Használat kriptográfiai eszközök védelem (CIPF) téma nagyon ellentmondásos és csúszós. A PD üzemeltetőjének azonban joga van tényleges fenyegetés esetén CIPF-et alkalmazni a védelem biztosítása érdekében. De nem mindig világos, hogyan kell élni ezzel a joggal. És most az FSB megkönnyíti az életet, kiadták az állami IS-re és az összes többi PD-üzemeltetőre egyaránt alkalmazható módszertani ajánlásokat tartalmazó dokumentumot. Nézzük meg közelebbről ezt a dokumentumot.

Így is történt – tette közzé az FSZB 8. központja ajánlások ismertetése a PD védelmét szolgáló szabályozó jogszabályok kidolgozása terén. Ugyanakkor ajánlott ugyanazt a dokumentumot használni az ISPD operátorok számára bizonyos fenyegetési modellek fejlesztésekor.

Tehát mit gondol az FSB arról, hogyan és hol kell alkalmazni a CIPF-et?

Ez elég fontos ez a dokumentum csak az FSB honlapján teszik közzé,nincs regisztrációjaaz Igazságügyi Minisztériumban ésnincs aláírásaés- vagyis jogi jelentőségét és kötelező érvényét az irányelveken belül marad. Ezt fontos megjegyezni.

Nézzünk bele, a dokumentum preambuluma meghatározza ezt az ajánlást "ért szövetségi szervek végrehajtó hatalom… egyéb állami szervek… amelyek… olyan szabályozási jogszabályokat fogadnak el, amelyek meghatározzák a személyes adatok biztonságát fenyegető veszélyeket, amelyek relevánsak a személyes adatok feldolgozásakor információs rendszerek ah személyes adat (továbbiakban: ISPD), amelyet a vonatkozó tevékenységtípusok során hasznosítottak.”. Azok. kifejezett utalás történik az állami információs rendszerekre.

Ugyanakkor ugyanezeket a normákat „a fejlesztéstől is célszerű vezérelni privát fenyegetettségi modellek a személyes adatok információs rendszereinek üzemeltetői, akik a pénzeszközök felhasználásáról döntöttek kriptográfiai információvédelem(a továbbiakban: CIPF) a személyes adatok biztonságának biztosítása érdekében”. Azok. a dokumentum ebben az esetben minden felhasználó számára univerzálissá válik.

Mikor szükséges az SKZI használata?

A CIPF használata a személyes adatok biztonsága érdekében az alábbi esetekben szükséges:

1. ha a személyes adatok kriptográfiai védelem alá esnek az Orosz Föderáció jogszabályai szerint;
2. ha az információs rendszerben olyan veszélyek vannak, amelyeket csak a CIPF segítségével lehet semlegesíteni.

1. személyes adatok továbbítása olyan kommunikációs csatornákon keresztül, amelyek nincsenek védve a rajtuk keresztül továbbított információk elkövető általi lehallgatásától vagy ezen információk jogosulatlan befolyásolásától (például személyes adatok nyilvános információs és távközlési hálózatokon történő továbbításakor);
2. személyes adatok tárolása információhordozókon, amelyekhez a jogsértő illetéktelen hozzáférése nem kriptográfiai módszerekkel és módszerekkel nem zárható ki.

És innen jövünk. Ha a második pont is teljesen logikus, akkor az első nem annyira nyilvánvaló. A tény az, hogy a „Személyes adatokról” szóló törvény jelenlegi változata szerint név, vezetéknév és családnév már személyes adatok. Ennek megfelelően az oldalon minden levelezés vagy regisztráció (figyelembe véve, hogy a regisztráció során mennyi adatot igényel) formálisan e meghatározás alá tartozik.

De ahogy mondják, nincsenek kivételek nélküli szabályok. A dokumentum végén két táblázat található. Itt csak egy sor van Alkalmazások #1.

Jelenlegi fenyegetés:

1.1. támadást hajt végre az ellenőrzött zónában.

A távolmaradás oka (a lista kissé rövidített):

1. az ISPD-t használó, de nem CIPF-felhasználó munkavállalókat tájékoztatják az ISPD-ben történő munkavégzés szabályairól és az információbiztonsági szabályok be nem tartásáért való felelősségről;
2. A CIPF-felhasználók tájékoztatást kapnak az ISPD-ben való munkavégzés szabályairól, a CIPF-fel való munkavégzés szabályairól és az információbiztonsági szabályok be nem tartása esetén fennálló felelősségről;
3. azokat a helyiségeket, amelyekben a kriptográfiai információvédelmi rendszer található, zárható bejárati ajtókkal kell felszerelni, biztosítva, hogy a helyiségek ajtaja tartósan zárva legyen, és csak engedélyezett áthaladás céljából nyíljanak ki;
4. jóváhagyta a CIPF székhelye szerinti helyiségekbe való belépésre vonatkozó szabályokat munka- és munkaidőn kívül, valamint vészhelyzetekben;
5. jóváhagyták azon személyek listáját, akik jogosultak belépni azon helyiségekbe, ahol a CIPF található;
6. a felhasználók védett erőforrásokhoz való hozzáférésének megkülönböztetése és ellenőrzése;
7. felhasználói műveletek regisztrálása és elszámolása PD-vel;

8. azokon a munkaállomásokon és szervereken, amelyekre a CIPF telepítve van:

   tanúsított eszközöket használnak az információk illetéktelen hozzáféréssel szembeni védelmére;
9. tanúsított vírusvédelmi eszközöket használnak.

Vagyis ha a felhasználókat tájékoztatják a szabályokról és felelősségekről, és védőintézkedéseket alkalmaznak, akkor kiderül, hogy nincs miért aggódni.

• hogy biztosítsák a személyes adatok biztonságát azok ISPD-ben, a bekerült kriptográfiai információvédelmi eszközökben történő feldolgozása során kellő időben megfelelőségértékelési eljárás.

Igaz, kicsit lejjebb írja, hogy a TsLSZ FSB honlapján megtalálható a hitelesített kriptográfiai információvédelmi eszközök listája. Többször elhangzott, hogy a megfelelőségértékelés nem tanúsítás.

• a megállapított eljárásnak megfelelően lefolyt CIPF megfelelőségértékelési eljárások hiányában ... előzetes terv vagy tervezet (vázlat-műszaki) projekt szakaszában az információs rendszer fejlesztője az üzemeltető (meghatalmazott) részvételével a javasolt CIPF fejlesztő pedig indoklást készít egy új típusú CIPF kidolgozásának célszerűségére és meghatározza annak funkcionális tulajdonságaira vonatkozó követelményeket.

