támadás előkészítése során információk válhatnak elérhetővé az információs rendszerek védelmét, ellenőrzött zóna biztosítását stb. szolgáló fizikai intézkedésekről.

Ha lehetséges ellenállni a támadásoknak a telepített kriptográfiai információbiztonsági eszközökkel rendelkező számítógépes létesítményekhez való fizikai hozzáférés jelenlétében, akkor azt mondják, hogy ezek a létesítmények megfelelnek a CS3 osztálynak.

Ha egy kriptográfiai információbiztonsági létesítmény ellenáll a támadásoknak, amelyek létrehozásában ezen eszközök fejlesztésében és elemzésében szakemberek vettek részt, beleértve a kutatóközpontokat, lehetséges volt a védelmi eszközök laboratóriumi vizsgálata, akkor a KV osztálynak való megfelelésről beszélünk.

Ha a támadási módszerek kidolgozásában az NDV rendszerszoftverek használatának szakemberei vettek részt, a megfelelő tervdokumentáció rendelkezésre állt, és a kriptográfiai információbiztonsági létesítmények bármely hardvereleméhez hozzá lehetett férni, akkor a KA osztályú eszközök védelmet nyújthatnak az ilyen támadások ellen.

Az elektronikus aláírás-védelmi eszközök osztályozása

Az elektronikus aláírási eszközöket, a támadásokkal szembeni ellenállástól függően, általában a következő osztályokkal hasonlítják össze: KS1, KS2, KS3, KB1, KB2 és KA1. Ez a besorolás hasonló a fentebb a kriptográfiai IPS-sel kapcsolatban tárgyalthoz.

következtetéseket

A cikk megvizsgálta az információbiztonság oroszországi osztályozásának néhány módját, amelyek az információvédelem területén a szabályozó hatóságok szabályozási keretein alapulnak. A figyelembe vett osztályozási lehetőségek nem teljesek. Ennek ellenére reméljük, hogy a bemutatott összefoglaló információk lehetővé teszik az információbiztonság területén kezdő szakember számára a gyors navigációt.