L'utilisation de moyens de protection cryptographiques (CIPF) est un sujet très ambigu et glissant. Cependant, l'opérateur PD a le droit, en cas de menaces réelles, d'appliquer le CIPF pour assurer la protection. Mais il n'est pas toujours clair comment utiliser ce droit. Et voilà que le FSB facilite la vie, un document de recommandations méthodologiques applicables aussi bien au SI étatique qu'à tous les autres Opérateurs DP vient d'être publié. Examinons de plus près ce document.

Et c'est arrivé, le 8e centre du FSB a posté décrivant des recommandations dans le domaine de l'élaboration d'actes juridiques réglementaires pour la protection de la MP. Dans le même temps, il est recommandé que le même document soit utilisé par les opérateurs ISPD lors de l'élaboration de modèles de menace particuliers.

Alors, que pense le FSB de comment et où appliquer le CIPF ?

Il est suffisamment important que ce document publié uniquement sur le site du FSB,n'a pas d'enregistrementau ministère de la Justice etne porte aucune signatureEt- c'est-à-dire sa portée juridique et sa valeur contraignante reste dans les lignes directrices. Il est important de s'en souvenir.

Regardons à l'intérieur, le préambule du document définit que les recommandations "Pour organismes fédéraux pouvoir exécutif… d'autres organes de l'État… qui… adoptent des actes juridiques réglementaires qui définissent les menaces à la sécurité des données personnelles qui sont pertinentes lors du traitement des données personnelles dans systèmes d'information ah de données personnelles (ci-après dénommées ISPD) exploitées dans le cadre des types d'activités concernés ». Ceux. une référence explicite est faite aux systèmes d'information de l'État.

Cependant, dans le même temps, ces mêmes normes "il convient également de se laisser guider par le développement modèles de menace privés les opérateurs de systèmes d'information de données personnelles qui ont pris une décision sur l'utilisation des fonds protection des informations cryptographiques(ci-après dénommé CIPF) pour assurer la sécurité des données personnelles ». Ceux. le document dans ce cas devient universel pour tous les utilisateurs.

Quand est-il nécessaire d'utiliser SKZI ?

Le recours au CIPF pour assurer la sécurité des données personnelles est nécessaire dans les cas suivants :

1. si les données personnelles sont soumises à une protection cryptographique conformément à la législation de la Fédération de Russie ;
2. s'il existe des menaces dans le système d'information qui ne peuvent être neutralisées qu'avec l'aide du CIPF.

1. transfert de données personnelles sur des canaux de communication qui ne sont pas protégés contre l'interception par le contrevenant des informations transmises par leur intermédiaire ou contre des influences non autorisées sur ces informations (par exemple, lors du transfert de données personnelles sur des réseaux publics d'information et de télécommunication);
2. stockage de données personnelles sur des supports d'informations, dont l'accès non autorisé par le contrevenant ne peut être exclu en utilisant des méthodes et des méthodes non cryptographiques.

Et c'est là que nous venons. Si le deuxième point est aussi assez logique, alors le premier n'est pas si évident. Le fait est que, selon la version actuelle de la loi "sur les données personnelles" nom, prénom et patronyme sont déjà des données personnelles. En conséquence, toute correspondance ou inscription sur le site (compte tenu de la quantité de données actuellement requises lors de l'inscription) relève formellement de cette définition.

Mais, comme on dit, il n'y a pas de règles sans exceptions. Il y a deux tableaux à la fin du document. Voici juste une ligne Applications #1.

Menace actuelle :

1.1. mener une attaque à l'intérieur de la zone contrôlée.

Motif de l'absence (la liste est légèrement raccourcie) :

1. les employés qui sont utilisateurs d'ISPD, mais qui ne sont pas utilisateurs de CIPF, sont informés des règles de travail dans ISPD et de la responsabilité en cas de non-respect des règles de sécurité de l'information ;
2. Les utilisateurs du CIPF sont informés des règles de travail dans l'ISPD, des règles de travail avec le CIPF et de la responsabilité en cas de non-respect des règles de sécurité de l'information ;
3. les locaux dans lesquels se trouve le système de protection des informations cryptographiques sont équipés de portes d'entrée avec serrures, garantissant que les portes des locaux sont verrouillées en permanence et ouvertes uniquement pour le passage autorisé ;
4. approuvé les règles d'accès aux locaux où se trouve le CIPF, pendant les heures ouvrables et non ouvrables, ainsi qu'en cas d'urgence ;
5. une liste des personnes habilitées à accéder aux locaux où se trouve le CIPF a été approuvée ;
6. différenciation et contrôle de l'accès des utilisateurs aux ressources protégées ;
7. enregistrement et comptabilisation des actions de l'utilisateur avec PD ;

8. sur les postes et serveurs sur lesquels CIPF est installé :

   des moyens certifiés de protection des informations contre tout accès non autorisé sont utilisés ;
9. des outils de protection antivirus certifiés sont utilisés.

Autrement dit, si les utilisateurs sont informés des règles et des responsabilités et que des mesures de protection sont appliquées, il s'avère qu'il n'y a rien à craindre.

• assurer la sécurité des données personnelles lors de leur traitement dans ISPD, les outils cryptographiques de protection des informations qui sont passés en en temps voulu procédure d'évaluation de la conformité.

Certes, il est indiqué un peu plus bas qu'une liste d'outils de protection des informations cryptographiques certifiés peut être trouvée sur le site Web du TsLSZ FSB. Le fait que l'évaluation de la conformité n'est pas une certification a été dit à maintes reprises.

• en l'absence de procédures d'évaluation de la conformité CIPF qui ont réussi conformément à la procédure établie ... au stade d'un avant-projet ou d'un avant-projet (esquisse-technique), le développeur du système d'information avec la participation de l'opérateur (personne autorisée) et le développeur de CIPF proposé prépare une justification de l'opportunité de développer un nouveau type de CIPF et détermine les exigences relatives à ses propriétés fonctionnelles.

Cela plaît vraiment. Le fait est que certification le processus est très long - jusqu'à six mois ou plus. Souvent, les clients utilisent les derniers systèmes d'exploitation qui ne sont pas pris en charge par la version certifiée. Selon ce document, les clients peuvent utiliser des produits en cours de certification.

