###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • Cerințe pentru informațiile criptografice FSB. Cum să vă pregătiți pentru o verificare programată FSB a datelor personale? Organizarea unui sistem de măsuri criptografice pentru protejarea informațiilor

    25.05.2021 Știri

    Utilizarea măsurilor de securitate criptografică (CIPF) este un subiect foarte controversat și alunecos. Cu toate acestea, Operatorul PD are dreptul de a utiliza CIPF pentru a asigura protecție în cazul unor amenințări reale. Dar nu este întotdeauna clar cum să folosiți acest drept. Și acum FSB face viața mai ușoară, a fost publicat un document de recomandări metodologice, aplicabil atât sistemelor informaționale de stat, cât și tuturor celorlalți Operatori PD. Să ne uităm la acest document mai detaliat.

    Și așa s-a întâmplat, a postat al 8-lea Centru FSB descriind recomandări în domeniul dezvoltării reglementărilor pentru protecția datelor cu caracter personal. În același timp, se recomandă ca operatorii ISDN să utilizeze același document atunci când dezvoltă modele private de amenințări.


    Deci, ce parere are FSB despre cum și unde ar trebui utilizat CIPF?


    Este destul de important ca acest document publicat doar pe site-ul FSB,nu are inregistrareîn Ministerul Justiţiei şinu poartă semnătura nimănuiȘi- adică semnificația sa juridică și obligatorie rămâne doar în cadrul recomandărilor. Acest lucru este important de reținut.


    Să aruncăm o privire în interior, preambulul documentului definește că recomandările „pentru autoritățile executive federale... alte organisme guvernamentale... care... adoptă acte juridice de reglementare care definesc amenințările la adresa securității datelor cu caracter personal care sunt relevante atunci când se prelucrează datele cu caracter personal în sisteme de informare ah date cu caracter personal (denumite în continuare ISPD) utilizate în implementarea tipurilor relevante de activități”. Acestea. există o referire explicită la sistemele informaționale guvernamentale.



    Cu toate acestea, în același timp, este de asemenea recomandabil să vă ghidați după aceleași standarde atunci când dezvoltați modele de amenințări private operatorii de sisteme informatice de date cu caracter personal care au decis să utilizeze fonduri protecția informațiilor criptografice(denumit în continuare CIPF) pentru a asigura securitatea datelor cu caracter personal.” Acestea. În acest caz, documentul devine universal pentru toți utilizatorii.



    Când este necesar să utilizați CIPF?


    Utilizarea CIPF pentru a asigura securitatea datelor cu caracter personal este necesară în următoarele cazuri:

    1. dacă datele cu caracter personal sunt supuse protecției criptografice în conformitate cu legea Federația Rusă;
    2. dacă există ameninţări în sistemul informaţional care pot fi neutralizate doar cu ajutorul CIPF.
      3.

    1. transferul de date cu caracter personal prin canale de comunicare care nu sunt protejate de interceptarea de către un intrus a informațiilor transmise prin intermediul acestora sau de influențe neautorizate asupra acestor informații (de exemplu, la transferul de date cu caracter personal prin rețele publice de informații și telecomunicații);
    2. stocarea datelor cu caracter personal pe medii de stocare, accesul neautorizat la care de către contravenient nu poate fi exclus prin metode și tehnici necriptografice.

    Și la asta ajungem. Dacă și al doilea punct este destul de logic, atunci primul nu este atât de evident. Cert este că, conform versiunii actuale a Legii „Cu privire la datele cu caracter personal” prenume, prenume și patronimic sunt deja date personale. În consecință, orice corespondență sau înregistrare pe site (ținând cont de câte date sunt acum necesare în timpul înregistrării) se încadrează în mod oficial în această definiție.



    Dar, după cum se spune, nu există reguli fără excepții. Există două tabele la sfârșitul documentului. Să dăm doar o singură linie Aplicații nr. 1.



    Amenințare actuală:

    1.1. efectuarea unui atac într-o zonă controlată.

    Motivul absenței (lista ușor scurtată):

    1. angajații care sunt utilizatori ai ISPD, dar nu sunt utilizatori ai CIPF, sunt informați cu privire la regulile de lucru în ISPD și responsabilitatea pentru nerespectarea regulilor de securitate a informațiilor;
    2. Utilizatorii CIPF sunt informați despre regulile de lucru în ISDN, regulile de lucru cu CIPF și responsabilitatea pentru nerespectarea regulilor de securitate a informațiilor;
    3. localurile în care se află sistemul de protecție a informațiilor criptografice sunt dotate cu uși de intrare cu încuietori, asigurându-se că ușile localului sunt încuiate permanent și deschise numai pentru trecerea autorizată;
    4. au fost aprobate reguli de acces în incinta în care sunt amplasate sistemele de protecție a informațiilor criptografice în timpul orelor de lucru și nelucrătoare, precum și în situații de urgență;
    5. a fost aprobată o listă a persoanelor îndreptățite să acceseze incinta în care se află sistemele de protecție a informațiilor criptografice;
    6. se realizează delimitarea și controlul accesului utilizatorilor la resursele protejate;
    7. se realizează înregistrarea și contabilizarea acțiunilor utilizatorilor cu date personale;

    8. pe stațiile de lucru și serverele pe care este instalat CIPF:

      sunt utilizate mijloace certificate de protecție a informațiilor împotriva accesului neautorizat;
    9. Se folosesc produse de protecție antivirus certificate.

    Adică, dacă utilizatorii sunt informați despre reguli și responsabilități și se aplică măsuri de protecție, atunci nu este nimic de care să vă faceți griji.



    • Pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în ISPD, trebuie utilizat CIPF care a fost supus procedurii de evaluare a conformității în modul prescris.

    Adevărat, scrie chiar mai jos că lista dispozitivelor certificate de protecție a informațiilor criptografice poate fi găsită pe site-ul web al TsLSZ FSB. S-a spus de mai multe ori că evaluarea conformității nu este certificare.


    • în lipsa celor care au promovat procedura de evaluare a conformității pentru CIPF în conformitate cu procedura stabilită... la etapa de proiectare preliminară sau proiectare preliminară (proiect tehnic), dezvoltatorul sistemului informatic, cu participarea operatorului (persoană autorizată) și dezvoltatorul propus al CIPF, pregătește o justificare pentru fezabilitatea dezvoltării unui nou tip de CIPF și determină cerințele pentru proprietățile sale funcționale.

    Chiar mă face fericit. Adevărul este că certificare Procesul este foarte lung - până la șase luni sau mai mult. Adesea, clienții folosesc cele mai recente sisteme de operare care nu sunt acceptate de versiunea certificată. În conformitate cu acest document, clienții pot utiliza produse care sunt în curs de certificare.



    Documentul precizează că:

    Atunci când se utilizează canale (linii) de comunicare din care este imposibil să se intercepteze informații protejate transmise prin intermediul acestora și (sau) în care este imposibil să se efectueze influențe neautorizate asupra acestor informații, când descriere generala sistemele informatice trebuie să indice:

    1. descrierea metodelor și mijloacelor de protejare a acestor canale împotriva accesului neautorizat la acestea;
    2. concluzii bazate pe rezultatele studiilor privind securitatea acestor canale (linii) de comunicare din accesul neautorizat la informațiile protejate transmise prin intermediul acestora de către o organizație care are dreptul de a efectua astfel de studii, cu referire la documentul care conține aceste concluzii.
      3.