Nagyon tetszik. A tény az, hogy tanúsítvány a folyamat nagyon hosszú - akár hat hónapig vagy tovább. Az ügyfelek gyakran a legújabb operációs rendszereket használják, amelyeket a tanúsított verzió nem támogat. E dokumentum szerint a vásárlók olyan termékeket használhatnak, amelyek tanúsítás alatt állnak.

A dokumentum kimondja, hogy:

Olyan kommunikációs csatornák (vonalak) használatakor, amelyekről lehetetlen a rajtuk keresztül továbbított védett információ lehallgatása és (vagy) amelyeken nem lehet jogosulatlan műveleteket végrehajtani ezen információkon, amikor Általános leírása információs rendszerek, meg kell adnia:

1. azoknak a módszereknek és eszközöknek a leírása, amelyek megvédik ezeket a csatornákat a jogosulatlan hozzáféréstől;
2. az e kommunikációs csatornák (vonalak) biztonságáról szóló tanulmányok eredményein alapuló következtetéseket a rajtuk keresztül továbbított védett információkhoz való jogosulatlan hozzáféréstől az ilyen tanulmányok lefolytatására jogosult szervezet által, hivatkozással az e következtetéseket tartalmazó dokumentumra.

azokat a biztonsági jellemzőket (titoktartás, integritás, elérhetőség, hitelesség), amelyeket a kezelt személyes adatokkal kapcsolatban biztosítani kell;

az egyes alrendszerekben vagy az információs rendszer egészében használt kommunikációs csatornák (vonalak), beleértve kábelrendszerek, valamint az e kommunikációs csatornákon (vonalakon) továbbított védett információkhoz való jogosulatlan hozzáférés korlátozására irányuló intézkedések, megjelölve azokat a kommunikációs csatornákat (vonalakat), amelyeken az e kommunikációs csatornákon (vonalakon) továbbított védett információkhoz való jogosulatlan hozzáférés nem lehetséges, valamint az e minőség biztosítása érdekében végrehajtott intézkedések;

az információs rendszer egyes alrendszereiben vagy az információs rendszer egészében (a kommunikációs csatornák (vonalak) kivételével) használt védett információhordozók.

Hozzászólás...

Alexey, jó napot!
A 8. Központ válaszában semmi sem utal arra, hogy tanúsított kriptográfiai információvédelmi eszközöket kell használni. De vannak "módszertani ajánlások ...", amelyeket az oroszországi FSB 8. központjának vezetése hagyott jóvá 2015. március 31-i 149/7/2/6-432 sz. rész:

Az ISPD-ben történő feldolgozás során a személyes adatok biztonságának biztosítása érdekében olyan CIPF-et kell használni, amely az előírt módon megfelelt a megfelelőségértékelési eljáráson. Az orosz FSB által hitelesített CIPF-ek listája az oroszországi FSB engedélyezési, tanúsítási és államtitk-védelmi központjának hivatalos honlapján (www.clsz.fsb.ru) található. További információ ajánlatos információkat szerezni a konkrét információbiztonsági eszközökről közvetlenül ezen eszközök fejlesztőitől vagy gyártóitól, és szükség esetén azoktól a szakosodott szervezetektől, amelyek esettanulmányokat készítettek ezekről az eszközökről;

Miért nem kötelező ez a tanúsított CIPF használatának?

Az orosz FSB 2014. július 10-én kelt 378. számú végzése, amelyben az (5) bekezdés "d" albekezdése kimondja: "olyan információbiztonsági eszközök használata, amelyek megfeleltek a jogszabályi követelményeknek való megfelelés értékelésére. Az Orosz Föderáció által az információbiztonság területén, abban az esetben, ha ilyen eszközök használata szükséges a jelenlegi fenyegetések semlegesítéséhez."

Kissé zavaró ez, "amikor ilyen eszközök alkalmazása szükséges a tényleges fenyegetések semlegesítéséhez". De mindezt a szükségszerűséget le kell írni a behatoló modellben.

De ebben az esetben is, a 2015. évi „Módszertani ajánlások...” 3. pontjában ismét az szerepel, hogy „Olyan kommunikációs csatornák (vonalak) használatakor, amelyekről nem lehet lehallgatni a rajtuk továbbított védett információkat és (vagy ) amennyiben ezen információkkal kapcsolatban nem lehet jogosulatlan intézkedéseket végrehajtani, az információs rendszerek általános leírásában fel kell tüntetni:
- azon módszerek és eszközök leírása, amelyek megvédik ezeket a csatornákat a jogosulatlan hozzáféréstől;
- az ezen kommunikációs csatornák (vonalak) biztonságáról szóló tanulmányok eredményein alapuló következtetések a rajtuk keresztül továbbított védett információkhoz való jogosulatlan hozzáféréstől való, az ilyen tanulmányok lefolytatására jogosult szervezet által, hivatkozással az e következtetéseket tartalmazó dokumentumra.

Mindezt miért vagyok – igen, nincs szükség kriptográfiai információvédelmet mindig és mindenhol használni, miközben biztosítjuk a személyes adatok kezelésének biztonságát. De ehhez meg kell alkotni a szabálysértő modelljét, ahol mindez le van írva és bebizonyítva. Két esetről írtál, amikor szükséged van rájuk. De az a tény, hogy a PD nyílt kommunikációs csatornákon történő feldolgozásának biztonsága érdekében, vagy ha ezeknek a PD-knek a feldolgozása túlmutat az ellenőrzött zóna határain, használhat hitelesítetlen kriptográfiai információvédelmi eszközöket - ez nem olyan egyszerű. És megtörténhet, hogy egyszerűbb hitelesített kriptográfiai információvédelmi eszközöket használni, és minden követelményt betartani azok működése és tárolása során, mint nem hitelesített eszközöket és fenékfejeket használni a szabályozóval, aki egy ilyen helyzet láttán nagyon megpróbálja piszkálni. az orrát.

ismeretlen kommentek...

Az az eset, amikor ilyen eszközök alkalmazása szükséges a jelenlegi fenyegetések semlegesítéséhez: az oroszországi FSTEC 2013. február 11-i 17. számú rendelete (az állami és önkormányzati ISPD-kre vonatkozó követelmények),

11. záradék Az információs rendszerben található információk védelmének biztosítása érdekében olyan információbiztonsági eszközöket használnak, amelyek az 5. cikk szerinti információbiztonsági követelményeknek való megfelelésről szóló kötelező tanúsítvány formájában megfeleltek a megfelelőségértékelésen. szövetségi törvény 2002. december 27-én kelt 184-FZ „A műszaki előírásokról”.