Le document indique que :

Lors de l'utilisation de canaux de communication (lignes) à partir desquels il est impossible d'intercepter les informations protégées transmises par leur intermédiaire et (ou) dans lesquels il est impossible d'effectuer des actions non autorisées sur ces informations, lorsque description générale systèmes d'information, vous devez préciser :

1. description des méthodes et moyens de protection de ces canaux contre tout accès non autorisé ;
2. conclusions basées sur les résultats des études de la sécurité de ces canaux de communication (lignes) contre l'accès non autorisé aux informations protégées transmises par leur intermédiaire par une organisation habilitée à mener de telles études, en référence au document contenant ces conclusions.

les caractéristiques de sécurité (confidentialité, intégrité, disponibilité, authenticité) qui doivent être fournies pour les données personnelles traitées ;

canaux de communication (lignes) utilisés dans chaque sous-système ou dans le système d'information dans son ensemble, y compris systèmes de câbles, et les mesures visant à limiter l'accès non autorisé aux informations protégées transmises via ces canaux de communication (lignes), indiquant les canaux de communication (lignes) dans lesquels l'accès non autorisé aux informations protégées transmises par leur intermédiaire est impossible, et les mesures mises en œuvre pour garantir cette qualité ;

supports d'informations protégées utilisés dans chaque sous-système du système d'information ou dans le système d'information dans son ensemble (à l'exception des canaux de communication (lignes)).

Commentant...

Alexeï, bon après-midi !
Dans la réponse du 8e Centre, rien n'est indiqué sur la nécessité d'utiliser des outils certifiés de protection des informations cryptographiques. Mais il existe des "recommandations méthodologiques ..." approuvées par la direction du 8e centre du FSB de Russie en date du 31 mars 2015 n ° 149/7/2/6-432, dans lesquelles il y a un tel paragraphe dans le deuxième partie:

Pour assurer la sécurité des données personnelles lors de leur traitement dans ISPD, il convient d'utiliser le CIPF qui a réussi la procédure d'évaluation de la conformité de la manière prescrite. La liste des CIPF certifiés par le FSB de Russie est publiée sur le site officiel du Centre de licence, de certification et de protection des secrets d'État du FSB de Russie (www.clsz.fsb.ru). Informations Complémentaires il est recommandé de se renseigner sur des outils de sécurité de l'information spécifiques directement auprès des développeurs ou des fabricants de ces outils et, si nécessaire, auprès d'organismes spécialisés qui ont mené des études de cas sur ces outils ;

Pourquoi n'est-ce pas une obligation d'utiliser le CIPF certifié ?

Il existe une ordonnance du FSB de Russie du 10 juillet 2014 n ° 378, dans laquelle l'alinéa "d" du paragraphe 5 stipule: "l'utilisation d'outils de sécurité de l'information qui ont passé la procédure d'évaluation du respect des exigences de la législation de la Fédération de Russie dans le domaine de la sécurité de l'information, dans le cas où l'utilisation de tels outils est nécessaire pour neutraliser les menaces actuelles."

Un peu déroutant, c'est "lorsque l'utilisation de tels moyens est nécessaire pour neutraliser des menaces réelles". Mais toute cette nécessité devrait être décrite dans le modèle d'intrus.

Mais dans ce cas, encore une fois, dans la section 3 des "Recommandations méthodologiques ..." de 2015, il est indiqué que "Lors de l'utilisation de canaux de communication (lignes) à partir desquels il est impossible d'intercepter les informations protégées transmises sur eux et (ou ) dans lequel il est impossible d'effectuer des actions non autorisées sur ces informations, dans la description générale des systèmes d'information, il est nécessaire d'indiquer :
- description des méthodes et moyens de protection de ces canaux contre tout accès non autorisé ;
- conclusions basées sur les résultats d'études de la sécurité de ces canaux de communication (lignes) contre l'accès non autorisé aux informations protégées transmises par eux par une organisation habilitée à mener de telles études, avec référence au document contenant ces conclusions.

Je suis tout cela pour quoi - oui, il n'est pas nécessaire d'utiliser la protection des informations cryptographiques toujours et partout tout en garantissant la sécurité du traitement des données personnelles. Mais pour cela, il est nécessaire de former un modèle du contrevenant, où tout cela est décrit et prouvé. Vous avez écrit sur deux cas où vous devez les utiliser. Mais le fait que pour assurer la sécurité du traitement des PD sur des canaux de communication ouverts, ou si le traitement de ces PD dépasse les limites de la zone contrôlée, vous pouvez utiliser des outils de protection des informations cryptographiques non certifiés - ce n'est pas si simple. Et il peut arriver qu'il soit plus facile d'utiliser des outils de protection des informations cryptographiques certifiés et de se conformer à toutes les exigences lors de leur fonctionnement et de leur stockage que d'utiliser des moyens non certifiés et de se heurter au régulateur, qui, voyant une telle situation, fera de son mieux pour lui fourrer le nez.

commentaires inconnus...

Le cas où l'emploi de tels moyens est nécessaire pour neutraliser des menaces réelles : l'exigence de l'Ordonnance FSTEC de Russie n° 17 du 11 février 2013 (exigences pour les ISPD étatiques et communaux),

clause 11. Pour assurer la protection des informations contenues dans le système d'information, des outils de sécurité de l'information sont utilisés qui ont passé l'évaluation de conformité sous la forme d'une certification obligatoire pour le respect des exigences de sécurité de l'information conformément à l'article 5 loi fédérale du 27 décembre 2002 n° 184-FZ "Sur le règlement technique".

Alexey Lukatsky commente...

Proximo : Les recommandations du FSB sont illégitimes. L'ordonnance 378 est légitime, mais doit être considérée dans le contexte de toute législation, et elle stipule que les spécificités de l'évaluation de la conformité sont établies par le gouvernement ou le président. Ni l'un ni l'autre de ces NPA n'a pas publié t

Alexey Lukatsky commente...

Anton: en l'état, l'exigence de certification est établie par la loi, le 17e arrêté les répète simplement. Et nous parlons de PDN

commentaires inconnus...

Alexey Lukatsky: Non. Les recommandations du FSB sont illégitimes "Comment illégitimes? Je parle du document du 19/05/2015 n °% 40fsbResearchart.html), mais pas du document du 21 février 2008 n ° 149/54- 144.

Un autre spécialiste a également précédemment fait une demande au FSB sur un sujet similaire, et on lui a dit que la "Méthodologie ..." et les "Recommandations ..." du FSB de 2008 ne devraient pas être utilisées si vous parlez de ces documents . Mais encore une fois, ces documents n'ont pas été officiellement annulés. Et ces documents sont légitimes ou non, je crois, seront décidés par les inspecteurs du FSB déjà en place lors de l'inspection.

La loi dit que vous devez protéger la MP. Les règlements du gouvernement, FSB, FSTEC déterminent exactement comment les protéger. Le NPA du FSB dit: "Utilisez certifié. Si vous ne voulez pas certifié, prouvez que vous pouvez l'utiliser. Et s'il vous plaît, joignez une conclusion à cela d'une entreprise qui a une licence pour émettre de telles conclusions." Quelque chose comme ça...

Alexey Lukatsky commente...