  • caracteristicile de securitate (confidențialitate, integritate, disponibilitate, autenticitate) care trebuie asigurate pentru datele cu caracter personal prelucrate;
  • canalele (liniile) de comunicare utilizate în fiecare subsistem sau în sistemul informațional în ansamblu, inclusiv sisteme de cabluri, și măsuri de limitare a accesului neautorizat la informațiile protejate transmise prin aceste canale (linii) de comunicare, indicând canalele (linii) de comunicare în care accesul neautorizat la informațiile protejate transmise prin intermediul acestora este imposibil și măsurile implementate pentru asigurarea acestei calități;
  • medii de informații protejate utilizate în fiecare subsistem al sistemului informațional sau în sistemul informațional în ansamblu (cu excepția canalelor (liniilor) de comunicare.

    • Cu toate acestea, există o mulțime de nuanțe aici: contabilitatea și stocarea instrumentelor de criptare, accesul la CIPF și reglementările pentru utilizarea acestora trebuie efectuate în strictă conformitate cu cerințele legale.

    Încălcarea regulilor de securitate a informațiilor, conform articolului 13.12 din Codul de infracțiuni administrative al Federației Ruse, poate atrage o serie de sancțiuni: amenzi pentru funcționari și organizații, precum și confiscarea mijloacelor de criptoprotecție în sine. Consecința poate fi incapacitatea de a trimite rapoarte electronice sau blocarea activității instituției în sistemul de schimb de date.

    Monitorizarea regulată a utilizării instrumentelor de criptare utilizate pentru a asigura securitatea datelor cu caracter personal (denumite în continuare PD) se realizează pe baza cerințelor următoarelor reglementări:

    • Legea federală din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal”;
    • Ordinul FSB al Rusiei din 10 iulie 2014 nr. 378;
    • Instrucțiunea FAPSI nr. 152 din 13 iunie 2001;
    • și o serie de alte documente de reglementare.

    Planul de inspecție al FSB pentru anul este publicat pe site-ul oficial al Parchetului General al Federației Ruse. Aici, orice organizație, folosind TIN-ul sau OGRN-ul său, poate afla despre viitoarele inspecții din acest an, durata și perioada acestora.

    Pentru a se pregăti pentru o inspecție FSB, este necesar să se ia o serie de măsuri organizatorice, să se elaboreze și să se aprobe documente legate de lucrul cu protecția informațiilor criptografice.

    Răspunsurile la următoarele întrebări vă vor ajuta să vă sistematizați pregătirea pentru inspecție și să vă concentrați asupra măsurilor necesare:

    1. Are organizația mijloace de protecție a informațiilor criptografice? Există documente pentru achiziționarea lor, se țin evidența? Ce documente reglementează transferul CIPF pentru înstrăinare și utilizare?
    2. Care departament din întreprindere este responsabil de colaborarea cu CIPF, și anume: elaborarea concluziilor privind posibilitatea utilizării CIPF, elaborarea măsurilor pentru asigurarea funcționării și siguranței CIPF utilizate în conformitate cu termenii certificatelor eliberate pentru acestea, copie- Contabilitatea prin copie a CIPF utilizat, documentația operațională și tehnică pentru acestea, contabilitatea proprietarilor deserviți informații confidențiale, monitorizarea respectării condițiilor de utilizare a CIPF, investigarea și întocmirea concluziilor asupra faptelor de încălcare a condițiilor de utilizare a CIPF, elaborarea unei scheme de organizare a protecției criptografice a informațiilor confidențiale?
    3. Ce documente reglementează crearea compartimentului indicat mai sus, precum și ce acte desemnează persoanele responsabile cu desfășurarea acțiunilor în cadrul acestui departament?
    4. Au fost elaborate reglementări pentru înregistrarea și stocarea CIPF?
    5. Formularele jurnalelor contabile CIPF sunt aprobate?Cum sunt întreținute?
    6. A fost definit cercul persoanelor responsabile și responsabilitatea în cazul încălcării regulilor de lucru cu CIPF?
    7. Cum se realizează stocarea și furnizarea accesului la SZKI?

    Toate documentele trebuie să fie aprobate de șeful sau de persoana autorizată a organizației; nu sunt necesare clasificări de securitate, cu toate acestea, documentele trebuie să fie destinate numai angajaților și inspectorilor organizației.

    Experiența noastră în sprijinirea clienților în timpul inspecțiilor FSB ne-a permis să identificăm cele mai tipice blocuri la care autoritatea de reglementare le acordă atenție.

    1. Organizarea unui sistem de măsuri organizatorice pentru protejarea datelor cu caracter personal

    Ce se verifică

    		 Sfat

    Domeniul de aplicare al CIPF în sistemele informatice de date cu caracter personal;

    Disponibilitatea documentelor departamentale și a comenzilor privind organizarea protecției criptografice

    		 Documente și ordine departamentale privind organizarea protecției informațiilor criptografice Este necesar să facem referire la documentele definitorii utilizare obligatorie CIPF pentru procesarea si transmiterea informatiilor. În ceea ce privește protecția datelor cu caracter personal în sistemele de stat, acestea sunt 17 și 21 de Ordine FSTEC

    2. Organizarea unui sistem de măsuri de protecție a informațiilor criptografice

    3. Autorizații și documentație operațională

    Ce se verifică

    		 Ce documente trebuie furnizate Sfat

    Disponibilitatea licențelor necesare pentru utilizarea CIPF în sistemele informatice de date cu caracter personal;

    Disponibilitatea certificatelor de conformitate pentru CIPF utilizat;

    Disponibilitatea documentației operaționale pentru CIPF (formulare, reguli de funcționare, manual de utilizare etc.);

    Procedura de înregistrare a CIPF, documentația operațională și tehnică pentru acestea

    Licențe și certificate pentru CIPF utilizate;

    Documentație operațională pentru CIPF

    La ce documente ne referim la:

    1) licențe software,

    2) disponibilitatea distribuțiilor pentru aceste licențe, obținute legal,

    4. Cerințe pentru personalul de service

    Ce se verifică

    		 Ce documente trebuie furnizate Sfat

    Procedura de înregistrare a persoanelor autorizate să lucreze la CIPF;

    Disponibilitatea responsabilităților funcționale ale utilizatorilor responsabili ai CIPF;

    Dotarea posturilor obișnuite cu personal și suficiența acestora pentru rezolvarea problemelor legate de organizarea protecției informațiilor criptografice;

    Organizarea procesului de instruire a persoanelor care utilizează CIPF

    Liste aprobate;

    Documente care confirmă responsabilitățile funcționale ale angajaților;

    Jurnalul utilizatorului instrumentelor criptografice;

    Documente care confirmă finalizarea instruirii angajaților

    Trebuie să aveți următoarele documente:

    1) instrucțiuni pentru lucrul cu CIPF,

    2) numirea prin ordine interne a responsabililor de lucru cu CIPF

    5. Funcționarea CIPF

    Ce se verifică

    		 Ce documente trebuie furnizate Sfat

    Verificarea punerii in functiune corecta;

    Evaluarea stării tehnice a sistemului de protecție a informațiilor criptografice;

    Respectarea termenelor limită și integralitate întreținere;

    Verificarea respectării regulilor de utilizare a CIPF și a procedurii de manipulare a documentelor cheie aferente acestora

    Certificate de punere în funcțiune a CIPF;

    Jurnalul de contabilitate copie-cu-instanță a CIPF;

    Jurnalul de înregistrare și emitere de media cu informații cheie

    Următoarele documente trebuie elaborate:

    1) certificate de instalare a CIPF,

    2) ordin de aprobare a formularelor de jurnal de bord

    6. Măsuri organizatorice

    Ce se verifică

    		 Ce documente trebuie furnizate Sfat

    Îndeplinirea cerințelor de amplasare, dotare specială, securitate și organizare a regimului în spațiile în care sunt instalate sisteme de protecție a informațiilor criptografice sau sunt stocate documentele cheie pentru acestea;

    Conformitatea modului de stocare al CIPF și a documentației cheie cu cerințele;

    Evaluarea gradului în care operatorului i se oferă criptochei și organizarea livrării acestora;

    Verificarea disponibilității instrucțiunilor pentru restabilirea comunicării în cazul compromiterii cheilor existente la CIPF

    Documentație operațională pentru CIPF;

    Spații alocate pentru instalarea CIPF și depozitarea documentelor cheie pentru acestea;

    Instrucțiuni în cazul compromiterii cheilor CIPF existente

    1) Respectarea cerințelor din Instrucțiunea 152 a FAPSI. Depinde de condițiile specifice; poate necesita instalarea securității, instalarea draperiilor la ferestre, achiziționarea unui seif etc.