Alexey Lukatsky kommentálja...

Proximo: Az FSB ajánlásai illegitimek. A 378-as rendelet jogos, de minden jogszabály összefüggésében figyelembe kell venni, és kimondja, hogy a megfelelőségértékelés sajátosságait a kormány vagy az elnök határozza meg. Sem egyik, sem másik ilyen NPA nem adta ki a t

Alexey Lukatsky kommentálja...

Anton: az államban az igazolási kötelezettséget törvény írja elő, a 17. végzés egyszerűen megismétli azokat. És a PDN-ről beszélünk

ismeretlen kommentek...

Alexey Lukatsky: Nem. Az FSB ajánlásai illegitimek "Mennyire illegitimek? A 2015. 05. 19. sz. %40fsbResearchart.html dokumentumról beszélek, de nem a 2008. február 21-i 149/54- számú dokumentumról 144.

Korábban egy másik szakember is megkereste az FSZB-t hasonló témában, és azt mondták neki, hogy az FSZB 2008-as "Módszertana ..." és "Ajánlások ..." című dokumentumait nem szabad használni, ha ezekről a dokumentumokról van szó. . De ismételten, ezeket a dokumentumokat hivatalosan nem törölték. És úgy gondolom, hogy ezek a dokumentumok jogosak-e vagy sem, azt az FSZB felügyelői fogják eldönteni, akik már az ellenőrzés során vannak.

A törvény azt mondja, hogy meg kell védeni a PD-t. A kormány, az FSB és az FSTEC szabályzatai pontosan meghatározzák, hogyan kell védeni őket. Az FSB NPA azt mondja: "Használjon tanúsítvánnyal rendelkezőt. Ha nem szeretne tanúsítást, igazolja, hogy tudja használni. És kérjük, csatolja ehhez a következtetést egy olyan cégtől, amely rendelkezik engedéllyel ilyen következtetések kiadására." Valami ilyesmi...

Alexey Lukatsky kommentálja...

1. Minden ajánlás ajánlás, nem kötelező követelmény.
2. A 2015-ös kézikönyvnek semmi köze a PD operátorokhoz - azokra az államokra vonatkozik, amelyek az alárendelt intézmények számára fenyegetési modelleket írnak (az 1. pontra figyelemmel).
3. Az FSB-nek nincs joga ellenőrizni a PD kereskedelmi üzemeltetőit, és a kormányok számára nem éri meg a nem hitelesített kriptográfiai információvédelem alkalmazása - kötelesek hitelesített megoldásokat használni, függetlenül a PD jelenlététől. ezek az FZ-149 követelményei.
4. A szabályzat előírja, hogyan kell védekezni, és ez rendben van. De nem tudják meghatározni a jogorvoslatok megítélésének formáját – ezt csak a kormány NPA vagy az elnök teheti meg. Az FSB nem jogosult erre

ismeretlen kommentek...

Az 1119. számú rendelet szerint:

4. A személyes adatok védelmére szolgáló rendszer információbiztonsági eszközeinek kiválasztását az üzemeltető végzi az Orosz Föderáció Szövetségi Biztonsági Szolgálata és a Szövetségi Műszaki és Exportellenőrzési Szolgálat által a 4. rész szerint elfogadott szabályozási jogi aktusokkal összhangban. a „Személyes adatokról” szóló szövetségi törvény 19. cikke.
13.y. Olyan információbiztonsági eszközök használata, amelyek átmentek az Orosz Föderáció információbiztonsági jogszabályai követelményeinek való megfelelés értékelésére szolgáló eljáráson, abban az esetben, ha ilyen eszközök használata szükséges a jelenlegi fenyegetések semlegesítéséhez.

Hogyan igazolható a fenyegetés nem relevanciája a PD távközlési szolgáltató csatornáin történő továbbításakor?

Azok. ha nem SKZI, akkor látszólag
- terminál hozzáférés és vékony kliensek, de egyben a terminál információbiztonsági rendszerének adatai
a hozzáférést hitelesíteni kell.
- a csatornák távközlési védelme, a távközlési szolgáltató (szolgáltató) felelőssége.

Alexey Lukatsky kommentálja...

Az irrelevánsságot az üzemeltető határozza meg, és ehhez nincs szüksége senkire

Regisztrációs szám: N 33620

A 2006. július 27-i N 152-FZ „A személyes adatokról” 1 szövetségi törvény 19. cikkének 4. részével összhangban Rendelek:

jóváhagyja az Orosz Föderáció kormánya által a személyes adatok védelmére vonatkozó követelmények teljesítéséhez szükséges kriptográfiai információvédelmi eszközök használatával a személyes adatok biztonságának biztosítására szolgáló szervezési és technikai intézkedések mellékelt terjedelmét és tartalmát. az egyes biztonsági szintekhez.

Rendező A. Bortnikov

1 Az Orosz Föderáció Jogszabálygyűjteménye, 2006, N 31 (I. rész), art. 3451; 2009, N 48, art. 5716; N 52 (I. rész), art. 6439; 2010, N 27, art. 3407; N 31, art. 4173, Art. 4196; 49. sz. 6409; N 52 (I. rész), art. 6974; 2011, N 23, art. 3263; N 31, art. 4701; 2013, N 14, Art. 1651; N 30 (I. rész), art. 4038.

Alkalmazás

Az Orosz Föderáció kormánya által a személyes adatok védelmére vonatkozó követelmények teljesítéséhez szükséges kriptográfiai információvédelmi eszközöket használó személyes adatok információs rendszerekben történő feldolgozása során a személyes adatok biztonságát biztosító szervezési és technikai intézkedések összetétele és tartalma. a biztonsági szintekről

I. Általános rendelkezések

1. Jelen dokumentum meghatározza azon szervezési és technikai intézkedések összetételét és tartalmát, amelyek biztosítják a személyes adatok biztonságát a személyes adatok információs rendszereiben (a továbbiakban: információs rendszer) kriptográfiai információvédelmi eszközökkel (a továbbiakban: CIPF) történő feldolgozásuk során. szükséges ahhoz, hogy megfeleljenek az Orosz Föderáció kormánya által a személyes adatok védelmére meghatározott követelményeknek az egyes biztonsági szintek tekintetében.

