Вимоги до Скз фсб. Як підготуватись до планової перевірки ФСБ за персональними даними? Організація системи криптографічних заходів захисту інформації

Користування криптографічних засобів захисту (СКЗІ) тема дуже неоднозначна та слизька. Тим не менш, у Оператора ПДн є таке право у разі актуальних загроз застосувати СКЗІ для забезпечення захисту. Тільки от не завжди зрозуміло, як використовувати це право. І ось ФСБ полегшує життя, у світ вийшов документ методичні рекомендації застосовний як державних ІВ і всіма іншими Операторами ПДн. Розглянемо цей документ докладніше.

І так це сталося, 8-й Центр ФСБ виклав описує рекомендації у сфері розробки нормативно-правових актів захисту ПДн. Одночасно цим же документом рекомендується користуватися операторам ІСПД при розробці приватних моделей загроз.

То що думає ФСБ у тому, як і де потрібно застосовувати СКЗИ?

Досить важливо, що даний документопубліковано лише на сайті ФСБ,не має реєстраціїу Мін'юсті тане несе нічиєї підписі— тобто його юридична значимість та обов'язковість залишається лише у рамках рекомендацій. Про це важливо пам'ятати.

Давайте заглянемо всередину, у преамбулі документа визначається, що рекомендації «для федеральних органіввиконавчої влади… інших державних органів… які… приймають нормативні правові акти, в яких визначають загрози безпеці персональних даних, актуальні при обробці персональних даних інформаційних системах персональних даних (далі – ІСПДн), що експлуатуються при здійсненні відповідних видів діяльності». Тобто. явно дається відсилання до державних інформаційних систем.

Однак одночасно цими ж нормами «доцільно також керуватися при розробці. приватних моделей погрозоператорам інформаційних систем персональних даних, які ухвалили рішення про використання коштів криптографічного захисту інформації(Далі – СКЗІ) для забезпечення безпеки персональних даних». Тобто. документ стає універсальним для всіх користувачів.

Коли ж потрібно використовувати СКЗІ?

Використання СКЗІ для забезпечення безпеки персональних даних необхідне у таких випадках:

якщо персональні дані підлягають криптографічному захисту відповідно до законодавства Російської Федерації;

якщо в інформаційній системі є загрози, які можуть бути нейтралізовані лише за допомогою СКЗІ.

передача персональних даних каналами зв'язку, не захищеними від перехоплення порушником інформації, що передається по них, або від несанкціонованих впливів на цю інформацію (наприклад, при передачі персональних даних по інформаційно-телекомунікаційним мережам загального користування);

зберігання персональних даних на носіях інформації, несанкціонований доступ до яких з боку порушника не може бути виключено за допомогою некриптографічних методів та способів.

І ось до чого ми приходимо. Якщо другий пункт так само досить логічний, то перший не такий очевидний. Справа в тому, що згідно з поточною редакцією закону «Про персональні дані» ім'я, прізвище та по батьковівже є персональними даними. Відповідно, будь-яке листування або реєстрація на сайті (з урахуванням того, скільки даних зараз вимагають при реєстрації) потрапляють формально під це визначення.

Але, як кажуть, немає правил без винятку. Наприкінці документа є дві таблиці. Наведемо лише один рядок Додатки №1.

Актуальна загроза:

1.1. проведення атаки під час перебування у межах контрольованої зони.

Обґрунтування відсутності (список трохи скорочено):

співробітники, які є користувачами ІСПДн, але не є користувачами СКЗІ, поінформовані про правила роботи в ІСПДн та відповідальність за недотримання правил забезпечення безпеки інформації;

користувачі СКЗІ поінформовані про правила роботи в ІСПДн, правила роботи з СКЗІ та відповідальність за недотримання правил забезпечення безпеки інформації;

приміщення, в яких розташовуються СКЗІ, оснащені вхідними дверима із замками, забезпечення постійного закриття дверей приміщень на замок та їх відкриття лише для санкціонованого проходу;

затверджено правила доступу до приміщень, де розташовуються СКЗІ, у робочий та неробочий час, а також у позаштатних ситуаціях;

затверджено перелік осіб, які мають право доступу до приміщень, де розташовуються СКЗІ;

здійснюється розмежування та контроль доступу користувачів до ресурсів, що захищаються;

здійснюється реєстрація та облік дій користувачів з ПДн;

на АРМ та серверах, на яких встановлені СКЗІ:
використовуються сертифіковані засоби захисту від несанкціонованого доступу;

використовуються сертифіковані засоби антивірусного захисту.

Тобто, якщо користувачі поінформовані про правила та відповідальність, а й заходи захисту застосовуються, то виходить і турбуватися нема про що.

для забезпечення безпеки персональних даних при їх обробці в ІСПДН повинні використовуватись СКЗІ, які пройшли в установленому порядку процедуру оцінки відповідності.

Щоправда, трохи нижче говориться, що список сертифікованих СКЗІ можна знайти на сайті ЦЛСЗ ФСБ. Про те, що оцінка відповідності не є сертифікацією, йшлося неодноразово.

у разі відсутності процедури оцінки відповідності СКЗІ, що пройшли в установленому порядку, на етапі аванпроекту або ескізного (ескізно-технічного) проекту розробником інформаційної системи за участю оператора (уповноваженої особи) та передбачуваного розробника СКЗІ готується обґрунтування доцільності розробки функціональним вимогам до СКЗІ властивостям.

Це справді тішить. Справа в тому що сертифікаціяпроцес дуже тривалий – до півроку та більше. Найчастіше клієнти використовують новітні ОС, які не підтримуються сертифікованою версією. Відповідно до цього документа, клієнти можуть використовувати продукти, що знаходяться в процесі сертифікації.

У документі зазначається, що:

При використанні каналів (ліній) зв'язку, з яких неможливе перехоплення інформації, що передається по них, та (або) в яких неможливе здійснення несанкціонованих впливів на цю інформацію, при загальному описіінформаційних систем необхідно зазначати:

опис методів та способів захисту цих каналів від несанкціонованого доступу до них;

висновки за результатами досліджень захищеності цих каналів (ліній) зв'язку від несанкціонованого доступу до захищеної інформації, що передається по них, організацією, що має право проводити такі дослідження, з посиланням на документ, в якому містяться ці висновки.

характеристики безпеки (конфіденційність, цілісність, доступність, справжність), які необхідно забезпечувати для персональних даних, що обробляються;

використовувані в кожній підсистемі або в інформаційній системі в цілому канали (лінії) зв'язку, включаючи кабельні системи, та заходи з обмеження несанкціонованого доступу до інформації, що захищається, що передається по цих каналах (ліній) зв'язку, із зазначенням каналів (ліній) зв'язку, в яких неможливий несанкціонований доступ до інформації, що передається по них, і реалізовані для забезпечення цієї якості заходи;

носії інформації, що захищається, використовуються в кожній підсистемі інформаційної системи або в інформаційній системі в цілому (за винятком каналів (ліній) зв'язку).