    2) Instrucțiuni pentru lucrul cu CIPF

    Toate cerințele de mai sus rezultă din Reglementările pentru efectuarea inspecțiilor FSB. Actiunile specifice se desfasoara in conformitate cu Ordinul FAPSI Nr.152 din 13 iunie 2001.

    Conformitatea cu cel puțin o parte dintre cerințe va crește semnificativ probabilitatea de a trece toate procedurile de reglementare fără amendă. În general, nu există o redundanță în cerințe; toate acțiunile sunt cu adevărat importante și lucrează pentru a proteja interesele organizației.

    Nikita Yarkov, șeful grupului de licențiere la SKB Kontur, proiect Kontur-Safety

    Înmatriculare N 33620

    În conformitate cu partea 4 a articolului 19 din Legea federală din 27 iulie 2006 N 152-FZ „Cu privire la datele cu caracter personal” 1 Eu comand:

    aprobă componența și conținutul anexate a măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal, folosind instrumente de protecție a informațiilor criptografice necesare pentru îndeplinirea cerințelor stabilite de Guvernul Federației Ruse pentru protecția datelor cu caracter personal pentru fiecare nivel de securitate.

    Director A. Bortnikov

    1 Colecția de legislație a Federației Ruse, 2006, nr. 31 (Partea I), art. 3451; 2009, N 48, art. 5716; N 52 (partea I), art. 6439; 2010, N 27, art. 3407; N 31, art. 4173, art. 4196; N 49, art. 6409; N 52 (partea I), art. 6974; 2011, N 23, art. 3263; N 31, art. 4701; 2013, N 14, art. 1651; N 30 (partea I), art. 4038.

    Aplicație

    Compoziția și conținutul măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal, folosind instrumente de protecție a informațiilor criptografice necesare pentru îndeplinirea cerințelor stabilite de Guvernul Federației Ruse pentru protecția datelor cu caracter personal pentru fiecare nivelul de securitate

    I. Dispoziţii generale

    1. Prezentul document definește componența și conținutul măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice cu date cu caracter personal (denumite în continuare „sistem informatic”) folosind instrumente de protecție a informațiilor criptografice (denumite în continuare informații criptografice). protectie) necesare indeplinirii celor stabilite de Guvernul Federatiei Ruse pentru protectia datelor cu caracter personal pentru fiecare nivel de securitate.

    2. Acest document este destinat operatorilor care utilizează CIPF pentru a asigura securitatea datelor cu caracter personal atunci când sunt prelucrate în sistemele informaționale.

    3. Aplicarea măsurilor organizatorice și tehnice definite în prezentul document este asigurată de operator, ținând cont de cerințele documentelor operaționale pentru CIPF utilizate pentru asigurarea securității datelor cu caracter personal atunci când sunt prelucrate în sistemele informaționale.

    4. Funcționarea CIPF trebuie efectuată în conformitate cu documentația pentru CIPF și cerințele stabilite în prezentul document, precum și în conformitate cu alte acte juridice de reglementare care reglementează relațiile în domeniul relevant.

    II. Compoziția și conținutul măsurilor organizatorice și tehnice necesare pentru îndeplinirea cerințelor stabilite de Guvernul Federației Ruse la protecția datelor cu caracter personal pentru nivelul 4 de securitate

    5. În conformitate cu paragraful 13 din Cerințele privind protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal, aprobate prin Decretul Guvernului Federației Ruse din 1 noiembrie 2012 N1119 1 (denumite în continuare Cerințele pentru Protecția Datelor cu Caracter Personal), pentru a asigura nivelul 4 de protecție a datelor cu caracter personal La prelucrarea datelor în sistemele informaționale, trebuie îndeplinite următoarele cerințe:

    a) organizarea unui regim de securitate pentru incinta in care se afla sistemul informatic, impiedicand posibilitatea intrarii sau sederii necontrolate in aceste incinte a persoanelor care nu au acces in aceste incinte;

    b) asigurarea securității purtătorilor de date cu caracter personal;

    c) aprobarea de către conducătorul operatorului a unui document care definește lista persoanelor al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea atribuțiilor lor oficiale (de muncă);

    d) utilizarea instrumentelor de securitate a informațiilor care au trecut procedura de evaluare a conformității cu cerințele legislației Federației Ruse în domeniul securității informațiilor, în cazurile în care utilizarea unor astfel de mijloace este necesară pentru neutralizarea amenințărilor actuale.

    6. Pentru a îndeplini cerința specificată la paragraful „a” al paragrafului 5 din prezentul document, este necesar să se asigure un regim care să prevină posibilitatea intrării sau șederii necontrolate în incinta în care se află CIPF utilizat, CIPF și (sau) sunt stocate purtătorii de informații despre cheie, autentificare și parolă ale CIPF (denumite în continuare Sediul), persoane care nu au dreptul de acces la Sediu, care se realizează prin:

    a) dotarea Spatiului cu usi de intrare cu incuietori, asigurarea ca usile Spatiului sa fie mereu incuiate si deschise numai pentru trecerea autorizata, precum si sigilarea Spatiului la sfarsitul zilei de lucru sau dotarea Spatiului cu echipamente corespunzatoare. dispozitive tehnice, semnaland o deschidere neautorizata a Spatiului;

    b) aprobarea regulilor de acces in Spatiu in timpul programului de lucru si nelucrat, precum si in situatii de urgenta;

    c) aprobarea listei persoanelor cu drept de acces la Sediu.

    7. Pentru a îndeplini cerința specificată la paragraful „b” al paragrafului 5 din prezentul document, este necesar:

    a) stochează medii de stocare computerizate amovibile de date cu caracter personal în seifuri (dulapuri metalice) echipate cu încuietori interne cu două sau mai multe chei duplicate și dispozitive pentru sigilarea găurilor cheilor sau încuietorilor cu combinație. Dacă numai datele personale sunt stocate pe un mediu de stocare amovibil de computer criptat folosind CIPF, astfel de suporturi pot fi stocate în afara seifurilor (dulapuri metalice);

    b) efectuează contabilizarea copie-cu-instanță a suporturilor de date cu caracter personal ale mașinii, care se realizează prin menținerea unui jurnal al suporturilor de date cu caracter personal folosind numere de înregistrare (fabrică).

    8. Pentru a îndeplini cerința specificată la paragraful „c” al paragrafului 5 din prezentul document, este necesar:

    a) elaborează și aprobă un document care definește o listă a persoanelor al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea atribuțiilor lor oficiale (de muncă);

    b) menține la zi un document care definește o listă a persoanelor al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea atribuțiilor lor oficiale (de muncă).