2. Ez a dokumentum a CIPF-et használó üzemeltetők számára készült, hogy biztosítsák a személyes adatok biztonságát az információs rendszerekben történő feldolgozásuk során.

3. A jelen dokumentumban meghatározott szervezési és technikai intézkedések alkalmazásáról az üzemeltető gondoskodik, figyelembe véve a kriptográfiai információvédelemre vonatkozó operatív dokumentumok követelményeit, amelyek célja a személyes adatok biztonságának biztosítása az információs rendszerekben történő feldolgozásuk során.

4. A CIPF működését a CIPF-re vonatkozó dokumentációnak és az e dokumentumban meghatározott követelményeknek, valamint az adott területen fennálló kapcsolatokat szabályozó egyéb szabályozó jogszabályoknak megfelelően kell végezni.

II. Az Orosz Föderáció kormánya által megállapított követelmények teljesítéséhez szükséges szervezeti és technikai intézkedések összetétele és tartalma a személyes adatok védelmére 4 biztonsági szinthez

5. Az Orosz Föderáció kormányának 2012. november 1-jei N1119 1 rendeletével jóváhagyott, a személyes adatoknak a személyes adatok információs rendszerekben történő feldolgozása során történő védelmére vonatkozó követelmények (a továbbiakban: a személyes adatokra vonatkozó követelmények) 13. pontjával összhangban. személyes adatok védelme), a személyes adatok 4. szintű biztonságának biztosításához az információs rendszerekben történő feldolgozásuk során az alábbi követelményeknek kell teljesülniük:

a) olyan rendszer megszervezése, amely biztosítja azon helyiségek biztonságát, amelyekben az információs rendszer található, megakadályozva azon személyek ellenőrizetlen belépését vagy tartózkodását ezekbe a helyiségekbe, akik nem rendelkeznek hozzáférési joggal;

b) a személyes adathordozók biztonságának biztosítása;

c) az információs rendszerben kezelt személyes adatokhoz való hozzáférést hivatali (munkaügyi) feladataik ellátásához szükséges személyek listáját meghatározó dokumentum üzemeltetőjének jóváhagyása;

d) olyan információbiztonsági eszközök használata, amelyek átmentek az Orosz Föderáció információbiztonsági jogszabályai követelményeinek való megfelelés értékelésére szolgáló eljáráson, abban az esetben, ha ilyen eszközök használata szükséges a jelenlegi fenyegetések semlegesítéséhez.

6. A jelen dokumentum 5. bekezdésének "a" alpontjában meghatározott követelmény teljesítéséhez olyan rendszert kell biztosítani, amely megakadályozza az ellenőrizetlen belépést vagy tartózkodást azon helyiségekbe, ahol a használt CIPF található, a CIPF és (vagy) kulcs-, hitelesítő- és jelszó-információ hordozói CIPF (a továbbiakban - Telephely), olyan személyek kerülnek tárolásra, akik nem rendelkeznek hozzáférési joggal a Telephelyhez, ami az alábbiakkal érhető el:

a) a Helyiség zárakkal ellátott bejárati ajtókkal való felszerelése, a Helyiségek ajtajának tartós bezárásának és csak engedélyezett átjárásra nyílásának biztosítása, valamint a Helyiségek munkanap végén történő lezárása vagy a Helyiség megfelelő felszerelése technikai eszközök, jelzi a Helyiség jogosulatlan megnyitását;

b) a Munkahelyiség munka- és munkaidőn kívüli, valamint rendkívüli helyzetekben történő belépés szabályainak jóváhagyása;

c) a Helyiségbe való belépésre jogosultak névsorának jóváhagyása.

7. A jelen dokumentum 5. bekezdésének "b" alpontjában meghatározott követelmény teljesítéséhez szükséges:

a) a személyes adatok kivehető gépi adathordozóinak tárolására belső zárral ellátott széfekben (fémszekrényekben), amelyeken két vagy több duplikált kulccsal, valamint kulcslyukak vagy kombinációs zárak lezárására szolgáló eszközök állnak rendelkezésre. Ha a személyes adatok cserélhető gépi adathordozóján csak személyes adatokat tárolnak CIPF-fel titkosított formában, akkor az ilyen adathordozók széfeken (fémszekrényeken) kívül tárolhatók;

b) a személyes adatok gépi adathordozóinak esetenkénti elszámolását végezze, amely a személyes adathordozók nyilvántartási (sorszámos) nyilvántartásának vezetésével valósul meg.

8. A jelen dokumentum 5. bekezdésének "c" alpontjában meghatározott követelmény teljesítéséhez szükséges:

a) kidolgozza és jóváhagyja azon személyek listáját, akiknek az információs rendszerben kezelt személyes adataihoz hivatali (munkaügyi) feladataik ellátásához hozzáférése szükséges;

b) naprakészen tartsa azon személyek névsorát meghatározó dokumentumot, akiknek az információs rendszerben kezelt személyes adataihoz való hozzáférése hivatali (munkaügyi) feladataik ellátásához szükséges.

9. A jelen dokumentum (5) bekezdése "d" alpontjában meghatározott követelmény teljesítéséhez a személyes adatok védelmének minden szintjén a megfelelő osztályba tartozó kriptográfiai információvédelmi eszközöket kell használni, amelyek lehetővé teszik a személyes adatok biztonságának biztosítását. amikor célzott műveleteket hajt végre hardver és (vagy) szoftver eszközök a CIPF által védett személyes adatok biztonságának megsértése vagy az ehhez szükséges feltételek megteremtése (a továbbiakban: támadás) céljából, amelyet úgy ér el:

a) kiindulási adatok beszerzése a módszerek létrehozásában, a támadások előkészítésében és lebonyolításában felhasználható lehetőségekről feltételezések halmazának kialakításához;

b) a módszerek létrehozása, a támadások előkészítése és lebonyolítása során felhasználható lehetőségekre vonatkozó feltételezések halmazának kialakítása és jóváhagyása az üzemeltető vezetője által, és ez alapján meghatározva és figyelembe véve a kívánt osztály tényleges fenyegetéseinek típusát. kriptográfiai információvédelem;

c) felhasználás a személyes adatok megkívánt biztonsági szintjének biztosítására a KS1 és magasabb osztályú CIPF információs rendszerben történő feldolgozásuk során.