Однак тут криється маса нюансів: облік та зберігання засобів шифрування, допуски до СКЗІ, регламент їх використання повинні проводитись у суворій відповідності до вимог законодавства.

Порушення правил захисту інформації, згідно зі статтею 13.12 КоАП РФ, може спричинити низку санкцій: штрафи для посадових осіб та організації, а також конфіскацію самих засобів криптозахисту. Наслідком може стати неможливість надіслати електронну звітність або блокування роботи установи у системі обміну даними.

Регулярний контроль використання шифрувальних засобів, які застосовуються для забезпечення безпеки персональних даних (далі ПДн), проводиться на підставі вимог наступних нормативних актів:

Федеральний закон від 27.07.2006 № 152-ФЗ "Про персональні дані";
Наказ ФСБ Росії від 10.07.2014 №378;
Інструкція ФАПСІ від 13.06.2001 № 152;
та низку інших нормативних документів.

План перевірок ФСБ на рік публікується на офіційному сайті Генеральної прокуратури РФ. Тут будь-яка організація за своїм ІПН або ОГРН може дізнатися про майбутні перевірки в поточному році, їх тривалість та період проведення.

Для того, щоб підготуватися до перевірки ФСБ, необхідно провести низку організаційних заходів, розробити та затвердити документи, пов'язані з роботою із СКЗІ.

Відповіді на такі питання допоможуть систематизувати роботу з підготовки до перевірки та зосередитись на необхідних заходах:

Чи є в організації засоби криптографічного захисту інформації? Чи є документи на їхнє придбання, чи ведеться облік? Якими документами регламентується передача СКЗІ у відчуження та в користування?
Який відділ на підприємстві відповідає за роботу зі СКЗІ, а саме: складання висновків про можливість експлуатації СКЗІ, розробку заходів щодо забезпечення функціонування та безпеки застосовуваних СКЗІ відповідно до умов виданих на них сертифікатів, поекземплярний облік використовуваних СКЗІ, експлуатаційної та технічної документації до них, облік власників, що обслуговуються конфіденційної інформації, контроль за дотриманням умов використання СКЗІ, розслідування та складання висновків за фактами порушення умов використання СКЗІ, розробку схеми організації криптографічного захисту конфіденційної інформації?
Якими документами регламентується створення зазначеного вище відділу, а також якими документами призначаються особи, відповідальні за виконання дій у рамках цього підрозділу?
Чи вироблено регламент обліку та зберігання СКЗД?
Чи затверджені форми журналів обліку СКЗІ? Як вони ведуться?
Чи визначено коло відповідальних осіб та відповідальність у разі порушення правил роботи із СКЗД?
Яким чином здійснюється зберігання та надання доступів ЗЗК?

Усі документи мають бути затверджені керівником чи уповноваженою особою організації, грифів таємності не потрібно, проте документи мають бути призначені лише для співробітників організації та перевіряючих.

Досвід підтримки клієнтів під час перевірок ФСБ дозволив нам виділити найбільш типові блоки, на які звертає увагу контролюючий орган.

1. Організація системи організаційних заходів захисту персональних даних

Що перевіряється		Порада
Область застосування СКЗІ в інформаційних системах персональних даних; Наявність відомчих документів та наказів щодо організації криптографічного захисту	Відомчі документи та накази щодо організації криптографічного захисту інформації	Необхідно послатись на документи, що визначають обов'язкове використанняСКЗІ для обробки та передачі інформації. У частині захисту ПДн у державних системах це 17 та 21 Накази ФСТЕК

Що перевіряється

Порада

Область застосування СКЗІ в інформаційних системах персональних даних;

Наявність відомчих документів та наказів щодо організації криптографічного захисту

Відомчі документи та накази щодо організації криптографічного захисту інформації

Необхідно послатись на документи, що визначають обов'язкове використанняСКЗІ для обробки та передачі інформації. У частині захисту ПДн у державних системах це 17 та 21 Накази ФСТЕК

2. Організація системи криптографічних заходів захисту інформації

3. Дозвільна та експлуатаційна документація

Що перевіряється	Які документи мають бути надані	Порада
наявність необхідних ліцензій для використання СКЗІ в інформаційних системах персональних даних; Наявність сертифікатів відповідності на використовувані СКЗІ; Наявність експлуатаційної документації на СКЗІ (формулярів, правил роботи, керівництво оператора тощо); Порядок обліку СКЗІ, експлуатаційної та технічної документації до них	Ліцензії та сертифікати на використовувані СКЗІ; Експлуатаційна документація на СКЗІ	Які документи маються на увазі: 1) ліцензії на ПЗ, 2) наявність дистрибутивів до цих ліцензій, отриманих законним шляхом,

Що перевіряється

Які документи мають бути надані

Порада

наявність необхідних ліцензій для використання СКЗІ в інформаційних системах персональних даних;

Наявність сертифікатів відповідності на використовувані СКЗІ;

Наявність експлуатаційної документації на СКЗІ (формулярів, правил роботи, керівництво оператора тощо);

Порядок обліку СКЗІ, експлуатаційної та технічної документації до них

Ліцензії та сертифікати на використовувані СКЗІ;

Експлуатаційна документація на СКЗІ

Які документи маються на увазі:

1) ліцензії на ПЗ,

2) наявність дистрибутивів до цих ліцензій, отриманих законним шляхом,

4. Вимоги до обслуговуючого персоналу

Що перевіряється	Які документи мають бути надані	Порада
порядок обліку осіб, допущених до роботи з СКЗІ; Наявність функціональних обов'язків відповідальних користувачів СКЗІ; Укомплектованість штатних посад особовим складом та його достатність для вирішення завдань щодо організації криптографічного захисту інформації; Організація процесу навчання осіб, які використовують СКЗІ	Затверджені списки; документи, що підтверджують функціональні обов'язки працівників; Журнал обліку користувачів криптографічних засобів; Документи, що підтверджують проходження навчання працівників	Необхідно мати такі документи: 1) інструкція по роботі із СКЗІ, 2) призначення внутрішніми наказами відповідальних за роботу із СКЗІ

Що перевіряється

Які документи мають бути надані

Порада

порядок обліку осіб, допущених до роботи з СКЗІ;

Наявність функціональних обов'язків відповідальних користувачів СКЗІ;

Укомплектованість штатних посад особовим складом та його достатність для вирішення завдань щодо організації криптографічного захисту інформації;

Організація процесу навчання осіб, які використовують СКЗІ

Затверджені списки;

документи, що підтверджують функціональні обов'язки працівників;

Журнал обліку користувачів криптографічних засобів;

Документи, що підтверджують проходження навчання працівників

Необхідно мати такі документи:

1) інструкція по роботі із СКЗІ,

2) призначення внутрішніми наказами відповідальних за роботу із СКЗІ

5. Експлуатація СКЗІ

Що перевіряється	Які документи мають бути надані	Порада
Перевірка правильності введення в експлуатацію; Оцінка технічного стану СКЗІ; Дотримання термінів та повноти технічне обслуговування; Перевірка дотримання правил користування СКЗД та порядку поводження з ключовими документами до них	Акти введення СКЗІ в експлуатацію; Журнал поекземплярного обліку СКЗІ; Журнал обліку та видачі носіїв із ключовою інформацією	Необхідно розробити такі документи: 1) акти встановлення СКЗІ, 2) наказ щодо затвердження форм журналів обліку

Що перевіряється

Які документи мають бути надані

Порада

Перевірка правильності введення в експлуатацію;

Оцінка технічного стану СКЗІ;

Дотримання термінів та повноти технічне обслуговування;

Перевірка дотримання правил користування СКЗД та порядку поводження з ключовими документами до них

Акти введення СКЗІ в експлуатацію;

Журнал поекземплярного обліку СКЗІ;

Журнал обліку та видачі носіїв із ключовою інформацією

Необхідно розробити такі документи:

1) акти встановлення СКЗІ,

2) наказ щодо затвердження форм журналів обліку

6. Організаційні заходи

Що перевіряється	Які документи мають бути надані	Порада
Виконання вимог щодо розміщення, спеціального обладнання, охорони та організації режиму у приміщеннях, де встановлені СКЗІ або зберігаються ключові документи до них; Відповідність режиму зберігання СКЗІ і ключової документації вимогам, що висуваються; Оцінка ступеня забезпечення оператора криптокоключами та організація їх доставки; Перевірка наявності інструкції щодо відновлення зв'язку у разі компрометації діючих ключів до СКЗІ	Експлуатаційна документація на СКЗІ; Приміщення, виділені для встановлення СКЗІ та зберігання ключових документів до них; Інструкція на випадок компрометації діючих ключів СКЗІ	1) Виконання вимог Інструкції 152 ФАПСІ. Залежить від конкретних умов, може вимагати монтажу охорони, встановлення штор на вікна, покупки сейфа та ін. 2) Інструкція по роботі із СКЗІ

Що перевіряється

Які документи мають бути надані

Порада

Виконання вимог щодо розміщення, спеціального обладнання, охорони та організації режиму у приміщеннях, де встановлені СКЗІ або зберігаються ключові документи до них;

Відповідність режиму зберігання СКЗІ і ключової документації вимогам, що висуваються;

Оцінка ступеня забезпечення оператора криптокоключами та організація їх доставки;

Перевірка наявності інструкції щодо відновлення зв'язку у разі компрометації діючих ключів до СКЗІ

Експлуатаційна документація на СКЗІ;

Приміщення, виділені для встановлення СКЗІ та зберігання ключових документів до них;

Інструкція на випадок компрометації діючих ключів СКЗІ

1) Виконання вимог Інструкції 152 ФАПСІ. Залежить від конкретних умов, може вимагати монтажу охорони, встановлення штор на вікна, покупки сейфа та ін.

2) Інструкція по роботі із СКЗІ

Усі перелічені вимоги випливають із Регламенту проведення перевірок ФСБ. Конкретні дії проводяться згідно з Наказом ФАПСІ від 13 червня 2001 року №152.

Виконання хоча б частини вимог суттєво підніме можливість пройти всі регламентні процедури без штрафу. Загалом у вимогах немає надмірності, всі дії справді важливі та працюють на захист інтересів організації.

Микита Ярків, керівник групи ліцензування компанії «СКБ Контур», проект «Контур-Безпека»

Реєстраційний N 33620

Відповідно до частини 4 статті 19 Федерального закону від 27 липня 2006 р. N 152-ФЗ "Про персональні дані" 1 наказую:

затвердити склад, що додаються Склад і зміст організаційних і технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних з використанням засобів криптографічного захисту інформації, необхідних для виконання встановлених Урядом Російської Федерації вимог до захисту персональних даних для кожного з рівнів захищеності.

Директор А. Бортніков

1 Відомості Верховної Ради України, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. I), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. I), ст. 4038.

додаток

Склад та зміст організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних з використанням засобів криптографічного захисту інформації, необхідних для виконання встановлених Урядом Російської Федерації вимог щодо захисту персональних даних для кожного з рівнів захищеності

I. Загальні положення

1. Цей документ визначає склад та зміст організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних (далі - інформаційна система) з використанням засобів криптографічного захисту інформації (далі - СКЗІ), необхідних для виконання встановлених Урядом Російської Федерації вимог щодо захисту персональних даних для кожного з рівнів захищеності.

2. Цей документ призначений для операторів, які використовують СКЗІ для забезпечення безпеки персональних даних під час їх обробки в інформаційних системах.

3. Застосування організаційних та технічних заходів, визначених у цьому документі, забезпечує оператор з урахуванням вимог експлуатаційних документів на СКЗІ, що використовуються для забезпечення безпеки персональних даних під час їх обробки в інформаційних системах.

4. Експлуатація СКЗІ повинна здійснюватися відповідно до документації на СКЗІ та вимог, встановлених у цьому документі, а також відповідно до інших нормативних правових актів, що регулюють відносини у відповідній галузі.

ІІ. Склад та зміст організаційних та технічних заходів, необхідних для виконання встановлених Урядом Російської Федерації вимог до захисту персональних даних для 4 рівня захищеності

5. Відповідно до пункту 13 Вимог до захисту персональних даних при їх обробці в інформаційних системах персональних даних, затверджених постановою Уряду Російської Федерації від 1 листопада 2012 р. N1119 1 (далі - Вимоги до захисту персональних даних), для забезпечення 4 рівня захищеності персональних даних даних при їх обробці в інформаційних системах необхідне виконання таких вимог:

а) організація режиму безпеки приміщень, в яких розміщена інформаційна система, що перешкоджає можливості неконтрольованого проникнення або перебування в цих приміщеннях осіб, які не мають права доступу до цих приміщень;

б) забезпечення безпеки носіїв персональних даних;

в) затвердження керівником оператора документа, що визначає перелік осіб, доступ яких до персональних даних, що опрацьовуються в інформаційній системі, необхідний для виконання ними службових (трудових) обов'язків;

г) використання засобів захисту інформації, що пройшли процедуру оцінки відповідності вимогам законодавства Російської Федерації в галузі забезпечення безпеки інформації, у разі, коли застосування таких засобів необхідне нейтралізації актуальних загроз.

6. Для виконання вимоги, зазначеної в підпункті "а" пункту 5 цього документа, необхідне забезпечення режиму, що перешкоджає можливості неконтрольованого проникнення або перебування в приміщеннях, де розміщені використовувані СКЗІ, зберігаються СКЗІ та (або) носії ключової, автентифікуючої та парольної інформації СКЗІ ( далі - Приміщення), осіб, які не мають права доступу до Приміщень, яке досягається шляхом:

а) оснащення приміщень вхідними дверима із замками, забезпечення постійного закриття дверей приміщень на замок та їх відкриття тільки для санкціонованого проходу, а також опечатування приміщень після закінчення робочого дня або обладнання приміщень відповідними технічними пристроями, що сигналізують про несанкціоноване розтин Приміщень;

б) затвердження правил доступу до Приміщень у робочий та неробочий час, а також у позаштатних ситуаціях;

в) затвердження переліку осіб, які мають право доступу до Приміщень.