    9. Pentru a îndeplini cerința specificată la paragraful „d” al paragrafului 5 din prezentul document, este necesar ca fiecare dintre nivelurile de securitate a datelor cu caracter personal să utilizeze CIPF din clasa corespunzătoare, permițând asigurarea securității datelor cu caracter personal atunci când se implementează acțiuni folosind hardware și (sau) software cu scopul de a încălca securitatea datelor cu caracter personal protejate de CIPF sau de a crea condiții în acest sens (denumit în continuare atac), care se realizează prin:

    a) obținerea de date inițiale pentru a forma un set de ipoteze despre capacitățile care pot fi utilizate la crearea metodelor, pregătirea și efectuarea atacurilor;

    b) formarea și aprobarea de către managerul operatorului a unui set de ipoteze cu privire la capacitățile care pot fi utilizate în crearea metodelor, pregătirea și efectuarea atacurilor și determinarea pe această bază și luarea în considerare a tipului de amenințări curente a clasei cerute de CIPF ;

    c) utilizate pentru a asigura nivelul necesar de securitate a datelor cu caracter personal atunci când sunt prelucrate într-un sistem informatic CIPF de clasa KS1 și superioară.

    10. Clasa CIPF KS1 este utilizată pentru a neutraliza atacurile, la crearea metodelor, pregătirea și efectuarea cărora, sunt utilizate următoarele capacități:

    a) crearea de metode, pregătirea și efectuarea atacurilor fără implicarea specialiștilor în domeniul dezvoltării și analizei CIPF;

    b) crearea de metode, pregătirea și efectuarea atacurilor în diferite etape ciclu de viață CIPF 2;

    c) efectuarea unui atac în afara spațiului în care sunt monitorizate șederea și acțiunile persoanelor și (sau) vehiculelor (denumită în continuare zona controlată) 3 ;

    d) efectuarea următoarelor atacuri la etapele de dezvoltare (modernizare), producție, depozitare, transport a CIPF și etapa de punere în funcțiune a CIPF (lucrări de punere în funcțiune):

    efectuarea de modificări neautorizate la sistemul de protecție a informațiilor criptografice și (sau) la componentele hardware și software, împreună cu care sistemul de protecție a informațiilor criptografice funcționează în mod normal și colectiv reprezentând mediul de funcționare al sistemului de protecție a informațiilor criptografice (denumit în continuare SF) , care poate afecta îndeplinirea cerințelor pentru sistemul de protecție a informațiilor criptografice, inclusiv utilizarea programelor rău intenționate;

    efectuarea de modificări neautorizate la documentația pentru CIPF și componentele SF;

    e) efectuarea de atacuri în stadiul de funcționare a CIPF asupra:

    Informații personale;

    informații despre cheie, autentificare și parolă ale CIPF;

    Componente software CIPF;

    Componente hardware CIPF;

    Componente software SF, inclusiv software BIOS;

    Componente hardware SF;

    date transmise prin canale de comunicare;

    alte obiecte care se stabilesc la formarea unui set de propuneri privind capacitățile care pot fi utilizate la crearea metodelor, pregătirea și efectuarea atacurilor, ținând cont de cele utilizate în sistemul informațional tehnologia Informatiei, hardware (în continuare - AS) și software(denumit în continuare software);

    f) obținerea din surse liber accesibile (inclusiv rețelele de informații și telecomunicații, la care accesul nu se limitează la un anumit cerc de persoane, inclusiv rețeaua de informații și telecomunicații pe Internet) a informațiilor despre sistemul informațional în care este utilizat CIPF. Se pot obține următoarele informații:

    informatii generale despre sistemul informatic in care este utilizat CIPF (scop, compozitie, operator, obiecte in care se afla resursele sistemului informatic);

    informații despre tehnologiile informaționale, baze de date, AS, software utilizate în sistemul informațional împreună cu CIPF, cu excepția informațiilor conținute doar în documentația de proiectare pentru tehnologiile informaționale, baze de date, AS, software utilizat în sistemul informațional împreună cu CIPF;

    informații generale despre informațiile protejate utilizate în timpul funcționării CIPF;

    informatii despre canalele de comunicare prin care sunt transmise datele cu caracter personal protejate de CIPF (denumit in continuare canal de comunicare);

    toate datele posibile transmise către formă deschisă prin canale de comunicare care nu sunt protejate de accesul neautorizat la informații prin măsuri organizatorice și tehnice;

    informații despre toate încălcările regulilor de funcționare ale CIPF și SF care apar pe canalele de comunicare care nu sunt protejate de accesul neautorizat la informații prin măsuri organizatorice și tehnice;

    informații despre toate defecțiunile și defecțiunile componentelor hardware ale CIPF și SF care apar pe canalele de comunicare care nu sunt protejate de accesul neautorizat la informații prin măsuri organizatorice și tehnice;

    informațiile obținute în urma analizării oricăror semnale de la componentele hardware ale CIPF și SF;

    g) aplicare:

    sisteme și software care sunt disponibile gratuit sau utilizate în afara zonei controlate, inclusiv componente hardware și software ale CIPF și SF;

    difuzoare și software special dezvoltate;

    h) utilizarea în faza de operare ca mediu de transfer de la subiect la obiect (de la obiect la subiect) a acțiunilor unui atac efectuate în timpul pregătirii și (sau) conducerii unui atac:

    canale de comunicare care nu sunt protejate de accesul neautorizat la informații prin măsuri organizatorice și tehnice;

    canale de propagare a semnalului care însoțesc funcționarea CIPF și SF;

    i) efectuarea unui atac din rețelele de informare și telecomunicații în faza operațională, accesul la care nu se limitează la un anumit cerc de persoane, dacă sistemele informaționale care utilizează CIPF au acces la aceste rețele;

    j) utilizarea în timpul etapei de exploatare a AS și a software-ului situat în afara zonei controlate din instrumentele sistemului informatic utilizate la locurile de funcționare ale CIPF (denumite în continuare instrumente standard).

    11. Clasa CIPF KS2 ​​este utilizată pentru neutralizarea atacurilor, la crearea metodelor, pregătirea și efectuarea cărora, sunt utilizate capabilitățile enumerate la paragraful 10 din prezentul document și cel puțin una dintre următoarele capacități suplimentare:

    a) efectuarea unui atac în zona controlată;

    b) efectuarea de atacuri în stadiul de funcționare a CIPF asupra următoarelor obiecte:

    documentație pentru componentele CIPF și SF.

    Localuri care conțin un set de software și elemente tehnice ale sistemelor de prelucrare a datelor care pot funcționa independent sau ca parte a altor sisteme (denumite în continuare SVT), pe care sunt implementate CIPF și SF;

    c) obținerea, în cadrul împuternicirilor conferite, precum și în urma observațiilor, a următoarelor informații:

    informații despre măsurile fizice de protecție a obiectelor în care se află resursele sistemului informațional;

    informații privind măsurile de asigurare a zonei controlate a obiectelor în care se află resursele sistemului informațional;

    informații privind măsurile de restricționare a accesului la Sediul în care sunt amplasate dispozitivele electronice, unde sunt implementate CIPF și SF;

    d) utilizarea fonduri regulate, limitată de măsurile implementate în sistemul informațional în care este utilizat CIPF, și care vizează prevenirea și suprimarea acțiunilor neautorizate.

    12. Clasa CIPF KS3 este utilizată pentru a neutraliza atacurile, la crearea metodelor, pregătirea și efectuarea cărora, sunt utilizate capabilitățile enumerate la paragrafele 10 și 11 din prezentul document și cel puțin una dintre următoarele capacități suplimentare:

    a) acces fizic la dispozitivele electronice pe care sunt implementate CIPF și SF;

    b) capacitatea de a avea componente hardware ale CIPF și SF, limitate de măsurile implementate în sistemul informațional în care este utilizat CIPF, și care vizează prevenirea și suprimarea acțiunilor neautorizate.