1. Toute recommandation est une recommandation et non une exigence obligatoire.
2. Le manuel de 2015 n'a rien à voir avec les opérateurs PD - il s'applique aux États qui écrivent des modèles de menace pour les institutions subordonnées (sous réserve de la clause 1).
3. Le FSB n'a pas le droit d'effectuer des contrôles sur les opérateurs commerciaux de PD, et pour les gouvernements, la question de l'utilisation de la protection des informations cryptographiques non certifiées n'en vaut pas la peine - ils sont tenus d'utiliser des solutions certifiées, indépendamment de la présence de PD - ce sont les exigences du FZ-149.
4. Les statuts disent comment protéger et c'est normal. Mais ils ne peuvent pas déterminer la forme d'évaluation des recours - cela ne peut être fait que par le NPA du gouvernement ou du président. FSB n'est pas autorisé à le faire

commentaires inconnus...

Selon le règlement 1119 :

4. Le choix des outils de sécurité de l'information pour le système de protection des données personnelles est effectué par l'opérateur conformément aux actes juridiques réglementaires adoptés par le Service fédéral de sécurité de la Fédération de Russie et le Service fédéral de contrôle technique et d'exportation conformément à la partie 4 de l'article 19 de la loi fédérale "sur les données personnelles".
13.a. L'utilisation d'outils de sécurité de l'information qui ont passé la procédure d'évaluation du respect des exigences de la législation de la Fédération de Russie dans le domaine de la sécurité de l'information, dans le cas où l'utilisation de ces outils est nécessaire pour neutraliser les menaces actuelles.

Comment justifier la non-pertinence de la menace lors de la transmission de DP via les canaux de l'opérateur télécom ?

Ceux. sinon SKZI, alors apparemment
- l'accès au terminal et clients légers, mais en même temps les données du système de sécurité de l'information du terminal
l'accès doit être certifié.
- protection des canaux par l'opérateur télécom, la responsabilité incombe à l'opérateur télécom (fournisseur).

Alexey Lukatsky commente...

La non-pertinence est déterminée par l'opérateur et il n'a besoin de personne pour cela

Immatriculation N° 33620

Conformément à la partie 4 de l'article 19 de la loi fédérale du 27 juillet 2006 N 152-FZ "Sur les données personnelles" 1 Je commande:

approuver la portée et le contenu des mesures organisationnelles et techniques ci-jointes pour assurer la sécurité des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles en utilisant des outils de protection des informations cryptographiques nécessaires pour répondre aux exigences de protection des données personnelles établies par le gouvernement de la Fédération de Russie pour chacun des niveaux de sécurité.

Réalisateur A. Bortnikov

1 Recueil de la législation de la Fédération de Russie, 2006, N 31 (partie I), art. 3451 ; 2009, N 48, art. 5716 ; N 52 (partie I), art. 6439 ; 2010, N 27, art. 3407 ; N 31, art. 4173, art. 4196 ; n° 49, art. 6409 ; N 52 (partie I), art. 6974 ; 2011, N 23, art. 3263 ; N 31, art. 4701 ; 2013, N 14, art. 1651 ; N 30 (première partie), art. 4038.

Application

La composition et le contenu des mesures organisationnelles et techniques visant à assurer la sécurité des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles à l'aide d'outils cryptographiques de protection des informations nécessaires pour répondre aux exigences de protection des données personnelles établies par le gouvernement de la Fédération de Russie pour chaque des niveaux de sécurité

I. Dispositions générales

1. Le présent document définit la composition et le contenu des mesures organisationnelles et techniques pour assurer la sécurité des données personnelles lors de leur traitement dans les systèmes d'information de données personnelles (ci-après dénommés le système d'information) à l'aide d'outils cryptographiques de protection des informations (ci-après dénommés CIPF) nécessaires pour se conformer aux exigences établies par le gouvernement de la Fédération de Russie en matière de protection des données personnelles pour chacun des niveaux de sécurité.

2. Ce document est destiné aux opérateurs utilisant CIPF pour assurer la sécurité des données personnelles lors de leur traitement dans les systèmes d'information.

3. L'application des mesures organisationnelles et techniques définies dans le présent document est assurée par l'exploitant, en tenant compte des exigences des documents opérationnels de protection des informations cryptographiques utilisés pour assurer la sécurité des données personnelles lors de leur traitement dans les systèmes d'information.

4. Le fonctionnement du CIPF doit être effectué conformément à la documentation du CIPF et aux exigences établies dans le présent document, ainsi qu'aux autres actes juridiques réglementaires régissant les relations dans le domaine concerné.

II. Composition et contenu des mesures organisationnelles et techniques nécessaires pour répondre aux exigences établies par le gouvernement de la Fédération de Russie à la protection des données personnelles pour 4 niveaux de sécurité

5. Conformément à la clause 13 des Exigences pour la protection des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles approuvées par le décret du gouvernement de la Fédération de Russie du 1er novembre 2012 N1119 1 (ci-après dénommées les Exigences pour la protection des données personnelles), pour assurer le 4ème niveau de sécurité des données personnelles lors de leur traitement dans les systèmes d'information, les exigences suivantes doivent être respectées :

a) organisation d'un régime pour assurer la sécurité des locaux dans lesquels se trouve le système d'information, empêchant la possibilité d'entrée ou de séjour incontrôlé dans ces locaux de personnes qui n'ont pas le droit d'accéder à ces locaux ;

b) assurer la sécurité des supports de données personnelles ;

c) approbation par le responsable de l'opérateur d'un document définissant la liste des personnes dont l'accès aux données personnelles traitées dans le système d'information est nécessaire à l'exercice de leurs fonctions (de travail) officielles ;

d) utilisation d'outils de sécurité de l'information qui ont passé la procédure d'évaluation du respect des exigences de la législation de la Fédération de Russie dans le domaine de la sécurité de l'information, dans le cas où l'utilisation de ces outils est nécessaire pour neutraliser les menaces actuelles.

6. Pour satisfaire à l'exigence spécifiée à l'alinéa "a" du paragraphe 5 du présent document, il est nécessaire de prévoir un régime qui empêche la possibilité d'entrée ou de séjour incontrôlé dans les locaux où se trouve le CIPF usagé, le CIPF et (ou) les porteurs d'informations de clé, d'authentification et de mot de passe CIPF sont stockés (ci-après - les Locaux), les personnes qui n'ont pas le droit d'accéder aux Locaux, ce qui est réalisé par :

a) équiper les Locaux de portes d'entrée avec serrures, s'assurer que les portes des Locaux sont verrouillées en permanence et ouvertes uniquement pour le passage autorisé, ainsi que sceller les Locaux à la fin de la journée de travail ou équiper les Locaux des dispositifs techniques, signalant l'ouverture non autorisée des Locaux ;

b) approbation des règles d'accès aux Locaux pendant les heures ouvrables et non ouvrables, ainsi qu'en cas d'urgence ;

c) approbation de la liste des personnes habilitées à accéder aux Lieux.