7. Для виконання вимог, зазначених у підпункті "б" пункту 5 цього документа, необхідно:

а) здійснювати зберігання знімних машинних носіїв персональних даних у сейфах (металевих шафах), обладнаних внутрішніми замками з двома або більше дублікатами ключів та пристроями для опечатування замкових свердловин або кодовими замками. У разі якщо на знімному машинному носії персональних даних зберігаються лише персональні дані у зашифрованому з використанням СКЗД вигляді, допускається зберігання таких носіїв поза сейфами (металевими шафами);

б) здійснювати поекземплярний облік машинних носіїв персональних даних, що досягається шляхом ведення журналу обліку носіїв персональних даних із використанням реєстраційних (заводських) номерів.

8. Для виконання вимог, зазначених у підпункті "в" пункту 5 цього документа, необхідно:

а) розробити та затвердити документ, що визначає перелік осіб, доступ яких до персональних даних, що обробляються в інформаційній системі, необхідний для виконання ними службових (трудових) обов'язків;

б) підтримувати у актуальному стані документ, визначальний перелік осіб, доступ яких до персональних даних, оброблюваних інформаційної системі, необхідний виконання ними службових (трудових) обов'язків.

9. Для виконання вимоги, зазначеної в підпункті "г" пункту 5 цього документа, необхідне для кожного з рівнів захищеності персональних даних застосування СКЗІ відповідного класу, що дозволяють забезпечувати безпеку персональних даних при реалізації цілеспрямованих дій з використанням апаратних та (або) програмних засобівз метою порушення безпеки персональних даних, що захищаються СКЗІ, або створення умов для цього (далі - атака), яке досягається шляхом:

а) отримання вихідних даних для формування сукупності припущень про можливості, які можуть використовуватися під час створення способів, підготовки та проведення атак;

б) формування та затвердження керівником оператора сукупності припущень про можливості, які можуть використовуватися при створенні способів, підготовці та проведенні атак, та визначення на цій основі та з урахуванням типу актуальних загроз необхідного класу СКЗІ;

в) використання для забезпечення необхідного рівня захищеності персональних даних під час їхньої обробки в інформаційній системі СКЗІ класу КС1 і вище.

10. СКЗІ класу КС1 застосовуються для нейтралізації атак, при створенні способів, підготовці та проведенні яких використовуються можливості з числа наступних:

а) створення способів, підготовка та проведення атак без залучення фахівців у галузі розробки та аналізу СКЗІ;

б) створення способів, підготовка та проведення атак на різних етапах життєвого циклуСКЗІ 2;

в) проведення атаки, перебуваючи поза простором, у межах якого здійснюється контроль за перебуванням та діями осіб та (або) транспортних засобів (далі контрольована зона) 3 ;

г) проведення на етапах розробки (модернізації), виробництва, зберігання, транспортування СКЗІ та етапі введення в експлуатацію СКЗІ (пусконалагоджувальні роботи) наступних атак:

внесення несанкціонованих змін до СКЗІ та (або) до компонентів апаратних та програмних засобів, спільно з якими штатнофункціонують СКЗІ та в сукупності представляють середовище функціонування СКЗІ (далі - СФ), які здатні вплинути на виконання вимог, що пред'являються до СКЗІ, у тому числі з використанням шкоди програм;

внесення несанкціонованих змін до документації на СКЗІ та компоненти УФ;

д) проведення атак на етапі експлуатації СКЗІ на:

персональні дані;

ключову, аутентифікуючу та парольну інформацію СКЗІ;

програмні компоненти СКЗІ;

апаратні компоненти СКЗІ;

програмні компоненти УФ, включаючи програмне забезпечення BIOS;

апаратні компоненти УФ;

дані, що передаються каналами зв'язку;

інші об'єкти, які встановлені при формуванні сукупності пропозицій про можливості, які можуть використовуватися при створенні способів, підготовці та проведенні атак з урахуванням застосовуваних в інформаційній системі інформаційні технології, апаратних засобів (далі - АС) та програмного забезпечення(далі - ПЗ);

е) отримання з джерел, що знаходяться у вільному доступі (включаючи інформаційно-телекомунікаційні мережі, доступ до яких не обмежений певним колом осіб, у тому числі інформаційно-телекомунікаційна мережа "Інтернет") інформації про інформаційну систему, в якій використовується СКЗІ. При цьому може бути отримана така інформація:

загальні відомості про інформаційну систему, в якій використовується СКЗД (призначення, склад, оператор, об'єкти, в яких розміщено ресурси інформаційної системи);

відомості про інформаційні технології, бази даних, АС, ПЗ, що використовуються в інформаційній системі спільно з СКЗІ, за винятком відомостей, що містяться тільки в конструкторській документації на інформаційні технології, бази даних, АС, ПЗ, що використовуються в інформаційній системі спільно з СКЗІ;

загальні відомості про інформацію, що захищається, що використовується в процесі експлуатації СКЗІ;

відомості про канали зв'язку, якими передаються персональні дані, що захищаються СКЗІ (далі - канал зв'язку);

всі можливі дані, що передаються в відкритому виглядіканалами зв'язку, не захищеними від несанкціонованого доступу до інформації організаційними та технічними заходами;

відомості про всі виявлені в каналах зв'язку, не захищені від несанкціонованого доступу до інформації організаційними та технічними заходами, порушення правил експлуатації СКЗІ та СФ;

відомості про всі проявляються в каналах зв'язку, не захищених від несанкціонованого доступу до інформації організаційними та технічними заходами, несправності та збої апаратних компонентів СКЗІ та УФ;

відомості, які отримуються в результаті аналізу будь-яких сигналів від апаратних компонентів СКЗІ та СФ;

ж) застосування:

що знаходяться у вільному доступі або використовуються за межами контрольованої зони АС та ПЗ, включаючи апаратні та програмні компоненти СКЗІ та СФ;

спеціально розроблених АС та ПЗ;

з) використання на етапі експлуатації як середовища перенесення від суб'єкта до об'єкта (від об'єкта до суб'єкта) атаки дій, що здійснюються під час підготовки та (або) проведення атаки:

каналів зв'язку, які не захищені від несанкціонованого доступу до інформації організаційними та технічними заходами;

каналів поширення сигналів, що супроводжують функціонування СКЗІ та УФ;

і) проведення на етапі експлуатації атаки з інформаційно-телекомунікаційних мереж, доступ до яких не обмежений певним колом осіб, якщо інформаційні системи, в яких використовуються СКЗІ, мають вихід у ці мережі;

к) використання на етапі експлуатації що знаходяться за межами контрольованої зони АС та ПЗ із складу засобів інформаційної системи, що застосовуються на місцях експлуатації СКЗІ (далі - штатні засоби).