    13. Clasa CIPF KB este utilizată pentru neutralizarea atacurilor, la crearea metodelor, pregătirea și desfășurarea cărora, se utilizează capabilitățile enumerate la paragrafele 10 - 12 din prezentul document și cel puțin una dintre următoarele capacități suplimentare:

    a) crearea de metode, pregătirea și efectuarea atacurilor cu implicarea specialiștilor în domeniul analizei semnalelor care însoțesc funcționarea CIPF și SF, precum și în domeniul utilizării capacităților nedocumentate (nedeclarate) ale aplicațiilor software pentru implementarea atacurilor;

    b) efectuarea de studii de laborator de protecție a informațiilor criptografice utilizate în afara zonei controlate, limitate de măsurile implementate în sistemul informațional în care este utilizat sistemul de protecție a informațiilor criptografice, și care vizează prevenirea și suprimarea acțiunilor neautorizate;

    c) efectuarea de lucrări de creare a metodelor și mijloacelor de atac în centrele de cercetare specializate în dezvoltarea și analiza CIPF și SF, inclusiv utilizarea textele sursă aplicație software inclusă în SF care utilizează direct apeluri funcții software CIPF.

    14. Clasa CIPF KA este utilizată pentru neutralizarea atacurilor, la crearea metodelor, pregătirea și desfășurarea cărora, se utilizează capabilitățile enumerate la paragrafele 10 - 13 din prezentul document și cel puțin una dintre următoarele capacități suplimentare:

    a) crearea de metode, pregătirea și efectuarea atacurilor cu implicarea specialiștilor în domeniul utilizării capacităților nedocumentate (nedeclarate) ale software-ului de sistem pentru implementarea atacurilor;

    b) capacitatea de a avea informații cuprinse în documentația de proiectare pentru componentele hardware și software ale SF;

    c) capacitatea de a avea toate componentele hardware ale CIPF și SF.

    15. În procesul de formare a unui set de ipoteze cu privire la capacitățile care pot fi utilizate pentru a crea metode, a pregăti și a efectua atacuri, caracteristici suplimentare, neincluse în cele enumerate la paragrafele 10 - 14 din prezentul document, nu afectează procedura de determinare a clasei cerute de CIPF.

    III. Compoziția și conținutul măsurilor organizatorice și tehnice necesare pentru îndeplinirea cerințelor stabilite de Guvernul Federației Ruse la protecția datelor cu caracter personal pentru nivelul 3 de securitate

    16. În conformitate cu paragraful 14 din Cerințele de protecție a datelor cu caracter personal, pentru a asigura securitatea de nivelul 3 a datelor cu caracter personal atunci când sunt prelucrate în sistemele informaționale, pe lângă îndeplinirea cerințelor prevăzute la paragraful 5 al prezentului document, este necesare pentru îndeplinirea cerinței de a numi un funcționar (angajat) responsabil cu asigurarea securității datelor cu caracter personal în sistemul informațional.

    17. Pentru a îndeplini cerința specificată la paragraful 16 din prezentul document, este necesară desemnarea unui funcționar (angajat) al operatorului cu competențe suficiente responsabil cu asigurarea securității datelor cu caracter personal în sistemul informațional.

    18. Pentru a îndeplini cerința specificată la paragraful „d” al paragrafului 5 din prezentul document, este necesar, în locul măsurii prevăzute la paragraful „c” al paragrafului 9 din prezentul document, să se utilizeze pentru asigurarea nivelului de securitate cerut. a datelor cu caracter personal la prelucrarea acestora în sistemul informatic:

    IV. Compoziția și conținutul măsurilor organizatorice și tehnice necesare pentru îndeplinirea cerințelor stabilite de Guvernul Federației Ruse la protecția datelor cu caracter personal pentru nivelul 2 de securitate

    19. În conformitate cu paragraful 15 din Cerințele de protecție a datelor cu caracter personal, în vederea asigurării nivelului 2 de securitate a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, pe lângă îndeplinirea cerințelor prevăzute la paragrafele 5 și 16 din prezentul document , este necesar să se îndeplinească cerința conform căreia accesul la conținutul jurnalului de mesaje electronice a fost posibil exclusiv pentru funcționarii (angajații) operatorului sau o persoană împuternicită pentru care informațiile conținute în jurnalul specificat sunt necesare pentru efectuarea de funcționare (muncă) atribuțiile.

    20. Pentru a îndeplini cerința specificată la paragraful 19 din prezentul document, este necesar:

    a) aprobarea de către conducătorul operatorului a listei persoanelor admise la conținutul jurnalului de mesaje electronice și menținerea la zi a listei specificate;

    b) dotarea sistemului informatic cu mijloace automatizate care înregistrează cererile utilizatorilor sistemului informatic de obținere a datelor cu caracter personal, precum și faptele furnizării datelor cu caracter personal privind aceste solicitări într-un jurnal de mesaje electronice;

    c) asigurarea sistemului informatic cu mijloace automatizate care exclud accesul la conținutul jurnalului electronic de mesaje al persoanelor neindicate în lista persoanelor avizate de șeful operatorului avizat pentru conținutul jurnalului electronic de mesaje;

    d) asigurarea monitorizării periodice a performanței mijloacelor automatizate specificate la subparagrafele „b” și „c” din prezentul alineat (cel puțin o dată la șase luni).

    21. Pentru a îndeplini cerința specificată la paragraful „d” al paragrafului 5 din prezentul document, este necesar, în locul măsurilor prevăzute la paragraful „c” al paragrafului 9 și la paragraful 18 din prezentul document, să se asigure nivelul cerut de securitatea datelor cu caracter personal la prelucrarea acestora în sistemul informatic:

    Clasa CIPF KB și mai mare în cazurile în care amenințările de tip 2 sunt relevante pentru sistemul informațional;

    Clasa CIPF KS1 și mai mare în cazurile în care amenințările de tip 3 sunt relevante pentru sistemul informațional.

    V. Compoziția și conținutul măsurilor organizatorice și tehnice necesare pentru îndeplinirea cerințelor stabilite de Guvernul Federației Ruse la protecția datelor cu caracter personal pentru 1 nivel de securitate

    22. În conformitate cu paragraful 16 din Cerințele privind protecția datelor cu caracter personal, pentru a asigura nivelul 1 de securitate a datelor cu caracter personal la prelucrarea acestora în sistemele informaționale, pe lângă îndeplinirea cerințelor prevăzute la alineatele 5, 16 și 19 din acest document, trebuie îndeplinite următoarele cerințe:

    a) înregistrarea automată în jurnalul electronic de securitate a modificărilor în atribuțiile angajatului operatorului de a accesa datele cu caracter personal conținute în sistemul informațional;

    b) crearea unei unități structurale separate, responsabilă cu asigurarea securității datelor cu caracter personal în sistemul informațional, sau atribuirea funcțiilor acesteia uneia dintre unitățile structurale existente.

    23. Pentru a îndeplini cerința specificată la subparagraful „a” din paragraful 22 din prezentul document, este necesar:

    a) dotarea sistemului informatic cu mijloace automatizate care permit înregistrarea automată în jurnalul electronic de securitate a modificărilor în atribuțiile angajatului operatorului de a accesa datele personale conținute în sistemul informațional;

    b) reflectarea în jurnalul electronic de securitate a atribuțiilor angajaților operatorului de date cu caracter personal de a accesa datele cu caracter personal conținute în sistemul informațional. Puterile specificate trebuie sa corespunda responsabilitatile locului de munca angajații operatorului;

    c) numirea de către operator a unei persoane responsabile cu monitorizarea periodică a menținerii unui jurnal electronic de securitate și a conformității competențelor angajaților operatorului reflectate în acesta cu responsabilitățile postului lor (cel puțin o dată pe lună).