10. A KS1 osztályú CIPF a támadások semlegesítésére szolgál, metódusok létrehozása, előkészítése és végrehajtása során az alábbiak közül a képességeket használják fel:

a) módszerek kidolgozása, támadások előkészítése és végrehajtása szakemberek bevonása nélkül a kriptográfiai információvédelem fejlesztésébe és elemzésébe;

b) módszerek kidolgozása, támadások előkészítése és végrehajtása különböző szakaszokban életciklus CIPF 2;

c) támadás végrehajtása azon a téren kívül, amelyen belül személyek és/vagy járművek tartózkodása és tevékenysége ellenőrzése történik (a továbbiakban: ellenőrzött zóna) 3 ;

d) a következő támadások végrehajtása a CIPF fejlesztése (korszerűsítése), gyártása, tárolása, szállítása, valamint a CIPF üzembe helyezési szakaszában (üzembe helyezési munkák):

bevezetés jogosulatlan változtatások a CIPF-ben és (vagy) azokban a hardver- és szoftvereszközök összetevőiben, amelyekkel a CIPF normálisan működik, és a CIPF működéséhez szükséges környezetet reprezentáló aggregátumban (a továbbiakban: SF), amelyek a teljesítést befolyásolhatják. a CIPF-re vonatkozó követelmények, beleértve a rosszindulatú programok használatát is;

jogosulatlan módosítások bevezetése a CIPF és az SF összetevői dokumentációjában;

e) támadások végrehajtása a CIPF működésének szakaszában:

személyes adatok;

a CIPF kulcs-, hitelesítés- és jelszóinformációi;

a CIPF szoftverösszetevői;

a CIPF hardverelemei;

SF szoftverösszetevők, beleértve a BIOS-szoftvert;

SF hardver alkatrészek;

kommunikációs csatornákon továbbított adatok;

egyéb objektumok, amelyek a módszerek létrehozásában, a támadások előkészítésében és lebonyolításában felhasználható lehetőségekre vonatkozó javaslatcsomag kialakítása során jönnek létre, figyelembe véve az információs rendszerben használtakat információs technológiák, hardver (a továbbiakban AC) és szoftver(a továbbiakban: szoftver);

f) a CIPF-et használó információs rendszerrel kapcsolatos információk beszerzése szabadon elérhető forrásokból (ideértve az információs és távközlési hálózatokat is, amelyekhez nem korlátozódik a személyek meghatározott köre, ideértve az internetes információs és távközlési hálózatot is). Ebben az esetben a következő információk szerezhetők be:

általános információk arról az információs rendszerről, amelyben a CIPF-et használják (cél, összetétel, üzemeltető, objektumok, amelyekben az információs rendszer erőforrásai találhatók);

információ az információs technológiákról, adatbázisokról, AS-ról, az információs rendszerben a CIPF-fel együtt használt szoftverekről, kivéve azokat az információkat, amelyeket csak az információtechnológiai tervdokumentáció tartalmaz, adatbázisok, AU, az információs rendszerben a CIPF-fel együtt használt szoftverek;

általános információk a CIPF működése során felhasznált védett információkról;

tájékoztatás azokról a kommunikációs csatornákról, amelyeken keresztül a CIPF által védett személyes adatokat továbbítják (a továbbiakban: kommunikációs csatorna);

minden lehetséges adat továbbított nyitott forma kommunikációs csatornákon keresztül, amelyeket szervezeti és technikai intézkedések nem védenek az információkhoz való jogosulatlan hozzáféréstől;

tájékoztatás a CIPF és az SF működési szabályainak minden olyan megsértéséről, amely olyan kommunikációs csatornákon jelenik meg, amelyek szervezeti és technikai intézkedésekkel nem védettek az információkhoz való jogosulatlan hozzáféréstől;

minden olyan kommunikációs csatornában megnyilvánuló információ, amely nem védett az információkhoz való jogosulatlan hozzáféréstől szervezeti és technikai intézkedésekkel, a CIPF és az SF hardverelemeinek hibáival és hibáival szemben;

a CIPF és az SF hardverkomponenseitől származó jelek elemzése eredményeként kapott információ;

g) jelentkezés:

szabadon hozzáférhető vagy használható az ellenőrzött területen kívüli AS és szoftver, beleértve a CIPF és SF hardver- és szoftverkomponenseit;

speciálisan tervezett AS és szoftver;

h) a műveleti szakaszban a támadás előkészítése és (vagy) lebonyolítása során végrehajtott műveletek közvetítésének eszközeként történő felhasználása a támadás alanyától a támadás tárgyáig (tárgytól alanyáig):

kommunikációs csatornák, amelyeket szervezeti és technikai intézkedések nem védenek az információkhoz való jogosulatlan hozzáféréstől;

a CIPF és az SF működését kísérő jelek elosztási csatornái;

i) támadás végrehajtása a működési szakaszban információs és távközlési hálózatokból, amelyekhez a hozzáférés nem korlátozódik egy bizonyos körre, ha a CIPF-et használó információs rendszerek hozzáférnek ezekhez a hálózatokhoz;

j) a CIPF működési helyein használt információs rendszer eszközeinek összetételéből az ellenőrzött területen kívül található AS és szoftverek működési szakaszában történő felhasználása (a továbbiakban: standard eszközök).

11. A KS2 osztályú CIPF a támadások semlegesítésére szolgál, olyan módszerek létrehozása, előkészítése és végrehajtása során, amelyek a jelen dokumentum 10. pontjában felsoroltak közül a lehetőségeket és az alábbi kiegészítő szolgáltatások legalább egyikét kihasználják:

a) támadás végrehajtása az ellenőrzött zónán belül;

b) támadások végrehajtása a CIPF működési szakaszában a következő objektumok ellen:

a CIPF és SF összetevők dokumentációja.

Olyan helyiségek, amelyekben önállóan vagy más rendszerek részeként (a továbbiakban - SVT) működő adatfeldolgozó rendszerek szoftverei és műszaki elemei találhatók, amelyeken a CIPF és az SF megvalósul;

c) a kapott felhatalmazás keretein belül, valamint a megfigyelések eredményeként a következő információk megszerzése:

információ azon objektumok fizikai védelmi intézkedéseiről, amelyekben az információs rendszer erőforrásai találhatók;

információk azokról az intézkedésekről, amelyek biztosítják az objektumok ellenőrzött területét, ahol az információs rendszer erőforrásai találhatók;

információk az olyan helyiségekhez való hozzáférés korlátozására vonatkozó intézkedésekről, amelyekben a számítógépes berendezés található, és amelyen a CIPF és az SF megvalósul;

d) felhasználás rendszeres alapok korlátozzák a CIPF-et használó információs rendszerben végrehajtott, a jogosulatlan cselekmények megelőzését és visszaszorítását célzó intézkedések.