11. СКЗІ класу КС2 застосовуються для нейтралізації атак, при створенні способів, підготовці та проведенні яких використовуються можливості з числа перелічених у пункті 10 цього документа та не менше однієї з наступних додаткових можливостей:

а) проведення атаки під час перебування у межах контрольованої зони;

б) проведення атак на етапі експлуатації СКЗІ на такі об'єкти:

документацію на СКЗІ та компоненти УФ.

Приміщення, в яких знаходиться сукупність програмних та технічних елементів систем обробки даних, здатних функціонувати самостійно або у складі інших систем (далі – СВТ), на яких реалізовані СКЗІ та УФ;

в) отримання у межах наданих повноважень, а також у результаті спостережень наступної інформації:

відомостей про фізичні заходи захисту об'єктів, у яких розміщено ресурси інформаційної системи;

відомостей про заходи щодо забезпечення контрольованої зони об'єктів, у яких розміщено ресурси інформаційної системи;

відомостей про заходи щодо розмежування доступу до Приміщень, в яких знаходяться СВТ, на яких реалізовані СКЗІ та СФ;

г) використання штатних коштів, обмежене заходами, реалізованими в інформаційній системі, в якій використовується СКЗІ, та спрямованими на запобігання та припинення несанкціонованих дій.

12. СКЗІ класу КС3 застосовуються для нейтралізації атак, при створенні способів, підготовці та проведенні яких використовуються можливості з числа перелічених у пунктах 10 та 11 цього документа та не менше однієї з наступних додаткових можливостей:

а) фізичний доступ до СВТ, на яких реалізовано СКЗІ та СФ;

б) можливість розташовувати апаратні компоненти СКЗІ та СФ, обмежена заходами, реалізованими в інформаційній системі, в якій використовується СКЗІ, та спрямованими на запобігання та припинення несанкціонованих дій.

13. СКЗІ класу KB застосовуються для нейтралізації атак, при створенні способів, підготовці та проведенні яких використовуються можливості з числа перелічених у пунктах 10 - 12 цього документа та не менше однієї з наступних додаткових можливостей:

а) створення способів, підготовка та проведення атак із залученням фахівців у галузі аналізу сигналів, що супроводжують функціонування СКЗІ та СФ, та в галузі використання для реалізації атак недокументованих (недекларованих) можливостей прикладного ПЗ;

б) проведення лабораторних досліджень СКЗІ, що використовуються поза контрольованою зоною, обмежене заходами, реалізованими в інформаційній системі, в якій використовується СКЗІ, та спрямованими на запобігання та припинення несанкціонованих дій;

в) проведення робіт зі створення способів та засобів атак у науково-дослідних центрах, що спеціалізуються в галузі розробки та аналізу СКЗІ та СФ, у тому числі з використанням вихідних текстіввхідного в СФ прикладного ПЗ, що безпосередньо використовує виклики програмних функційСКЗІ.

14. СКЗІ класу КА застосовуються для нейтралізації атак, при створенні способів, підготовці та проведенні яких використовуються можливості з числа перераховані в пунктах 10 - 13 цього документа та не менше однієї з наступних додаткових можливостей:

а) створення способів, підготовка та проведення атак із залученням фахівців у галузі використання для реалізації атак недокументованих (недекларованих) можливостей системного ПЗ;

б) можливість мати у своєму розпорядженні відомості, що містяться в конструкторській документації на апаратні та програмні компоненти УФ;

в) можливість мати всі апаратні компоненти СКЗІ і СФ.

15. У процесі формування сукупності припущень про можливості, які можуть використовуватися при створенні способів, підготовці та проведенні атак, додаткові можливості, що не входять до перелічених у пунктах 10 - 14 цього документа, не впливають на порядок визначення необхідного класу СКЗІ.

ІІІ. Склад та зміст організаційних та технічних заходів, необхідних для виконання встановлених Урядом Російської Федерації вимог до захисту персональних даних для 3 рівня захищеності

16. Відповідно до пункту 14 Вимог до захисту персональних даних для забезпечення 3 рівня захищеності персональних даних при їх обробці в інформаційних системах, крім виконання вимог, передбачених пунктом 5 цього документа, необхідно виконання вимоги про призначення посадової особи (працівника), відповідальної за забезпечення безпеки персональні дані в інформаційній системі.

17. Для виконання вимоги, зазначеної в пункті 16 цього документа, необхідне призначення посадової особи (працівника) оператора, що володіє достатніми навичками, відповідальним за забезпечення безпеки персональних даних в інформаційній системі.

18. Для виконання вимог, зазначених у підпункті "г" пункту 5 цього документа, необхідно замість заходу, передбаченого підпунктом "в" пункту 9 цього документа, використовувати для забезпечення необхідного рівня захищеності персональних даних при їх обробці в інформаційній системі:

IV. Склад та зміст організаційних та технічних заходів, необхідних для виконання встановлених Урядом Російської Федерації вимог до захисту персональних даних для 2 рівня захищеності

19. Відповідно до пункту 15 Вимог до захисту персональних даних для забезпечення 2 рівня захищеності персональних даних при їх обробці в інформаційних системах крім виконання вимог, передбачених пунктами 5 та 16 цього документа, необхідно виконання вимоги про доступ до змісту електронного журналу повідомлень був можливий виключно для посадових осіб (працівників) оператора або уповноваженої особи, яким відомості, що містяться у зазначеному журналі, необхідні виконання службових (трудових) обов'язків.

20. Для виконання вимог, зазначених у пункті 19 цього документа, необхідно:

а) затвердження керівником оператора списку осіб, допущених до змісту електронного журналу повідомлень, та підтримка зазначеного списку в актуальному стані;

б) забезпечення інформаційної системи автоматизованими засобами, що реєструють запити користувачів інформаційної системи на отримання персональних даних, а також факти надання персональних даних за цими запитами в електронному журналі повідомлень;

в) забезпечення інформаційної системи автоматизованими засобами, що виключають доступ до змісту електронного журналу повідомлень осіб, які не вказані у затвердженому керівником оператора списку осіб, допущених до змісту електронного журналу повідомлень;

г) забезпечення періодичного контролю працездатності зазначених у підпунктах "б" та "в" цього пункту автоматизованих засобів (не рідше 1 разу на півроку).

21. Для виконання вимог, зазначених у підпункті "г" пункту 5 цього документа, необхідно замість заходів, передбачених підпунктом "в" пункту 9 та пунктом 18 цього документа, використовувати для забезпечення необхідного рівня захищеності персональних даних при їх обробці в інформаційній системі:

СКЗІ класу KB та вище у випадках, коли для інформаційної системи актуальні загрози 2 типу;

СКЗІ класу КС1 та вище у випадках, коли для інформаційної системи актуальні загрози 3 типу.