7. Pour satisfaire à l'exigence spécifiée à l'alinéa "b" du paragraphe 5 du présent document, il est nécessaire :

a) de stocker des supports amovibles de données personnelles dans des coffres-forts (armoires métalliques) équipés de serrures internes avec deux ou plusieurs doubles de clés et de dispositifs pour sceller les trous de serrure ou les serrures à combinaison. Si seules des données personnelles sont stockées sur un support machine amovible de données personnelles sous une forme cryptée à l'aide du CIPF, il est permis de stocker ce support en dehors de coffres-forts (armoires métalliques) ;

b) effectuer une comptabilisation instance par instance des supports de données à caractère personnel, ce qui est réalisé en tenant un registre des supports de données à caractère personnel à l'aide de numéros d'enregistrement (série).

8. Pour satisfaire à l'exigence spécifiée à l'alinéa "c" du paragraphe 5 du présent document, il est nécessaire :

a) élaborer et approuver un document définissant la liste des personnes dont l'accès aux données personnelles traitées dans le système d'information est nécessaire à l'exercice de leurs fonctions (de travail) officielles ;

b) tenir à jour le document définissant la liste des personnes dont l'accès aux données personnelles traitées dans le système d'information est nécessaire à l'exercice de leurs fonctions (de travail) officielles.

9. Pour satisfaire à l'exigence spécifiée à l'alinéa "d" du paragraphe 5 du présent document, il est nécessaire pour chacun des niveaux de protection des données personnelles d'utiliser des outils cryptographiques de protection des informations de la classe appropriée, qui permettent d'assurer la sécurité des données personnelles. lors de la mise en œuvre d'actions ciblées à l'aide de matériel et (ou) outils logiciels dans le but de porter atteinte à la sécurité des données personnelles protégées par le CIPF ou d'en créer les conditions (ci-après dénommée l'attaque), qui est réalisée par :

a) obtenir des données initiales pour former un ensemble d'hypothèses sur les possibilités qui peuvent être utilisées dans la création de méthodes, la préparation et la conduite d'attaques ;

b) formation et approbation par le chef de l'opérateur d'un ensemble d'hypothèses sur les possibilités pouvant être utilisées pour créer des méthodes, préparer et mener des attaques, et déterminer sur cette base et en tenant compte du type de menaces réelles de la classe requise de la protection des informations cryptographiques ;

c) utiliser pour assurer le niveau requis de sécurité des données personnelles lors de leur traitement dans le système d'information CIPF de classe KS1 et supérieure.

10. Le CIPF de la classe KS1 est utilisé pour neutraliser les attaques, lors de la création de méthodes, de la préparation et de l'exécution desquelles, des capacités parmi les suivantes sont utilisées :

a) créer des méthodes, préparer et exécuter des attaques sans impliquer des spécialistes dans le développement et l'analyse de la protection des informations cryptographiques ;

b) créer des méthodes, préparer et mener des attaques à différentes étapes cycle de vie FCPE 2 ;

c) commettre une agression en dehors de l'espace dans lequel s'exerce le contrôle du séjour et des actions des personnes et (ou) des véhicules (ci-après dénommée la zone contrôlée) 3 ;

d) la réalisation des attaques suivantes aux stades de développement (modernisation), production, stockage, transport du CIPF et au stade de la mise en service du CIPF (mise en service des travaux) :

introduction modifications non autorisées dans le CIPF et (ou) dans les composants des outils matériels et logiciels, avec lesquels le CIPF fonctionne normalement et dans l'ensemble représentant l'environnement de fonctionnement du CIPF (ci-après dénommé le SF), qui peuvent affecter l'exécution des exigences du CIPF, y compris avec l'utilisation de programmes malveillants ;

l'introduction de modifications non autorisées dans la documentation du CIPF et des composants du SF ;

e) la réalisation d'attaques au stade de l'opération du CIPF sur :

Informations personnelles;

les informations de clé, d'authentification et de mot de passe du CIPF ;

composants logiciels du FCPE ;

composants matériels du FCPE ;

Composants logiciels SF, y compris le logiciel BIOS ;

Composants matériels SF ;

données transmises sur des canaux de communication ;

autres objets qui sont établis lors de la formation d'un ensemble de propositions sur les opportunités pouvant être utilisées dans la création de méthodes, la préparation et la conduite d'attaques, en tenant compte de celles utilisées dans le système d'information technologies de l'information, matériel (ci-après dénommé AC) et logiciel(ci-après dénommés logiciel) ;

f) obtenir de sources librement accessibles (y compris les réseaux d'information et de télécommunication dont l'accès n'est pas limité à un certain cercle de personnes, y compris le réseau d'information et de télécommunication Internet) des informations sur le système d'information qui utilise le CIPF. Dans ce cas, les informations suivantes peuvent être obtenues :

des informations générales sur le système d'information dans lequel le CIPF est utilisé (finalité, composition, opérateur, objets dans lesquels se trouvent les ressources du système d'information) ;

informations sur les technologies de l'information, bases de données, AS, logiciels utilisés dans le système d'information avec le CIPF, à l'exception des informations contenues uniquement dans la documentation de conception des technologies de l'information, bases de données, AU, logiciels utilisés dans le système d'information avec le CIPF ;

des informations générales sur les informations protégées utilisées lors du fonctionnement du CIPF ;

des informations sur les canaux de communication par lesquels les données personnelles protégées par le CIPF sont transmises (ci-après dénommé le canal de communication) ;

toutes les données possibles transmises dans formulaire ouvert via des canaux de communication qui ne sont pas protégés contre l'accès non autorisé aux informations par des mesures organisationnelles et techniques ;

des informations sur toutes les violations des règles de fonctionnement du CIPF et du SF qui apparaissent dans les canaux de communication qui ne sont pas protégés contre l'accès non autorisé aux informations par des mesures organisationnelles et techniques ;

des informations sur tout ce qui se manifeste dans les canaux de communication qui ne sont pas protégés contre l'accès non autorisé aux informations par des mesures organisationnelles et techniques, les dysfonctionnements et les pannes des composants matériels du CIPF et du SF ;

les informations obtenues à la suite de l'analyse de tout signal provenant des composants matériels du CIPF et du SF ;

g) candidature :

librement disponibles ou utilisés en dehors de la zone contrôlée AS et logiciels, y compris les composants matériels et logiciels de CIPF et SF ;

AS et logiciels spécialement conçus ;

h) utiliser au stade de l'opération comme moyen de transfert du sujet à l'objet (de l'objet au sujet) de l'attaque les actions menées lors de la préparation et (ou) de la conduite de l'attaque :

les canaux de communication qui ne sont pas protégés contre l'accès non autorisé aux informations par des mesures organisationnelles et techniques ;

canaux de distribution des signaux accompagnant le fonctionnement du CIPF et de la SF ;

i) la réalisation d'une attaque au stade de l'exploitation à partir de réseaux d'information et de télécommunication dont l'accès n'est pas limité à un certain cercle de personnes, si les systèmes d'information utilisant le CIPF ont accès à ces réseaux ;

j) utilisation au stade de l'exploitation d'AS et de logiciels situés hors de la zone contrôlée entrant dans la composition des outils du système d'information utilisés sur les lieux d'exploitation du CIPF (ci-après dénommés outils standards).