12. A KS3 osztályú CIPF a támadások semlegesítésére szolgál, olyan módszerek létrehozása, előkészítése és végrehajtása során, amelyek a jelen dokumentum 10. és 11. pontjában felsoroltak közül a lehetőségeket és az alábbi kiegészítő funkciók legalább egyikét kihasználják:

a) fizikai hozzáférés az SVT-hez, amelyen a CIPF és az SF megvalósul;

b) a CIPF és SF hardverösszetevőinek képessége, amelyet a CIPF-et használó információs rendszerben végrehajtott intézkedések korlátoznak, és amelyek célja a jogosulatlan tevékenységek megakadályozása és visszaszorítása.

13. A KB osztályú CIPF a támadások semlegesítésére szolgál, olyan módszerek létrehozása, előkészítése és végrehajtása során, amelyek a jelen dokumentum 10-12.

a) módszerek kidolgozása, támadások előkészítése és végrehajtása szakemberek bevonásával a CIPF és az SF működését kísérő jelelemzés területén, valamint az alkalmazási szoftverek dokumentálatlan (nem deklarált) képességeinek támadások megvalósítására való felhasználása területén;

b) gazdaság laboratóriumi kutatás Az ellenőrzött területen kívül használt CIPF, amelyet a CIPF-et használó információs rendszerben végrehajtott intézkedések korlátoznak, és amelyek célja a jogosulatlan tevékenységek megakadályozása és visszaszorítása;

c) támadási módszerek és eszközök kidolgozása a kriptográfiai információvédelmi eszközök és az SF fejlesztésére és elemzésére szakosodott kutatóközpontokban, beleértve az SF-ben szereplő alkalmazási szoftverek forráskódjának felhasználását, közvetlenül a CIPF szoftver funkciói.

14. A KA osztályú CIPF a támadások semlegesítésére szolgál, olyan módszerek létrehozása, előkészítése és végrehajtása során, amelyek a jelen dokumentum 10-13.

a) módszerek kidolgozása, támadások előkészítése és végrehajtása szakemberek bevonásával a rendszerszoftver dokumentálatlan (be nem jelentett) képességeinek támadások végrehajtására való felhasználása területén;

b) az SF hardver- és szoftverkomponenseinek tervdokumentációjában szereplő információk birtoklása;

c) a CIPF és az SF összes hardverösszetevőjének birtoklása.

15. A módszerek létrehozásában, a támadások előkészítésében és lebonyolításában felhasználható lehetőségekre vonatkozó feltételezések halmazának kialakítása során, további jellemzők, amelyek nem szerepelnek a jelen dokumentum 10–14. pontjában felsoroltakban, nem érintik a CIPF szükséges osztályának meghatározására vonatkozó eljárást.

III. Az Orosz Föderáció kormánya által megállapított követelmények teljesítéséhez szükséges szervezeti és technikai intézkedések összetétele és tartalma a személyes adatok védelmére a 3-as biztonsági szinthez

16. A személyes adatok védelmére vonatkozó követelmények 14. pontja szerint a személyes adatok 3. szintű védelmének biztosítása érdekében az információs rendszerekben történő feldolgozásuk során, a jelen dokumentum (5) bekezdésében foglalt követelmények teljesítése mellett. , az információs rendszerben található személyes adatok biztonságának biztosításáért felelős tisztségviselő (munkavállaló) kijelölésére vonatkozó követelmény teljesítése szükséges.

17. A jelen dokumentum 16. pontjában meghatározott követelmény teljesítéséhez az információs rendszerben található személyes adatok biztonságának biztosításáért felelõs, megfelelõ szaktudással rendelkezõ üzemeltetõ (munkavállaló) kijelölése szükséges.

18. A jelen dokumentum (5) bekezdésének "d" alpontjában meghatározott követelmény teljesítéséhez a jelen dokumentum 9. bekezdésének "c" alpontjában előírt intézkedés helyett a szükséges védelmi szint biztosítására a személyes adatok az információs rendszerben történő feldolgozásuk során:

IV. Az Orosz Föderáció kormánya által megállapított követelmények teljesítéséhez szükséges szervezeti és technikai intézkedések összetétele és tartalma a személyes adatok védelmére a 2-es biztonsági szinthez

19. A személyes adatok védelmére vonatkozó követelmények (15) bekezdése szerint a személyes adatok 2. szintű védelmének biztosítása érdekében az információs rendszerekben történő feldolgozásuk során, az (5) és (16) bekezdésében foglalt követelmények teljesítése mellett. jelen dokumentumban annak a követelménynek a teljesítése szükséges, hogy az elektronikus üzenetnapló tartalmához csak az üzemeltető tisztségviselői (alkalmazottai), illetve olyan felhatalmazott személyek férhessenek hozzá, akiknek szüksége van a naplóban szereplő információkra tisztségük (munkavégzése) elvégzéséhez. ) feladatait.

20. A jelen dokumentum 19. pontjában meghatározott követelmény teljesítéséhez szükséges:

a) az elektronikus üzenetnapló tartalmára feljogosított személyek listájának az üzemeltető vezetője általi jóváhagyása, a megadott lista naprakész vezetése;

b) az információs rendszer olyan automatizált eszközökkel való ellátása, amelyek az információs rendszer felhasználóinak személyes adatok megszerzésére irányuló kérelmét, valamint az ezen kérelmekre vonatkozó személyes adatok megadásának tényeit az elektronikus üzenetnaplóban rögzítik;

c) az információs rendszer olyan automatizált eszközökkel történő ellátása, amelyek kizárják az elektronikus üzenetnapló tartalmához való hozzáférést azon személyek számára, akik nem szerepelnek az üzemeltető vezetője által jóváhagyott, az elektronikus üzenetnapló tartalmára feljogosított személyek listáján;

d) az e bekezdés "b" és "c" alpontjában meghatározott automatizált eszközök teljesítményének időszakos ellenőrzése (legalább félévente egyszer).