V. Склад та зміст організаційних та технічних заходів, необхідних для виконання встановлених Урядом Російської Федерації вимог до захисту персональних даних для 1 рівня захищеності

22. Відповідно до пункту 16 Вимог до захисту персональних даних для забезпечення 1 рівня захищеності персональних даних при їх обробці в інформаційних системах, крім виконання вимог, передбачених пунктами 5, 16 та 19 цього документа, необхідно виконання таких вимог:

а) автоматична реєстрація в електронному журналі безпеки зміни повноважень співробітника оператора щодо доступу до персональних даних, що містяться в інформаційній системі;

б) створення окремого структурного підрозділу, відповідального забезпечення безпеки персональних даних у інформаційної системі, чи покладання його функцій однією з існуючих структурних підрозділів.

23. Для виконання вимог, зазначених у підпункті "а" пункту 22 цього документа, необхідно:

а) забезпечення інформаційної системи автоматизованими засобами, що дозволяють автоматично реєструвати в електронному журналі безпеки зміни повноважень співробітника оператора щодо доступу до персональних даних, що містяться в інформаційній системі;

б) відображення в електронному журналі безпеки повноважень співробітників оператора персональних даних щодо доступу до персональних даних, що містяться в інформаційній системі. Зазначені повноваження мають відповідати посадовим обов'язкамспівробітників оператора;

в) призначення оператором особи, відповідальної за періодичний контроль ведення електронного журналу безпеки та відповідності відображених у ньому повноважень співробітників оператора їх посадовим обов'язкам (не рідше ніж 1 раз на місяць).

24. Для виконання вимоги, зазначеної в підпункті "б" пункту 22 цього документа, необхідно:

а) провести аналіз доцільності створення окремого структурного підрозділу, відповідального за безпеку персональних даних в інформаційній системі;

б) створити окремий структурний підрозділ, відповідальний за забезпечення безпеки персональних даних в інформаційній системі, або покласти його функції на один із існуючих структурних підрозділів.

25. Для виконання вимог, зазначених у підпункті "а" пункту 5 цього документа, для забезпечення 1 рівня захищеності необхідно:

а) обладнати вікна Приміщень, розташовані на перших та (або) останніх поверхах будівель, а також вікна Приміщень, що знаходяться біля пожежних сходів та інших місць, звідки можливе проникнення в Приміщення сторонніх осіб, металевими ґратами або віконницями, охоронною сигналізацією чи іншими засобами, що перешкоджають неконтрольованого проникнення сторонніх осіб у приміщення;

б) обладнати вікна та двері Приміщень, в яких розміщені сервери інформаційної системи, металевими ґратами, охоронною сигналізацією або іншими засобами, що перешкоджають неконтрольованому проникненню сторонніх осіб у приміщення.

26. Для виконання вимог, зазначених у підпункті "г" пункту 5 цього документа, необхідно замість заходів, передбачених підпунктом "в" пункту 9, пунктами 18 та 21 цього документа, використовувати для забезпечення необхідного рівня захищеності персональних даних при їх обробці в інформаційній системі :

СКЗІ класу КА у випадках, коли інформаційної системи актуальні загрози 1 типу;

СКЗІ класу KB та вище у випадках, коли для інформаційної системи актуальні загрози 2 типу.

1 Відомості Верховної Ради України, 2012, N 45, 6257.

2 До етапів життєвого циклу СКЗІ належать розробка (модернізація) зазначених засобів, їх виробництво, зберігання, транспортування, введення в експлуатацію (пусконалагоджувальні роботи), експлуатація.

3 Кордоном контрольованої зони можуть бути периметр охоронюваної території підприємства (установи), що огороджують конструкції будівлі, що охороняється, частини будинку, що охороняється, виділеного приміщення.

Валерій Конявський
Науковий керівник ВНДІПВТІ,
науковий консультант ОКБ САПР

Будь-яка операція з довільним числом дасть довільне число. Випадкова послідовність, складена з відкритим текстом, надасть випадковий криптотекст. Чим краща якість гами, тим менше шансів розшифрувати криптотекст. Якщо гама справді випадкова, то розшифрувати криптотекст не можна.

Шифр Вернама

Кошти криптографічного захисту інформації (СКЗІ) можна поділити на засоби шифрування та засоби електронного підпису(СЕП).

Передавати гаму у вигляді величезних котушок перфострічок було не дуже зручно та досить дорого. Тому іноді й виникали проблеми з її повторним використаннямі, отже, з витіканням важливої інформації.

Щоб не передавати дорогими каналами котушки перфострічок, придумали способи генерації довгої гами з випадкового, але короткого ключа. Тоді передати короткий випадковий ключ було простіше, ніж довгий.

Сертифіковані СКЗІ

З появою сучасних носіїв інформації ситуація разюче змінилася, і тепер немає проблеми виготовити та передати гігабайти гами – аби ДСЧ був добрим. Програмні генератори псевдовипадкової послідовності (ПСП) тут можна застосовувати тільки від розпачу, що хорошого фізичного генератора немає.

Криптографічні стандарти визначають послідовності операцій, що дозволяють на основі хорошого ключа отримувати надійно зашифрований відкритий текст. При цьому все ж таки ключі повинні виготовлятися на хороших датчиках.

Регулятор встановлює правила, випробувальні лабораторії перевіряють, чи виконуються вимоги до операцій, ключів та відсутності впливу на ці процеси інших процесів – так і з'являються сертифіковані СКЗІ.

Шифрування та електронний підпис

Гама повинна мати такі властивості:

бути справді випадковою, тобто формуватися з допомогою фізичних, аналогових, а чи не цифрових процесів;
збігатися за розміром із заданим відкритим текстом або перевищувати його;
застосовуватися для кожного повідомлення лише один раз, а потім знищуватися.

Такий шифр називається шифром Вернама – і це єдиний шифр, який має абсолютну криптографічну стійкість. Доводити зараз його стійкість немає необхідності, оскільки це зробив К. Шеннон ще 1945 р. Велика довжина гами, формування її з урахуванням фізичних процесів і гарантоване знищення – умови стійкості шифру.

Шифрування потрібне для того, щоб доступ до інформації мали тільки ті, кому можна. ЕП застосовується у тому, щоб зафіксувати волевиявлення людини. І якщо СКЗІ повинні правильно перевіреному середовищі виконувати криптографічні перетворення, то для електронного підпису цього недостатньо. Потрібно вжити всіх заходів, які забезпечують фіксацію саме вільного волевиявлення людини. На це спрямований ФЗ-63, саме тому однією з найважливіших вимог є вимога правильності візуалізації того документа, який підписує людина. Таким чином, на відміну від СКЗІ для кваліфікованих СЕП, додаються перевірки засобів візуалізації. Звичайно, виконуються всі необхідні перевірки криптографічних алгоритмів.

Аналізуючи ту чи іншу схему ЕП, зазвичай ставлять питання так: "Чи можна швидко підібрати два різні (осмислені) повідомлення, які будуть мати однакові ЕП". Відповідь тут зазвичай негативна. Якщо використовується хороша хеш-функція, для якої не знайдено ефективний механізм пошуку колізій, така атака практично завжди приречена на провал. Михайло Ґрунтович (див. стор. 48) поставив питання інакше: "Чи можна, маючи два повідомлення, підібрати ключі підпису так, щоб ЕП збігалися?". І виявилось, що зробити це надзвичайно просто!