11. Le CIPF de classe KS2 est utilisé pour neutraliser les attaques, lors de la création de méthodes, de la préparation et de l'exécution desquelles, les possibilités parmi celles énumérées à l'article 10 du présent document et au moins une des fonctionnalités supplémentaires suivantes sont utilisées :

a) mener une attaque dans la zone contrôlée ;

b) la réalisation d'attaques au stade de l'opération du CIPF sur les objets suivants :

documentation pour les composants CIPF et SF.

Locaux dans lesquels se trouve un ensemble d'éléments logiciels et techniques de systèmes de traitement de données capables de fonctionner indépendamment ou dans le cadre d'autres systèmes (ci-après dénommés SVT) sur lesquels la protection des informations cryptographiques et SF sont mises en œuvre ;

c) d'obtenir, dans le cadre des pouvoirs conférés ainsi qu'à la suite d'observations, les informations suivantes :

des informations sur les mesures de protection physique des objets dans lesquels se trouvent les ressources du système d'information ;

des informations sur les mesures visant à garantir une zone contrôlée d'objets dans laquelle se trouvent les ressources du système d'information ;

une information sur les mesures de restriction d'accès aux Locaux dans lesquels se trouvent les équipements informatiques, sur lesquels sont mis en œuvre le CIPF et le SF ;

d) utiliser fonds réguliers, limité par des mesures mises en œuvre dans le système d'information qui utilise le CIPF, et visant à prévenir et réprimer les actions non autorisées.

12. Le CIPF de classe KS3 est utilisé pour neutraliser les attaques, lors de la création de méthodes, de la préparation et de l'exécution desquelles, les possibilités parmi celles énumérées aux paragraphes 10 et 11 du présent document et au moins une des fonctionnalités supplémentaires suivantes sont utilisées :

a) accès physique au SVT, sur lequel CIPF et SF sont mis en œuvre ;

b) la possibilité d'avoir des composants matériels de CIPF et SF, limitée par des mesures mises en œuvre dans le système d'information qui utilise CIPF et visant à prévenir et à supprimer les actions non autorisées.

13. Le CIPF de classe KB est utilisé pour neutraliser les attaques, lors de la création de méthodes, de la préparation et de l'exécution desquelles, les possibilités parmi celles énumérées aux paragraphes 10 à 12 du présent document et au moins une des fonctionnalités supplémentaires suivantes sont utilisées :

a) créer des méthodes, préparer et exécuter des attaques avec la participation de spécialistes dans le domaine de l'analyse des signaux accompagnant le fonctionnement du CIPF et du SF, et dans le domaine de l'utilisation de capacités non documentées (non déclarées) de logiciels d'application pour mettre en œuvre des attaques ;

b) tenue recherche en laboratoire CIPF utilisé en dehors de la zone contrôlée, limité par des mesures mises en œuvre dans le système d'information dans lequel CIPF est utilisé et visant à prévenir et à supprimer les actions non autorisées ;

c) effectuer des travaux sur la création de méthodes et de moyens d'attaques dans des centres de recherche spécialisés dans le développement et l'analyse d'outils de protection des informations cryptographiques et SF, y compris en utilisant le code source du logiciel d'application inclus dans le SF, directement en utilisant des appels au Fonctions du logiciel CIPF.

14. Les CIPF de la classe KA sont utilisés pour neutraliser les attaques, lors de la création de méthodes, de la préparation et de l'exécution desquelles, les possibilités parmi celles énumérées aux paragraphes 10 à 13 du présent document et au moins une des fonctionnalités supplémentaires suivantes sont utilisées :

a) créer des méthodes, préparer et exécuter des attaques avec la participation de spécialistes dans le domaine de l'utilisation de capacités non documentées (non déclarées) de logiciels système pour mettre en œuvre des attaques ;

b) la possibilité d'avoir des informations contenues dans la documentation de conception pour les composants matériels et logiciels du SF ;

c) la possibilité d'avoir tous les composants matériels du CIPF et du SF.

15. Dans le processus de formation d'un ensemble d'hypothèses sur les possibilités qui peuvent être utilisées dans la création de méthodes, la préparation et la conduite d'attaques, caractéristiques supplémentaires, non inclus dans ceux énumérés aux paragraphes 10 à 14 du présent document, n'affectent pas la procédure de détermination de la classe requise de FCPE.

III. Composition et contenu des mesures organisationnelles et techniques nécessaires pour répondre aux exigences établies par le gouvernement de la Fédération de Russie à la protection des données personnelles pour le niveau de sécurité 3

16. Conformément au paragraphe 14 des Exigences en matière de protection des données personnelles, afin d'assurer le 3e niveau de protection des données personnelles lors de leur traitement dans les systèmes d'information, en plus de remplir les exigences prévues au paragraphe 5 du présent document , il est nécessaire de remplir l'obligation de désigner un fonctionnaire (employé) chargé d'assurer la sécurité des données personnelles dans le système d'information.

17. Pour satisfaire à l'exigence précisée au paragraphe 16 du présent document, il est nécessaire de nommer un agent opérateur (employé) ayant des compétences suffisantes chargé d'assurer la sécurité des données personnelles dans le système d'information.

18. Pour satisfaire à l'exigence spécifiée à l'alinéa "d" du paragraphe 5 du présent document, au lieu de la mesure prévue à l'alinéa "c" du paragraphe 9 du présent document, il est nécessaire d'utiliser pour assurer le niveau de protection requis des données personnelles lors de leur traitement dans le système d'information :

IV. Composition et contenu des mesures organisationnelles et techniques nécessaires pour répondre aux exigences établies par le gouvernement de la Fédération de Russie à la protection des données personnelles pour le niveau de sécurité 2

19. Conformément au paragraphe 15 des Exigences en matière de protection des données à caractère personnel, afin d'assurer le 2e niveau de protection des données à caractère personnel lors de leur traitement dans les systèmes d'information, outre le respect des exigences prévues aux paragraphes 5 et 16 des présent document, il est nécessaire de satisfaire à l'exigence selon laquelle l'accès au contenu du journal des messages électroniques n'était possible qu'aux fonctionnaires (employés) de l'opérateur ou à une personne autorisée qui a besoin des informations contenues dans le journal spécifié pour effectuer leur travail officiel (travail ) devoirs.