    24. Pentru a îndeplini cerința specificată la subparagraful „b” din paragraful 22 din prezentul document, este necesar:

    a) efectuează o analiză a fezabilității creării unei unități structurale separate, responsabilă cu asigurarea securității datelor cu caracter personal în sistemul informațional;

    b) creează o unitate structurală separată responsabilă cu asigurarea securității datelor cu caracter personal în sistemul informațional, sau atribuie funcțiile acesteia uneia dintre unitățile structurale existente.

    25. Pentru a îndeplini cerința specificată la paragraful „a” al paragrafului 5 din prezentul document, pentru a asigura nivelul 1 de securitate este necesar:

    a) dotați ferestrele Spațiilor situate la primul și (sau) etajele superioare ale clădirilor, precum și ferestrele Spațiilor situate în apropierea scărilor de incendiu și a altor locuri din care persoanele neautorizate pot pătrunde în Spațiu, cu bare sau obloane metalice. , o alarmă de securitate sau alte mijloace care împiedică intrarea necontrolată a persoanelor neautorizate în incintă;

    b) dotați ferestrele și ușile Spațiilor în care sunt amplasate serverele sistemului informatic cu bare metalice, alarme de securitate sau alte mijloace care împiedică intrarea necontrolată a persoanelor neautorizate în incintă.

    26. Pentru a îndeplini cerința specificată la paragraful „d” al paragrafului 5 din prezentul document, este necesar, în locul măsurilor prevăzute la paragraful „c” al paragrafului 9, alineatele 18 și 21 din prezentul document, să se asigure nivelul de protecție a datelor cu caracter personal atunci când sunt prelucrate în sistemul informațional:

    CIPF clasa KA în cazurile în care amenințările de tip 1 sunt relevante pentru sistemul informațional;

    Clasa CIPF KB și mai mare în cazurile în care amenințările de tip 2 sunt relevante pentru sistemul informațional.

    1 Culegere de legislație a Federației Ruse, 2012, N 45, 6257.

    2 Etapele ciclului de viață al CIPF includ dezvoltarea (modernizarea) acestor mijloace, producția, depozitarea, transportul, punerea în funcțiune (punerea în funcțiune) și exploatarea acestora.

    3 Granița zonei controlate poate fi perimetrul teritoriului protejat al întreprinderii (instituției), structurile de împrejmuire ale clădirii protejate, partea protejată a clădirii, spațiile alocate.

    Valeri Koniavski
    director științific al VNIIPVTI,
    consultant stiintific al OKB SAPR

    Orice operație cu un număr aleator va produce un număr aleator. O secvență aleatorie adăugată textului simplu va produce un criptotext aleatoriu. Cu cât calitatea gamma este mai bună, cu atât este mai puțin probabil să descifreze criptotextul. Dacă gama este cu adevărat aleatorie, atunci criptotextul nu poate fi decriptat.

    Cifrul Vernam

    Mijloacele de protecție a informațiilor criptografice (CIPF) pot fi împărțite în mijloace și mijloace de criptare semnatura electronica(SEP).

    Transmiterea gamei sub formă de role uriașe de bandă de hârtie perforată nu a fost foarte convenabilă și destul de costisitoare. Prin urmare, uneori au apărut probleme cu ea reutilizareși, în consecință, cu scurgeri de informații importante.

    Pentru a nu transmite role de benzi de hârtie perforate pe canale scumpe, au venit cu modalități de a genera o gama lungă dintr-o cheie aleatorie, dar scurtă. În acel moment, era mai ușor să transmită o cheie scurtă aleatorie decât una lungă.

    Certificat CIPF

    Odată cu apariția mediilor de stocare moderne, situația s-a schimbat dramatic, iar acum nu există nicio problemă la producerea și transmiterea gigaocteților de gamma - atâta timp cât DNG-ul este bun. Generatoarele software de secvență pseudo-aleatorie (PSP) pot fi folosite aici doar din disperare că nu există un generator fizic bun.

    Standardele criptografice definesc secvențe de operațiuni care permit obținerea unui text simplu criptat în siguranță, bazat pe o cheie bună. Cu toate acestea, cheile trebuie încă făcute folosind senzori buni.

    Autoritatea de reglementare stabilește regulile, laboratoarele de testare verifică dacă sunt îndeplinite cerințele pentru operațiuni, chei și absența influenței asupra acestor procese de către alte procese - așa apar sistemele de protecție a informațiilor criptografice certificate.

    Criptare și semnătură electronică

    Gamma trebuie să aibă următoarele proprietăți:

    • să fie cu adevărat aleatoriu, adică format prin procese fizice, analogice, mai degrabă decât digitale;
    • corespunde sau depășește dimensiunea specificată a textului simplu;
    • fie aplicat fiecărui mesaj o singură dată și apoi distrus.

    Acest cifru se numește cifru Vernam - și este singurul cifr care are putere criptografică absolută. Nu este nevoie să-i demonstrăm puterea acum, deoarece acest lucru a fost făcut de K. Shannon încă din 1945. O lungime gama mare, formarea sa pe baza proceselor fizice și distrugerea garantată sunt condițiile pentru puterea cifrului.

    Criptarea este necesară pentru a se asigura că numai cei care pot avea acces la informații. Semnătura electronică este folosită pentru a înregistra voința unei persoane. Și dacă CIPF trebuie să efectueze corect transformări criptografice într-un mediu dovedit, atunci acest lucru nu este suficient pentru o semnătură electronică. Este necesar să se ia toate măsurile pentru a se asigura că liberul arbitru al unei persoane. Legea federală 63 vizează acest lucru, motiv pentru care una dintre cele mai importante cerințe ale sale este cerința vizualizării corecte a documentului pe care o persoană îl semnează. Astfel, spre deosebire de CIPF, se adaugă verificări ale instrumentelor de vizualizare pentru SES calificat. Desigur, sunt efectuate și toate verificările necesare ale algoritmilor criptografici.

    Când se analizează o anumită schemă de semnătură electronică, întrebarea este de obicei pusă după cum urmează: „Este posibil să selectezi rapid două mesaje diferite (semnificative) care vor avea aceleași semnături electronice?” Răspunsul aici este de obicei nu. Dacă o funcție hash bună este utilizată fără un mecanism eficient de detectare a coliziunilor, atacul este aproape întotdeauna sortit eșecului. Mihail Gruntovich (vezi pagina 48) a pus întrebarea diferit: „Este posibil, având două mesaje, să selectăm cheile de semnătură, astfel încât semnăturile electronice să coincidă?” Și s-a dovedit că acest lucru este extrem de ușor de făcut!

    Atacul lui Gruntovich

    Să luăm în considerare condițiile specifice pentru implementarea acestui atac (într-o versiune foarte simplificată) folosind exemplul unei semnături conform schemei El-Gamal. Credința în puterea acestei scheme se bazează pe complexitatea (ipotetică) a problemei logaritmului discret, dar nu problema matematicii discrete este atacată aici.

    CIPF trebuie să fie hardware. Acestea trebuie să conțină un RNG fizic de calitatea cerută și să asigure nerecuperarea nu numai a cheii de semnătură, ci și a altor elemente criptografice care afectează puterea algoritmilor.

    Să introducem următoarea notație:

    • H – funcție hash criptografică;
      Zn – mulțime de numere (0,1, …, n - 1), n ​​​​– număr natural;
      a (mod p) – restul împărțirii întregului a la numărul natural p.