21. A jelen dokumentum (5) bekezdésének "d" alpontjában meghatározott követelmény teljesítéséhez a jelen dokumentum 9. bekezdésének "c" alpontjában és a 18. pontban előírt intézkedések helyett az előírt szint biztosítására kell alkalmazni. a személyes adatok védelméről azok információs rendszerben történő feldolgozása során:

CIPF osztály KB és magasabb azokban az esetekben, amikor a 2-es típusú fenyegetések relevánsak az információs rendszer szempontjából;

CIPF osztály KS1 és magasabb azokban az esetekben, amikor a 3-as típusú fenyegetések relevánsak az információs rendszer szempontjából.

V. Az Orosz Föderáció kormánya által megállapított követelmények teljesítéséhez szükséges szervezeti és technikai intézkedések összetétele és tartalma a személyes adatok védelmére 1 biztonsági szinthez

22. A személyes adatok védelmére vonatkozó követelmények 16. pontjában foglaltaknak megfelelően a személyes adatok I. szintű védelmének biztosítása érdekében az információs rendszerekben történő feldolgozásuk során az (5), (16) bekezdésben foglalt követelmények teljesítése, ill. 19. pontja szerint a következő követelményeknek kell teljesülniük:

a) az üzemeltető alkalmazottjának az információs rendszerben tárolt személyes adatokhoz való hozzáférési jogában bekövetkezett változás automatikus rögzítése az elektronikus biztonsági naplóban;

b) az információs rendszerben található személyes adatok biztonságának biztosításáért felelős külön szervezeti egység létrehozása, vagy funkcióinak a meglévő strukturális egységekhez való hozzárendelése.

23. A jelen dokumentum 22. bekezdésének "a" alpontjában meghatározott követelmény teljesítéséhez szükséges:

a) az információs rendszer olyan automatizált eszközökkel történő ellátása, amelyek lehetővé teszik az üzemeltető alkalmazottjának az információs rendszerben található személyes adatokhoz való hozzáférési jogosultságában bekövetkezett változások automatikus rögzítését az elektronikus biztonsági naplóban;

b) a személyes adatok kezelője alkalmazottainak az információs rendszerben található személyes adatokhoz való hozzáférési jogkörének tükrözése az elektronikus biztonsági naplóban. Ezeknek a hatásköröknek összhangban kell lenniük hivatalos feladatokat az üzemeltető alkalmazottai;

c) az elektronikus biztonsági napló vezetésének és az üzemeltető munkavállalóinak abban feltüntetett hatósági hatósági betartásának időszakos ellenőrzéséért felelős személy kijelölése az üzemeltető részéről (legalább havonta).

24. A jelen dokumentum 22. bekezdésének "b" alpontjában meghatározott követelmény teljesítéséhez szükséges:

a) elemzi az információs rendszerben található személyes adatok biztonságának biztosításáért felelős külön szervezeti egység létrehozásának megvalósíthatóságát;

b) az információs rendszerben található személyes adatok biztonságának biztosításáért külön szervezeti egységet hozzon létre, vagy annak funkcióit a meglévő szerkezeti egységek valamelyikéhez rendeli.

25. A jelen dokumentum (5) bekezdés "a" alpontjában meghatározott követelmény teljesítéséhez, az 1. biztonsági szint biztosításához szükséges:

a) az épületek első és (vagy) utolsó emeletén található Helyiségek nyílászáróit, valamint a tűzlépcsők közelében és egyéb olyan helyeken található helyiségek ablakait, ahonnan illetéktelen személyek bejuthatnak a helyiségbe, fémrácsokkal vagy redőnnyel kell ellátni , riasztó vagy más olyan eszköz, amely megakadályozza, hogy illetéktelen személyek ellenőrizetlen belépjenek a helyiségbe;

b) az információs rendszer szervereinek elhelyezésére szolgáló Telephely ablakait és ajtóit fémrácsokkal, betörésjelzőkkel vagy egyéb olyan eszközzel felszerelni, amely megakadályozza az illetéktelen személyek helyiségbe való ellenőrizetlen bejutását.

26. A jelen dokumentum (5) bekezdésének "d" alpontjában meghatározott követelmény teljesítéséhez a jelen dokumentum 9. bekezdésének "c" alpontjában, 18. és 21. pontjában előírt intézkedések helyett a jelen dokumentum 18. és 21. pontjában foglaltak biztosítására a a személyes adatok szükséges szintű védelme az információs rendszerben történő feldolgozásuk során:

A KA osztályú CIPF olyan esetekben, amikor az 1-es típusú fenyegetések relevánsak az információs rendszer szempontjából;

KB vagy magasabb osztályú CIPF olyan esetekben, amikor a 2-es típusú fenyegetések relevánsak az információs rendszer szempontjából.

1 Az Orosz Föderáció Jogszabálygyűjteménye, 2012, N 45, 6257.

2 A CIPF életciklusának szakaszai közé tartozik ezen eszközök fejlesztése (korszerűsítése), gyártása, tárolása, szállítása, üzembe helyezése (üzembe helyezése), üzemeltetése.

3 Az ellenőrzött övezet határa lehet a vállalkozás (intézmény) védett területének kerülete, a védett épület határoló szerkezetei, a védett épületrész, a kiosztott helyiségek.

Az információ védelmének fő feladatai azok tárolása, feldolgozása és kommunikációs csatornákon és különféle adathordozókon történő továbbítása során, amelyeket a CIPF segítségével oldottak meg: 1.

Az információk titkosságának (bizalmasságának) biztosítása. 2.

Az információk integritásának biztosítása. 3.

Információk (dokumentumok) hitelesítése. E problémák megoldásához a következőket kell végrehajtani

folyamatok: 1.

A tényleges információbiztonsági funkciók megvalósítása, beleértve:

titkosítás/dekódolás; EDS létrehozása/ellenőrzése; álbetétek létrehozása/tesztelése. 2.

A KPI eszközeinek állapotának figyelése és működésének irányítása (a rendszerben):

állapotellenőrzés: a KPI eszközei működőképességének megsértésének, jogosulatlan hozzáférési kísérletnek, kulcskompromittálódásnak az észlelése és nyilvántartása;

üzemirányítás: intézkedések megtétele a KPI eszközök normál működésétől való felsorolt ​​eltérések esetén. 3.

KZI létesítmények karbantartásának elvégzése: kulcskezelés megvalósítása;

új hálózati előfizetők csatlakozásával és/vagy nyugdíjas előfizetők kizárásával kapcsolatos eljárások lefolytatása; a CIPF azonosított hiányosságainak megszüntetése; a CIPF szoftver új verzióinak üzembe helyezése;

korszerűsítése és cseréje technikai eszközökkel CIPF a fejlettebb és/vagy a kimerült források pótlására.