20. Pour satisfaire à l'exigence spécifiée au paragraphe 19 du présent document, il est nécessaire :

a) approbation par le responsable de l'opérateur de la liste des personnes admises au contenu du journal des messages électroniques et mise à jour de la liste spécifiée ;

b) fournir au système d'information des moyens automatisés qui enregistrent les demandes des utilisateurs du système d'information pour obtenir des données personnelles, ainsi que les faits de fourniture de données personnelles sur ces demandes dans le journal des messages électroniques ;

c) doter le système d'information de moyens automatisés qui excluent l'accès au contenu du journal des messages électroniques des personnes non indiquées dans la liste des personnes approuvées par le responsable de l'opérateur qui sont admises au contenu du journal des messages électroniques ;

d) assurer un contrôle périodique des performances des moyens automatisés spécifiés aux alinéas "b" et "c" du présent paragraphe (au moins une fois tous les six mois).

21. Pour satisfaire à l'exigence spécifiée à l'alinéa "d" du paragraphe 5 du présent document, au lieu des mesures prévues à l'alinéa "c" du paragraphe 9 et au paragraphe 18 du présent document, il est nécessaire d'utiliser pour assurer le niveau requis de protection des données personnelles lors de leur traitement dans le système d'information :

Classe CIPF KB et supérieure dans les cas où les menaces de type 2 sont pertinentes pour le système d'information ;

Classe CIPF KS1 et supérieure dans les cas où les menaces de type 3 sont pertinentes pour le système d'information.

V. Composition et contenu des mesures organisationnelles et techniques nécessaires pour satisfaire aux exigences établies par le Gouvernement de la Fédération de Russie à la protection des données personnelles pour 1 niveau de sécurité

22. Conformément au paragraphe 16 des Exigences en matière de protection des données à caractère personnel, afin d'assurer le 1er niveau de protection des données à caractère personnel lors de leur traitement dans les systèmes d'information, en plus de satisfaire aux exigences prévues aux paragraphes 5, 16 et 19 de ce document, les exigences suivantes doivent être remplies :

a) enregistrement automatique dans le journal de sécurité électronique d'un changement dans l'autorité de l'employé de l'opérateur pour accéder aux données personnelles contenues dans le système d'information ;

b) la création d'une unité structurelle distincte chargée d'assurer la sécurité des données personnelles dans le système d'information, ou l'attribution de ses fonctions à l'une des unités structurelles existantes.

23. Pour satisfaire à l'exigence spécifiée à l'alinéa "a" du paragraphe 22 du présent document, il faut :

a) doter le système d'information de moyens automatisés permettant l'enregistrement automatique dans le journal de sécurité électronique des modifications de l'autorité de l'employé de l'opérateur pour accéder aux données personnelles contenues dans le système d'information ;

b) reflet dans le journal de sécurité électronique de l'autorité des employés de l'opérateur de données personnelles pour accéder aux données personnelles contenues dans le système d'information. Ces pouvoirs doivent être conformes à fonctions officielles employés de l'exploitant ;

c) nomination par l'exploitant d'une personne chargée de surveiller périodiquement la tenue d'un journal de sécurité électronique et la conformité des autorités des employés de l'exploitant qui y sont reflétées avec leurs fonctions officielles (au moins une fois par mois).

24. Pour satisfaire à l'exigence spécifiée à l'alinéa "b" du paragraphe 22 du présent document, il faut :

a) analyser la faisabilité de la création d'une unité structurelle distincte chargée d'assurer la sécurité des données personnelles dans le système d'information ;

b) créer une unité structurelle distincte chargée d'assurer la sécurité des données personnelles dans le système d'information, ou confier ses fonctions à l'une des unités structurelles existantes.

25. Pour satisfaire à l'exigence précisée au sous-paragraphe « a » du paragraphe 5 du présent document, pour assurer le 1er niveau de sécurité, il faut :

a) équiper les fenêtres des Locaux situés au premier et (ou) dernier étage des immeubles, ainsi que les fenêtres des Locaux situés à proximité des sorties de secours et autres endroits d'où il est possible à des personnes non autorisées de pénétrer dans les Locaux, avec des barreaux métalliques ou des volets, alarme ou d'autres moyens empêchant l'entrée incontrôlée de personnes non autorisées dans les locaux ;

b) équiper les fenêtres et les portes des locaux où se trouvent les serveurs du système d'information de barreaux métalliques, d'alarmes antivol ou d'autres moyens pour empêcher l'entrée incontrôlée de personnes non autorisées dans les locaux.

26. Pour satisfaire à l'exigence spécifiée à l'alinéa "d" du paragraphe 5 du présent document, au lieu des mesures prévues à l'alinéa "c" du paragraphe 9, les paragraphes 18 et 21 du présent document, il est nécessaire d'utiliser pour assurer la niveau requis de protection des données personnelles lors de leur traitement dans le système d'information :

CIPF de la classe KA dans les cas où les menaces de type 1 sont pertinentes pour le système d'information ;

CIPF de classe KB et supérieure dans les cas où les menaces de type 2 sont pertinentes pour le système d'information.

1 Recueil de la législation de la Fédération de Russie, 2012, N 45, 6257.

2 Les étapes du cycle de vie du CIPF comprennent le développement (modernisation) de ces outils, leur production, leur stockage, leur transport, leur mise en service (commissioning), leur exploitation.

3 La limite de la zone contrôlée peut être le périmètre du territoire protégé de l'entreprise (institution), les structures d'enceinte du bâtiment protégé, la partie protégée du bâtiment, les locaux attribués.

Les principales tâches de protection des informations lors de leur stockage, de leur traitement et de leur transmission via des canaux de communication et sur divers supports, résolues avec l'aide du CIPF, sont les suivantes : 1.

Assurer le secret (confidentialité) des informations. 2.

Assurer l'intégrité des informations. 3.

Authentification des informations (documents). Pour résoudre ces problèmes, il est nécessaire de mettre en œuvre ce qui suit

processus : 1.

Mise en œuvre des fonctions de sécurité de l'information proprement dites, notamment :

chiffrement/déchiffrement ; création/vérification d'EDS ; créer/tester des encarts fictifs. 2.

Suivi de l'état et gestion du fonctionnement des moyens de KPI (dans le système) :

contrôle d'état : détection et enregistrement des cas de violation de l'opérabilité des moyens de KPI, tentatives d'accès non autorisé, cas de compromission des clés ;

gestion des opérations : prendre des mesures en cas d'écarts répertoriés par rapport au fonctionnement normal des moyens KPI. 3.

Réalisation de la maintenance des installations KZI : mise en place de la gestion des clés ;

exécution des procédures liées au raccordement des nouveaux abonnés au réseau et/ou à l'exclusion des abonnés retraités ; élimination des lacunes identifiées du FCPE; mise en service des nouvelles versions du logiciel CIPF ;

modernisation et remplacement moyens techniques CIPF pour plus d'avance et/ou de remplacement de fonds dont la ressource a été épuisée.