    Pentru schema de generare a semnăturii ElGamal:

    • un număr prim p de lățime suficientă este fix și g este un element primitiv mod p;
    • cheia privată a semnăturii este orice număr x din Zp.

    Calculul semnăturii mesajului m:

    • se calculează codul hash h = H(m);
    • este selectat un număr aleator k care este coprim la p - 1:1< k < p - 1;
    • se calculează r = g k (mod p);
    • se calculează s = k -1 (h - xr) (mod p - 1);
    • semnătura este perechea c = (r, s).

    Acum să ne uităm la ce trebuie să facă un atacator pentru a efectua un atac. Ar trebui să genereze coduri hash:

    • h 1 = H(m 1), h 2 = H(m 2)

    și semnături de potrivire cu același număr aleator k:

    • s = k -1 (h 1 - x 1 r)(mod p - 1) și
      s = k -1 (h 2 - x 2 r)(mod p - 1).

    Și asta înseamnă că:

    h 1 - x 1 r (mod p - 1) = h 2 - x 2 r(mod p - 1).

    Câteva caracteristici cărora ar trebui să le acordați atenție atunci când utilizați CIPF.
    1. Dacă documentația pentru CIPF indică în ce sistem de operare poate fi utilizat, atunci ar trebui să fie utilizat în acest sistem. În caz contrar, chiar dacă CIPF funcționează, va trebui totuși să efectuați cercetări privind integrarea corectă a CIPF cunoscut în noul mediu. Acest lucru nu este dificil (relativ) pentru CIPF-urile hardware, dar destul de dificil pentru cele software.
    2. Dacă hardware-ul CIPF nu are un DFS verificat și nu există instrumente de autotestare verificate (și nu poate fi altfel implementat în CIPF pe cipuri universale de carduri inteligente), atunci acordați atenție documentelor privind instalarea și funcționarea. Deoarece entropia trebuie adăugată de undeva și testarea trebuie făcută, se poate dovedi că acest CIPF poate fi folosit autonom pentru o perioadă foarte scurtă de timp, de exemplu, două sau trei zile. Acest lucru nu este întotdeauna convenabil.
    3. Dacă vi se oferă orice jeton și vi se spune că este certificat la clasa KS2 sau mai mare, nu credeți. Cel mai probabil, documentația impune ca acest token să fie utilizat într-un mediu protejat de o încuietoare electronică. Fără aceasta, clasa nu va fi mai mare decât KS1.

    După cum puteți vedea, atunci când alegeți cheile x 1 și x 2 astfel încât să fie îndeplinită condiția de mai sus, semnăturile se potrivesc, în ciuda faptului că mesajele semnate sunt diferite! Rețineți că pentru a calcula x 2 dintr-un x 1 cunoscut, calculele necesare sunt minime în comparație cu problema logaritmului discret subexponențial.

    Cu toate acestea, nu totul este atât de înfricoșător. Cert este că rezultatele obținute nu discreditează realitatea puterea criptografică a semnăturii electronice. Ele arată posibilă vulnerabilitate când abuz Mecanismele PE.

    Acest exemplu demonstrează clar vulnerabilitățile care apar atunci când CIPF este implementat incorect. Atacul descris este posibil dacă utilizatorul își cunoaște cheia de semnătură și poate afla numărul aleatoriu.

    Există mod radical pentru a combate atacurile de acest fel - pentru a face acest lucru, trebuie doar să aveți un dispozitiv în care:

    • este generată o cheie de semnătură;
    • se calculează cheia de verificare a semnăturii;
    • cheie publică exportate, inclusiv pentru certificare de către un centru de certificare;
    • Cheia de semnătură este folosită pentru a genera semnătură digitală numai în interiorul dispozitivului; nu poate fi exportată! Recent, astfel de dispozitive sunt numite dispozitive cu cheie nedetasabila;
    • Un număr aleatoriu nu apare niciodată în mediul computerului, acesta este generat și distrus după ce a fost folosit în interiorul dispozitivului.

    De aici este clar că varianta mai fiabilă este SEP și CIPF, realizate sub formă de echipamente. În acest caz, se poate asigura o calitate suficientă a RNG și stocarea fiabilă a cheii de semnătură.

    Criptare

    Să revenim acum la criptare și să vorbim despre când și de ce ar trebui să fie folosită, cum indivizii, și legal.

    Să evidențiem mai întâi principalele tipuri de criptare, iar acestea sunt abonatul și canalul. După cum sugerează numele, în cazul criptării abonatului, abonatul criptează mai întâi informațiile (fișier, document), apoi le transmite într-o formă închisă către canal. Cu criptarea canalului, canalul în sine este protejat folosind metode criptografice, iar abonatul nu trebuie să-și facă griji cu privire la criptarea informațiilor înainte de a le transmite prin canal. Dacă canalul este o conexiune punct la punct, atunci se folosesc codificatoare de canal. Dacă canalul nu este fire, ci o structură activă precum Internetul, atunci nu totul trebuie criptat, ci doar datele. Adresele nu pot fi distorsionate, altfel pachetele pur și simplu nu vor ajunge la destinatar. Mecanismele de rețea privată virtuală (VPN) sunt utilizate aici. Cele mai cunoscute protocoale sunt IPsec și SSL. Aproape toate produsele VPN de pe piață implementează unul dintre aceste protocoale.

    VPN

    Pentru a alege în mod conștient unul sau altul, trebuie să înțelegeți cum diferă acestea și ce dificultăți veți întâmpina în timpul funcționării acestor produse. Iată ce ar trebui să ții cont cel puțin:

    • Protecția criptografică a canalelor ar trebui utilizată dacă există amenințarea că datele pe care le transmiteți sunt atât de interesante pentru un intrus încât acesta se va alătura canalului și va începe să „asculte” întregul schimb. Desigur, trebuie să începeți să protejați canalele după ce rețeaua internă este protejată în mod fiabil, deoarece un insider este de obicei mai ieftin decât un atac asupra unui canal; 1 ambele protocoale - aceste protocoale sunt concepute pentru interacțiunea nu între clienți, ci între rețele, deci sunt dificil de configurat. Prin urmare, o importanță vitală au controale de securitate a rețelei – acestea trebuie alese mai întâi;
    • în stiva de protocoale TCP/IP, IPsec operează la nivelul IP, iar SSL operează la nivelul TCP. Adică, dacă IPsec oferă protecție la nivel de sistem, atunci SSL oferă protecție la nivel de aplicație. Deoarece IPsec funcționează semnificativ „mai scăzut”, astfel „încapsulează” un număr semnificativ mai mare de protocoale în domeniul de securitate decât SSL, care este, desigur, mai bun;
    • Când utilizați un VPN, sarcina dvs. principală este gestionarea cheilor. Cheile trebuie emise în timp util, schimbate - într-un cuvânt, trebuie gestionate. Fiecare CIPF are propriul sistem de generare și management al cheilor. Dacă utilizați deja vreuna sistem cheie, continuă să-l folosești. Nu începeți o „grădina zoologică” - menținerea chiar și a unui singur sistem este dificilă, darămite a mai multor - o sarcină aproape imposibilă;
    • dacă sarcina ta este legată de asigurarea activităților multor obiecte informaționale distribuite în spațiu, atunci folosește un VPN. Acest lucru se aplică numai acelor obiecte între care intens interacțiunea informațională date protejate care pot fi atât de interesante pentru atacator încât este gata să „asculte” canalele. Dacă totul nu merge bine, încercați să vă limitați la protecția informațiilor criptografice ale abonaților.