Атака Грунтовича

Конкретні умови реалізації зазначеної атаки розглянемо (у дуже спрощеному варіанті) з прикладу підпису за схемою Эль-Гамаля. Віра у стійкість цієї схеми заснована на (гіпотетичній) складності задачі дискретного логарифмування, але атаці піддається зовсім не завдання дискретної математики.

СКЗІ мають бути апаратними. Вони повинні містити фізичний ДСЧ потрібної якості та забезпечувати невилучність не тільки ключа підпису, а й інших криптографічних елементів, що впливають на стійкість алгоритмів.

Введемо такі позначення:

H – криптографічна хеш-функція;
Zn – безліч чисел (0,1, …, n – 1), n – натуральне число;
a (mod p) - залишок від розподілу цілого числа a на натуральне число p.

Для схеми формування підпису Ель-Гамаля:

фіксується просте число p достатньої розрядності та g – примітивний елемент mod p;
Особистим ключем підпису є будь-яке число x з Zp.

Обчислення підпису повідомлення m:

обчислюється хеш-код h = H(m);
вибирається випадкове число k, взаємно просте з p - 1:1< k < p - 1;
обчислюється r = gk(mod p);
обчислюється s = k -1 (h - xr) (mod p - 1);
підписом є пара c = (r, s).

Тепер розглянемо, що треба робити зловмисникові для реалізації атаки. Він повинен згенерувати хеш-коди:

h 1 = H(m 1), h 2 = H(m 2)

та збігаються підписи з однаковим випадковим числом k:

s = k -1 (h 1 - x 1 r) (mod p - 1) і
s = k -1 (h 2 - x 2 r) (mod p - 1).

А це означає, що:

h 1 - x 1 r (mod p - 1) = h 2 - x 2 r (mod p - 1).

Деякі особливості, на які слід звертати увагу під час застосування СКЗІ.
1. Якщо в документації на СКЗІ зазначено, в якій ОС воно може використовуватись, то використовувати його в цій системі потрібно. Інакше навіть якщо СКЗІ буде працювати, вам доведеться ще провести дослідження на правильність вбудовування відомої СКЗІ в нове середовище. Це нескладно (щодо) апаратних СКЗІ, але досить складно для програмних.
2. Якщо в апаратному СКЗІ відсутній перевірений ДСЧ і відсутні перевірені засоби самотестування (а інакше і не може бути в СКЗІ, виконаних на універсальних смарт-карткових мікросхемах), зверніть увагу на документи з вбудовування та експлуатації. Оскільки ентропія звідкись повинна додаватися, а тестування має проводитися, може бути, що це СКЗІ можна використовувати автономно зовсім недовго, наприклад два-три дні. Це не завжди зручно.
3. Якщо вам пропонують будь-який токен і кажуть, що він сертифікований за класом КС2 і вище – не вірте. Швидше за все, у документації є вимога використовувати цей токен у середовищі, захищеному електронним замком. Без цього клас не буде вищим за КС1.

Як видно, при виборі ключів x 1 і x 2 , таких, що виконується вищенаведена умова, підписи збігаються, незважаючи на те, що повідомлення, що підписуються різні! Зауважимо, що з розрахунку x 2 по відомому x 1 необхідні обчислення мінімальні проти субекспоненційною завданням дискретного логарифмування.

Проте не все таке страшно. Справа в тому, що отримані результати ніяк не дискредитують власне криптостійкість ЕП. Вони показують можливу вразливість при неправильне застосуваннямеханізмів ЕП.

Цей приклад наочно демонструє вразливості, що виникають за неправильної реалізації СКЗІ. Описана атака можлива, якщо користувач знає свій ключ підпису і може дізнатися випадкове число.

Існує радикальний спосібборотьби з атаками такого роду – для цього лише необхідно мати пристрій, в якому:

генерується ключ підпису;
обчислюється ключ перевірки підпису;
відкритий ключекспортується, у тому числі для сертифікації в центр посвідчення;
ключ підпису застосовується для вироблення ЕП тільки всередині пристрою, його експорт неможливий! Останнім часом такі пристрої називають пристроями з невилучним ключем;
випадкове число ніколи не з'являється в комп'ютерному середовищі, воно генерується і знищується після застосування всередині пристрою.

Ось звідси зрозуміло, що надійнішим є варіант СЕП та СКЗІ, виконаних у вигляді апаратури. У цьому випадку може бути забезпечена достатня якість ДСЛ та надійність зберігання ключа підпису.

Шифрування

Повернемося тепер до шифрування та поговоримо про те, коли і навіщо його потрібно застосовувати як фізичним особам, і юридичним.

Виділимо для початку основні типи шифрування, а це абонентське та канальне. Як випливає з назв, у разі абонентського шифрування абонент спочатку шифрує інформацію (файл, документ), а потім вже у закритому вигляді передає її до каналу. При канальному шифруванні криптографічними методами захищається власне канал, і абонент не повинен дбати про те, щоб зашифрувати інформацію перед її передачею каналом. Якщо канал - це зв'язок "крапка-крапка", то застосовуються канальні шифратори. Якщо канал – це дроти, а активна структура типу Інтернету, то шифрувати треба в повному обсязі, лише дані. Адреси спотворювати не можна, інакше пакети просто не потраплять до адресата. Тут використовуються механізми віртуальних приватних мереж (VPN). Найбільш відомі протоколи – IPsec та SSL. Майже всі наявні над ринком кошти VPN реалізують одне із цих протоколів.

VPN

Для того щоб усвідомлено вибрати той чи інший засіб, потрібно зрозуміти, чим вони відрізняються і з якими труднощами доведеться зіткнутися на етапі експлуатації цих засобів. Ось що як мінімум потрібно мати на увазі:

криптографічний захист каналів слід використовувати в тому випадку, якщо є загроза того, що дані, що передаються, настільки цікаві для порушника, що він приєднається до каналу і стане "слухати" весь ваш обмін. Звичайно, починати захищати канали потрібно після того, як буде надійно захищена внутрішня мережа, оскільки інсайдер зазвичай коштує дешевше, ніж атака на канал; 1 обидва протоколи – ці протоколи призначені взаємодії не клієнтів, а мереж, тому вони налаштовуються важко. Таким чином, найважливіше значеннямають засоби управління безпекою мережі – їх потрібно вибирати в першу чергу;
у стеку протоколів TCP/IP IPsec працює лише на рівні IP, а SSL – лише на рівні TCP. Тобто якщо IPsec забезпечує захист на системному рівні, то SSL – на прикладному. Так як IPsec функціонує значно "нижче", то він тим самим "інкапсулює" в область захисту значно більше протоколів, ніж SSL, що, звичайно, краще;
при експлуатації VPN ваше основне завдання – це керування ключами. Ключі треба своєчасно видавати, міняти – одним словом, ними треба керувати. Кожна СКЗІ має власну систему генерації та управління ключами. Якщо у вас вже використовується якась ключова система, продовжуйте її використовувати. Не заводьте "зоопарк" - складним є супровід навіть однієї системи, а кількох - практично непідйомне завдання;
якщо ваше завдання пов'язане із забезпеченням діяльності багатьох розподілених у просторі об'єктів інформатизації, то застосовуйте VPN. Це стосується лише тих об'єктів, між якими здійснюється інтенсивна інформаційна взаємодія даних, що захищаються, які можуть бути цікаві порушнику настільки, що він готовий "слухати" канали. Якщо все не так запущено – спробуйте обмежитись абонентськими СКЗІ.