La gestion des clés est l'une des fonctions les plus importantes de la protection des informations cryptographiques et consiste en la mise en œuvre des principales fonctions suivantes :

génération de clés : définit un mécanisme de génération de clés ou de paires de clés avec garantie de leurs qualités cryptographiques ;

distribution des clés : définit le mécanisme par lequel les clés sont remises de manière fiable et sécurisée aux abonnés ;

conservation des clés : définit le mécanisme par lequel les clés sont stockées en toute sécurité pour une utilisation future ;

récupération de clé : définit le mécanisme de récupération d'une des clés (remplacement par une nouvelle clé) ;

destruction de clé : définit le mécanisme par lequel les clés obsolètes sont détruites en toute sécurité ;

archive de clés : un mécanisme par lequel les clés peuvent être stockées en toute sécurité pour une récupération ultérieure notariée dans des situations de conflit.

D'une manière générale, pour la mise en œuvre des fonctions listées de protection des informations cryptographiques, il est nécessaire de créer un système de protection des informations cryptographiques qui combine les moyens réels de CSI, personnel de maintenance, locaux, matériel de bureau, documentations diverses (techniques, réglementaires), etc.

Comme déjà indiqué, pour obtenir des garanties de protection des informations, il est nécessaire d'utiliser des moyens certifiés de KPI.

Actuellement, le problème le plus important est la protection information confidentielle. Pour résoudre ce problème, sous les auspices de FAPSI, un ensemble fonctionnel complet de protection cryptographique des informations confidentielles a été développé, ce qui permet de résoudre les tâches répertoriées de protection des informations pour une grande variété d'applications et de conditions d'utilisation.

Ce complexe est basé sur les cœurs cryptographiques "Verba" (système de clés asymétriques) et "Verba-O" (système de clés symétriques). Ces cryptocores fournissent des procédures de cryptage des données conformément aux exigences de GOST 28147-89 "Systèmes de traitement de l'information.

Protection cryptographique" et signature numérique conformément aux exigences de GOST R34.10-94 "Technologies de l'information. Protection cryptographique des informations. Procédures de développement et de vérification d'une signature numérique électronique basée sur un algorithme cryptographique asymétrique."

Les fonds inclus dans le complexe FCPE vous permettent de protéger documents électroniques Et flux d'informations en utilisant des mécanismes de cryptage certifiés et signature électronique pratiquement dans toutes les technologies modernes de l'information, notamment permettent de réaliser : l'utilisation du CIPF en mode hors ligne ;

échange d'informations sécurisé en mode hors ligne ; échange sécurisé d'informations en mode en ligne ; protégé hétérogène, c'est-à-dire échange d'informations mixte.

Pour les solutions problèmes systémiques l'utilisation du CIPF sous la direction de D. A. Starovoitov, la technologie de protection cryptographique complexe des informations "Vityaz" a été développée, qui assure la protection cryptographique des données dans toutes les parties du système à la fois: non seulement dans les canaux de communication et les nœuds du système, mais aussi directement sur les postes de travail des utilisateurs lors du processus de création d'un document lorsque le document lui-même est protégé. De plus, dans le cadre technologie commune"Vityaz" propose une solution simplifiée, facile à la disposition des utilisateurs la technologie d'intégration du CIPF sous licence dans divers systèmes d'application, ce qui rend la gamme d'utilisation de ces CIPF très large.

Vous trouverez ci-dessous une description des moyens et des méthodes de protection pour chacun des modes répertoriés.

Utilisation hors ligne du FCPE.

Lorsque vous travaillez de manière autonome avec CIPF, les types suivants de protection des informations cryptographiques peuvent être mis en œuvre : création d'un document protégé ; protection des fichiers ;

création d'un site protégé système de fichiers; création d'un site protégé lecteur logique. A la demande de l'utilisateur, les types suivants de protection cryptographique des documents (fichiers) peuvent être mis en œuvre :

cryptage d'un document (fichier), qui rend son contenu inaccessible tant lors du stockage d'un document (fichier) que lors de sa transmission via des canaux de communication ou par courrier ;

développement d'un imitateur d'insertion, qui permet de contrôler l'intégrité du document (fichier);

la formation d'un EDS, qui assure le contrôle de l'intégrité du document (fichier) et l'authentification de la personne qui a signé le document (fichier).

En conséquence, le document (fichier) protégé se transforme en un fichier crypté contenant, si nécessaire, un EDS. La signature numérique, selon l'organisation du processus de traitement de l'information, peut également être représentée par un fichier distinct du document signé. De plus, ce fichier peut être sorti sur une disquette ou un autre support, pour livraison par courrier, ou envoyé via n'importe quel e-mail, par exemple sur Internet.

Ainsi, à réception du fichier crypté par e-mail ou sur un support particulier, les actions effectuées pour la protection cryptographique sont réalisées en ordre inverse(déchiffrement, vérification de l'insertion d'imitation, vérification de la signature numérique).

Pour la mise en œuvre vie de la batterie Les moyens certifiés suivants peuvent être utilisés avec le CIPF :

éditeur de texte "Lexicon-Verba", implémenté sur la base de CIPF "Verba-O" et CIPF "Verba" ;

complexe logiciel CIPF "Autonome lieu de travail", implémenté sur la base de CIPF "Verba" et "Verba-O" pour Windows 95/98/NT ;

pilote de disque cryptographique PTS "DiskGuard".

Protégé traitement de texte"Lexique-Verba".

Le système Lexicon-Verba est un éditeur de texte complet prenant en charge le cryptage de documents et la signature numérique électronique. Pour protéger les documents, il utilise les systèmes cryptographiques Verba et Verba-O. La particularité de ce produit réside dans le fait que les fonctions de cryptage et de signature de texte sont simplement incluses dans les fonctions d'un éditeur de texte. Dans ce cas, le cryptage et la signature du document passent de processus spéciaux à de simples actions standard lorsque vous travaillez avec un document.

En même temps, le système Lexicon-Verba ressemble à un éditeur de texte ordinaire. Les options de formatage du texte incluent personnalisation complète polices et paragraphes du document ; tableaux et listes; pieds de page, notes de bas de page, encadrés ; l'utilisation de styles et de nombreuses autres fonctionnalités d'un éditeur de texte répondant aux exigences modernes. "Lexicon-Verba" vous permet de créer et d'éditer des documents aux formats Lexicon, RTF, MS Word 6/95/97, MS Write.

Poste de travail autonome.

Le CIPF "Autonomous Workplace" est implémenté sur la base du CIPF "Verba" et "Verba-O" pour Windows 95/98/NT et permet à l'utilisateur d'effectuer les fonctions suivantes en mode interactif :

chiffrement/déchiffrement de fichiers sur clés ; chiffrement/déchiffrement de fichiers avec un mot de passe ; apposition/suppression/vérification des signatures numériques électroniques (EDS) sous les fichiers ;

vérification des fichiers cryptés ;

Apposition EDS + chiffrement (en une seule action) des fichiers ; déchiffrement + suppression d'EDS (en une seule action) sous fichiers ;

calcul du fichier de hachage.