    Abonat CIPF

    Acestea sunt caracterizate nu de algoritmi (definiți de standarde), ci de utilități care permit utilizarea acestor CIPF și de condițiile care trebuie îndeplinite. Este de dorit ca este convenabil să folosiți aceste fonduri.

    Și cel mai important, nu uitați să aveți suficient echipament de protecție. Nu este nevoie să folosiți CIPF scump, unde vă puteți descurca fără ele.

    Și încă ceva: CIPF și SEP care îndeplinesc toate cerințele despre care am discutat există. Până la clasa KV2. Nu le numesc doar pentru ca articolul să nu devină reclamă.

    Literatură

    1. Konyavsky V.A. Crima informatică. T. II. – M., 2008.
    2. Iascenko V.V. Introducere în criptografie. Noi discipline matematice. – M., 2001.

    Cerințele de securitate a informațiilor la proiectarea sistemelor informaționale indică caracteristicile care caracterizează mijloacele de securitate a informațiilor utilizate. Ele sunt definite de diverse acte ale autorităților de reglementare în domeniul securității securitatea informatiei, în special - FSTEC și FSB al Rusiei. Ce clase de securitate există, tipurile și tipurile de echipamente de protecție, precum și unde să aflați mai multe despre acest lucru, sunt reflectate în articol.

    Introducere

    Astăzi, problemele de asigurare a securității informației fac obiectul unei atenții deosebite, deoarece tehnologiile implementate peste tot fără asigurarea securității informațiilor devin o sursă de noi probleme serioase.

    FSB-ul rus raportează despre gravitatea situației: valoarea pagubelor cauzate de atacatori de-a lungul mai multor ani în întreaga lume a variat între 300 de miliarde de dolari și 1 trilion de dolari. Potrivit informațiilor furnizate de Procurorul General al Federației Ruse, numai în prima jumătate a anului 2017 în Rusia numărul infracțiunilor în domeniul tehnologie avansata a crescut de șase ori, valoarea totală a pagubelor a depășit 18 milioane de dolari. O creștere a atacurilor țintite în sectorul industrial în 2017 a fost observată în întreaga lume. În special, în Rusia, creșterea numărului de atacuri față de 2016 a fost de 22%.

    Tehnologiile informaționale au început să fie folosite ca arme în scopuri militaro-politice, teroriste, pentru a se amesteca în treburile interne ale statelor suverane, precum și pentru a comite alte infracțiuni. Federația Rusă reprezintă crearea unui sistem internațional de securitate a informațiilor.

    Pe teritoriul Federației Ruse, deținătorii de informații și operatorii de sisteme informatice sunt obligați să blocheze încercările de acces neautorizat la informații, precum și să monitorizeze starea de securitate a infrastructurii IT în mod continuu. Totodată, protecția informațiilor este asigurată prin luarea diferitelor măsuri, inclusiv tehnice.

    Instrumentele de securitate a informațiilor, sau sistemele de protecție a informațiilor, asigură protecția informațiilor în sistemele informaționale, care sunt în esență o colecție de informații stocate în baze de date, tehnologii informaționale care asigură prelucrarea acestora și mijloace tehnice.

    Sistemele informatice moderne se caracterizează prin utilizarea diverselor platforme hardware și software, distribuția teritorială a componentelor, precum și interacțiunea cu rețele deschise transmiterea datelor.

    Cum să protejăm informațiile în astfel de condiții? Cerințele corespunzătoare sunt prezentate de organismele autorizate, în special, FSTEC și FSB din Rusia. În cadrul articolului, vom încerca să reflectăm principalele abordări ale clasificării sistemelor de securitate a informațiilor, ținând cont de cerințele acestor autorități de reglementare. Alte modalități de a descrie clasificarea securității informațiilor, reflectate în documentele de reglementare ale departamentelor ruse, precum și ale organizațiilor și agențiilor străine, depășesc domeniul de aplicare al acestui articol și nu sunt luate în considerare în continuare.

    Articolul poate fi util specialiștilor începători în domeniul securității informațiilor ca sursă de informații structurate privind metodele de clasificare a securității informațiilor bazate pe cerințele FSTEC din Rusia (într-o măsură mai mare) și, pe scurt, FSB din Rusia.

    Structura care determină procedura și coordonează furnizarea de securitate a informațiilor folosind metode necriptografice este FSTEC din Rusia (fostă Comisia Tehnică de Stat sub președintele Federației Ruse, Comisia Tehnică de Stat).

    Dacă cititorul a văzut vreodată Registrul de stat al instrumentelor de securitate a informațiilor certificate, care este format de FSTEC din Rusia, atunci cu siguranță a acordat atenție prezenței în partea descriptivă a scopului sistemului de protecție a informațiilor unor expresii precum „RD SVT clasa”, „nivel de absență a nerespectării datelor de neconformitate”, etc. (Figura 1) .

    Figura 1. Fragment din registrul dispozitivelor certificate de protecție a informațiilor

    Clasificarea instrumentelor de securitate a informațiilor criptografice

    FSB al Rusiei a definit clase de sisteme de protecție a informațiilor criptografice: KS1, KS2, KS3, KV și KA.

    Principalele caracteristici ale IPS din clasa KS1 includ capacitatea lor de a rezista atacurilor efectuate din afara zonei controlate. Aceasta implică faptul că crearea metodelor de atac, pregătirea și implementarea acestora se realizează fără participarea specialiștilor în domeniul dezvoltării și analizei securității informațiilor criptografice. Se presupune că informațiile despre sistemul în care sunt utilizate sistemele de securitate a informațiilor specificate pot fi obținute din surse deschise.

    Dacă un sistem de securitate a informațiilor criptografice poate rezista atacurilor blocate prin intermediul clasei KS1, precum și celor efectuate în zona controlată, atunci o astfel de securitate a informațiilor corespunde clasei KS2. Se presupune, de exemplu, că în timpul pregătirii unui atac ar putea deveni disponibile informații despre măsurile fizice de protecție a sistemelor informaționale, asigurarea unei zone controlate etc.

    Dacă este posibil să rezistați atacurilor dacă există acces fizic la echipamentul informatic cu informații de securitate criptografice instalate, se spune că un astfel de echipament respectă clasa KS3.

    Dacă securitatea informațiilor criptografice rezistă atacurilor, a căror creare a implicat specialiști în domeniul dezvoltării și analizei acestor instrumente, inclusiv a centrelor de cercetare, și a fost posibilă efectuarea unor studii de laborator ale mijloacelor de securitate, atunci vorbim despre conformitatea cu clasa HF .

    Dacă în dezvoltarea metodelor de atac au fost implicați specialiști în domeniul utilizării software-ului sistemului NDV, documentația de proiectare corespunzătoare a fost disponibilă și a existat acces la orice componente hardware ale sistemelor de securitate a informațiilor criptografice, atunci protecția împotriva unor astfel de atacuri poate fi asigurată prin intermediul clasa KA.

    Clasificarea mijloacelor de protecție a semnăturii electronice

    Instrumentele de semnătură electronică, în funcție de capacitatea lor de a rezista la atacuri, sunt de obicei comparate cu următoarele clase: KS1, KS2, KS3, KB1, KB2 și KA1. Această clasificare este similară cu cea discutată mai sus în legătură cu securitatea informațiilor criptografice.

    concluzii

    Articolul a examinat câteva metode de clasificare a securității informațiilor în Rusia, a căror bază este cadrul de reglementare al autorităților de reglementare în domeniul protecției informațiilor. Opțiunile de clasificare luate în considerare nu sunt exhaustive. Cu toate acestea, sperăm că informațiile rezumate prezentate vor permite unui specialist începător în domeniul securității informațiilor să navigheze rapid.