Абонентські СКЗІ

Вони характеризуються не алгоритмами (визначені стандартами), а утилітами, що дозволяють ці СКЗІ застосовувати, та умовами, які необхідно виконати. Бажано, щоби застосовувати ці засоби було зручно.

І головне – пам'ятайте про достатність засобів захисту. Немає необхідності застосовувати дорогі СКЗІ там, де можна обійтися без них.

І ще: СКЗІ та СЕП, які задовольняють усім вимогам, які ми обговорювали, є. Аж до класу КВ2. Не називаю їх лише для того, щоб стаття не стала рекламною.

Література

Конявський В.А. Комп'ютерна злочинність. Т. ІІ. - М., 2008.
Ященко В.В. Введення у криптографію. Нові математичні дисципліни. - М., 2001.

У вимогах безпеки інформації при проектуванні інформаційних систем вказуються ознаки, що характеризують застосовувані засоби захисту інформації. Вони визначені різними актами регуляторів у сфері забезпечення інформаційної безпеки, зокрема - ФСТЕК та ФСБ Росії. Які класи захищеності бувають, типи та види засобів захисту, а також де про це дізнатися докладніше, відображено у статті.

Вступ

Сьогодні питання забезпечення інформаційної безпеки є предметом пильної уваги, оскільки технології, що впроваджуються повсюдно, без забезпечення інформаційної безпеки стають джерелом нових серйозних проблем.

Про серйозність ситуації повідомляє ФСБ Росії: сума збитків, завданих зловмисниками за кілька років по всьому світу, склала від $300 млрд до $1 трлн. За відомостями, поданими Генеральним прокурором РФ, лише за перше півріччя 2017 р. у Росії кількість злочинів у сфері високих технологійзбільшилась у шість разів, загальна сума збитків перевищила $18 млн. Зростання цільових атак у промисловому секторі у 2017 р. відзначено по всьому світу. Зокрема, в Росії приріст кількості атак до 2016 р. становив 22 %.

Інформаційні технології стали застосовуватися як зброя у військово-політичних, терористичних цілях, для втручання у внутрішні справи суверенних держав, а також для скоєння інших злочинів. Росія виступає за створення системи міжнародної інформаційної безпеки.

На території України власники інформації та оператори інформаційних систем зобов'язані блокувати спроби несанкціонованого доступу до інформації, а також здійснювати моніторинг стану захищеності ІТ-інфраструктури на постійній основі. При цьому захист інформації забезпечується за рахунок вжиття різних заходів, включаючи технічні.

Засоби захисту інформації, або СЗІ забезпечують захист інформації в інформаційних системах, що по суті є сукупністю інформації, що зберігається в базах даних, інформаційних технологій, що забезпечують її обробку, і технічних засобів.

Для сучасних інформаційних систем характерне використання різних апаратно-програмних платформ, територіальна розподіл компонентів, а також взаємодія з відкритими мережами передачі даних.

Як захистити інформацію за таких умов? Відповідні вимоги пред'являють уповноважені органи, зокрема, ФСТЕК та ФСБ Росії. У рамках статті намагатимемося відобразити основні підходи до класифікації СЗІ з урахуванням вимог зазначених регуляторів. Інші методи опису класифікації СЗІ, відбиті у нормативних документах російських відомств, і навіть зарубіжних організацій та агентств, виходять за межі цієї статті і далі не розглядаються.

Стаття може бути корисна початківцям у галузі інформаційної безпеки як джерело структурованої інформації про способи класифікації СЗІ на підставі вимог ФСТЕК Росії (переважно) і, коротко, ФСБ Росії.

Структурою, що визначає порядок та координує дії забезпечення некриптографічними методами ІБ, є ФСТЕК Росії (раніше - Державна технічна комісія при Президентові Російської Федерації, Держтехкомісія).

Якщо читачеві доводилося бачити Державний реєстр сертифікованих засобів захисту інформації, який формує ФСТЕК Росії, то він безумовно звертав увагу на наявність в описовій частині призначення СЗІ таких фраз, як клас РД СВТ, рівень відсутності НДВ тощо (рисунок 1) .

Малюнок 1. Фрагмент реєстру сертифікованих СЗІ

Класифікація криптографічних засобів захисту інформації

ФСБ Росії визначено класи криптографічних СЗІ: КС1, КС2, КС3, КВ та КА.

До основних особливостей СЗІ класу КС1 належить їхня можливість протистояти атакам, що проводяться з-за меж контрольованої зони. При цьому мається на увазі, що створення способів атак, їх підготовка та проведення здійснюється без участі фахівців у галузі розробки та аналізу криптографічних СЗІ. Передбачається, що інформацію про систему, у якій застосовуються зазначені СЗІ, може бути отримано з відкритих джерел.

Якщо криптографічне СЗІ може протистояти атакам, блокованим засобами класу КС1, а також проведеним у межах контрольованої зони, таке СЗІ відповідає класу КС2. При цьому допускається, наприклад, що при підготовці атаки могла стати доступною інформація про фізичні заходи захисту інформаційних систем, забезпечення контрольованої зони та ін.

У разі можливості протистояти атакам за наявності фізичного доступу до засобів обчислювальної техніки із встановленими криптографічними СЗІ говорять про відповідність таких засобів класу КС3.

Якщо криптографічне СЗІ протистоїть атакам, при створенні яких брали участь фахівці у галузі розробки та аналізу зазначених засобів, у тому числі науково-дослідні центри, була можливість проведення лабораторних досліджень засобів захисту, то йдеться про відповідність класу КВ.

Якщо до розробки способів атак залучалися фахівці в галузі використання НДВ системного програмного забезпечення, була доступна відповідна конструкторська документація і був доступ до будь-яких апаратних компонентів криптографічних СЗІ, захист від таких атак можуть забезпечувати засоби класу КА.

Класифікація засобів захисту електронного підпису

Засоби електронного підпису залежно від здібностей протистояти атакам прийнято зіставляти з такими класами: КС1, КС2, КС3, КВ1, КВ2 та КА1. Ця класифікація аналогічна розглянутій вище щодо криптографічних СЗІ.

Висновки

У статті було розглянуто деякі способи класифікації СЗІ у Росії, основу яких становить нормативна база регуляторів у сфері захисту. Розглянуті варіанти класифікації є вичерпними. Проте сподіваємося, що представлена зведена інформація дозволить швидше орієнтуватися початківцю в галузі забезпечення ІБ.