Il est conseillé d'utiliser le CIPF "Lieux de travail autonomes" pour le travail quotidien des employés qui doivent fournir :

transfert d'informations confidentielles à au format électronique en main propre ou par messagerie ;

envoyer des informations confidentielles sur un réseau public, y compris Internet ;

protection contre l'accès non autorisé à des informations confidentielles sur Ordinateur personnel employés.

Les exigences de sécurité de l'information dans la conception des systèmes d'information indiquent les caractéristiques qui caractérisent les moyens de protection de l'information utilisés. Ils sont définis par divers actes des régulateurs dans le domaine de la fourniture la sécurité des informations, en particulier - le FSTEC et le FSB de Russie. Les classes de sécurité, les types et les types d'outils de protection, ainsi que les endroits où en savoir plus à ce sujet, sont reflétés dans l'article.

Introduction

Aujourd'hui, les questions d'assurer la sécurité de l'information font l'objet d'une attention particulière, car les technologies introduites partout sans sécurité de l'information deviennent une source de nouveaux problèmes graves.

Le FSB de Russie rend compte de la gravité de la situation : le montant des dommages causés par les cybercriminels sur plusieurs années dans le monde varie de 300 milliards de dollars à 1 000 milliards de dollars. Selon les informations fournies par le procureur général de la Fédération de Russie, au cours du seul premier semestre 2017, le nombre de crimes dans le domaine des hautes technologies en Russie a été multiplié par six, le montant total des dommages a dépassé 18 millions de dollars. d'attaques ciblées dans le secteur industriel en 2017 a été constatée dans le monde entier . En particulier, en Russie, l'augmentation du nombre d'attentats par rapport à 2016 a été de 22 %.

Les technologies de l'information ont commencé à être utilisées comme une arme à des fins militaro-politiques et terroristes, pour s'ingérer dans les affaires intérieures d'États souverains, ainsi que pour commettre d'autres crimes. La Fédération de Russie est favorable à la création d'un système international de sécurité de l'information.

Sur le territoire de la Fédération de Russie, les propriétaires d'informations et les opérateurs de systèmes d'information sont tenus de bloquer les tentatives d'accès non autorisé aux informations, ainsi que de surveiller en permanence l'état de sécurité de l'infrastructure informatique. Dans le même temps, la protection des informations est assurée par l'adoption de diverses mesures, y compris techniques.

Les outils de sécurité de l'information, ou outils de sécurité de l'information, assurent la protection des informations dans les systèmes d'information, qui sont essentiellement une combinaison d'informations stockées dans des bases de données, de technologies de l'information qui assurent leur traitement et de moyens techniques.

Les systèmes d'information modernes se caractérisent par l'utilisation de diverses plates-formes matérielles et logicielles, la répartition territoriale des composants, ainsi que l'interaction avec les réseaux ouverts de transmission de données.

Comment protéger les informations dans de telles conditions ? Les exigences pertinentes sont établies par des organismes autorisés, en particulier le FSTEC et le FSB de Russie. Dans le cadre de l'article, nous essaierons de refléter les principales approches de la classification des installations de sécurité de l'information, en tenant compte des exigences de ces régulateurs. D'autres façons de décrire la classification des installations de sécurité de l'information, reflétées dans les documents réglementaires des départements russes, ainsi que des organisations et agences étrangères, sortent du cadre de cet article et ne sont pas examinées plus avant.

L'article peut être utile aux débutants dans le domaine de la sécurité de l'information en tant que source d'informations structurées sur les méthodes de classification des informations de sécurité de l'information en fonction des exigences du FSTEC de Russie (dans une plus large mesure) et, brièvement, du FSB de Russie .

La structure qui détermine la procédure et coordonne les actions de fourniture de méthodes non cryptographiques de sécurité de l'information est la FSTEC de Russie (anciennement la Commission technique d'État sous la présidence de la Fédération de Russie, la Commission technique d'État).

Si le lecteur devait voir le registre national des outils de sécurité de l'information certifiés, qui est formé par le FSTEC de Russie, il a certainement prêté attention à la présence dans la partie descriptive de l'objectif de l'installation de sécurité de l'information de phrases telles que "classe RD SVT », « niveau d'absence de NDV », etc. (Figure 1) .

Figure 1. Un fragment du registre des installations de sécurité de l'information certifiées

Classification des moyens cryptographiques de protection des informations

Le FSB de Russie définit les classes suivantes d'outils de sécurité des informations cryptographiques : KS1, KS2, KS3, KB et KA.

Les principales caractéristiques de la classe SZI KS1 incluent leur capacité à résister aux attaques menées depuis l'extérieur de la zone contrôlée. Cela implique que la création de méthodes d'attaque, leur préparation et leur mise en œuvre sont effectuées sans la participation de spécialistes dans le développement et l'analyse des installations de sécurité de l'information cryptographique. Il est supposé que les informations sur le système dans lequel ces outils de sécurité de l'information sont utilisés peuvent être obtenues à partir de sources ouvertes.

Si un IPS cryptographique peut résister à des attaques bloquées au moyen de la classe CS1, ainsi qu'à l'intérieur d'une zone contrôlée, alors un tel IPS correspond à la classe CS2. Dans le même temps, on suppose, par exemple, que lors de la préparation d'une attaque, des informations sur les mesures physiques de protection des systèmes d'information, de mise à disposition d'une zone contrôlée, etc., pourraient devenir disponibles.

S'il est possible de résister aux attaques en présence d'un accès physique à un équipement informatique avec des outils de sécurité des informations cryptographiques installés, ils disent que ces outils correspondent à la classe CS3.

Si le système de sécurité de l'information cryptographique résiste aux attaques, dont la création a impliqué des spécialistes dans le développement et l'analyse de ces outils, y compris des centres de recherche, il a été possible de mener des études en laboratoire d'outils de protection, puis nous parlons sur le respect de la classe HF.

Si des spécialistes dans le domaine de l'utilisation du logiciel système NDV étaient impliqués dans le développement de méthodes d'attaque, la documentation de conception correspondante était disponible et il y avait accès à tous les composants matériels des installations de sécurité des informations cryptographiques, alors la protection contre de telles attaques peut être assurée au moyen de la classe KA.

Classification des moyens de protection de la signature électronique

Les moyens de signature électronique, en fonction de leur capacité à résister aux attaques, sont généralement comparés aux classes suivantes : KS1, KS2, KS3, KB1, KB2 et KA1. Cette classification est similaire à celle discutée ci-dessus en relation avec l'IPS cryptographique.

conclusion

L'article a examiné certaines méthodes de classification de la sécurité de l'information en Russie, qui sont basées sur le cadre réglementaire des régulateurs dans le domaine de la protection de l'information. Les options de classification envisagées ne sont pas exhaustives. Néanmoins, nous espérons que les informations résumées présentées permettront à un spécialiste novice dans le domaine de la sécurité de l'information de s'y retrouver rapidement.