A kulcskezelés a kriptográfiai információvédelem egyik legfontosabb funkciója, és a következő fő funkciók megvalósításából áll:

kulcsgenerálás: kulcsok vagy kulcspárok generálására szolgáló mechanizmust határoz meg, garantálva azok kriptográfiai minőségét;

kulcselosztás: meghatározza azt a mechanizmust, amellyel a kulcsok megbízhatóan és biztonságosan eljuttathatók az előfizetőkhöz;

kulcsmegőrzés: meghatározza azt a mechanizmust, amellyel a kulcsok biztonságosan és biztonságosan tárolódnak jövőbeli felhasználás céljából;

kulcs-helyreállítás: meghatározza az egyik kulcs helyreállításának mechanizmusát (új kulccsal való csere);

kulcs megsemmisítése: meghatározza azt a mechanizmust, amellyel az elavult kulcsok biztonságosan megsemmisülnek;

kulcsarchívum: olyan mechanizmus, amellyel a kulcsok biztonságosan tárolhatók a későbbi, közjegyző által hitelesített visszaszerzés érdekében konfliktushelyzetekben.

Általánosságban elmondható, hogy a kriptográfiai információvédelem felsorolt ​​funkcióinak megvalósításához olyan kriptográfiai információvédelmi rendszert kell létrehozni, amely egyesíti a CSI, a karbantartó személyzet, a helyiségek, az irodai berendezések, a különféle (műszaki, szabályozási) dokumentáció tényleges eszközeit, stb.

Mint már említettük, az információvédelem garanciáinak megszerzéséhez a KPI tanúsított eszközeit kell használni.

Jelenleg a legsúlyosabb probléma a védelem bizalmas információ. A probléma megoldására a FAPSI égisze alatt a bizalmas információk kriptográfiai védelmének funkcionálisan teljes készletét fejlesztették ki, amely lehetővé teszi a felsorolt ​​információvédelmi feladatok megoldását a legkülönbözőbb alkalmazásokhoz és felhasználási feltételekhez.

Ez a komplexum a "Verba" (aszimmetrikus kulcsok rendszere) és a "Verba-O" (szimmetrikus kulcsok rendszere) kriptográfiai magokon alapul. Ezek a kriptomagok adattitkosítási eljárásokat biztosítanak a GOST 28147-89 „Információfeldolgozó rendszerek” követelményeinek megfelelően.

Kriptográfiai védelem" és digitális aláírás a GOST R34.10-94 "Információs technológia. Az információk kriptográfiai védelme. Eljárások aszimmetrikus kriptográfiai algoritmuson alapuló elektronikus digitális aláírás fejlesztésére és ellenőrzésére" előírásainak megfelelően.

A CIPF-komplexumban szereplő alapok lehetővé teszik a védelmet elektronikus dokumentumokatés információáramlások tanúsított titkosítási mechanizmusok használatával és Elektronikus aláírás gyakorlatilag minden modern információs technológiában, beleértve a következők végrehajtását: CIPF offline módban;

biztonságos információcsere off-line módban; biztonságos információcsere on-line módban; védett heterogén, i.e. vegyes információcsere.

Megoldásokért rendszerszintű problémák a CIPF használata D. A. Starovoitov vezetésével a „Vityaz” információ komplex kriptográfiai védelmének technológiáját fejlesztették ki, amely egyszerre biztosítja az adatok kriptográfiai védelmét a rendszer minden részében: nem csak a kommunikációs csatornákban és a rendszercsomópontokban, hanem közvetlenül a felhasználói munkahelyeken is a dokumentum létrehozása során, amikor maga a dokumentum védett. Ráadásul a keretek között közös technológia A "Vityaz" egyszerűsített, egyszerű elérhető a felhasználók számára a licencelt CIPF-ek különféle alkalmazási rendszerekbe való beágyazásának technológiája, ami igen szélessé teszi ezeknek a CIPF-eknek a felhasználási körét.

Az alábbiakban az egyes felsorolt ​​módok védelmi eszközeinek és módszereinek leírása található.

A CIPF offline használata.

A CIPF-fel végzett autonóm munka során a következő típusú kriptográfiai információvédelem valósítható meg: védett dokumentum létrehozása; fájlvédelem;

védett létrehozása fájlrendszer; védett létrehozása logikai meghajtó. A felhasználó kérésére a következő típusú dokumentumok (fájlok) kriptográfiai védelme valósítható meg:

egy dokumentum (fájl) titkosítása, amely elérhetetlenné teszi annak tartalmát mind a dokumentum (fájl) tárolásakor, mind kommunikációs csatornákon vagy futárral történő továbbításakor;

betétimitátor fejlesztése, amely biztosítja a dokumentum (fájl) integritásának ellenőrzését;

EDS kialakítása, amely biztosítja az irat (irat) sértetlenségének ellenőrzését és a dokumentumot (iratot) aláíró személy hitelesítését.

Ennek eredményeként a védett dokumentum (fájl) titkosított fájllá alakul, amely szükség esetén tartalmaz EDS-t. A digitális aláírást az információfeldolgozási folyamat megszervezésétől függően az aláírt dokumentumtól különálló fájl is képviselheti. Továbbá ez a fájl kiadható hajlékonylemezre vagy más adathordozóra, futárral történő kézbesítés céljából, vagy elküldhető bármely elérhető email, például az interneten keresztül.

Ennek megfelelően a titkosított fájl e-mailben vagy egy adott adathordozón történő kézhezvételekor a kriptográfiai védelem érdekében végrehajtott műveletek végrehajtásra kerülnek fordított sorrendben(dekódolás, utánzat beillesztés ellenőrzése, digitális aláírás ellenőrzése).

A megvalósításhoz elem élettartam A következő tanúsított eszközök használhatók a CIPF-fel:

"Lexicon-Verba" szövegszerkesztő, a CIPF "Verba-O" és a CIPF "Verba" alapján megvalósítva;

szoftverkomplexum CIPF "Autonomous munkahely", a CIPF "Verba" és "Verba-O" alapján implementálva Windows 95/98/NT rendszerhez;

kriptográfiai lemezmeghajtó PTS "DiskGuard".

Védett szövegszerkesztő"Lexicon-Verba".

A Lexicon-Verba rendszer egy teljes értékű szövegszerkesztő, amely támogatja a dokumentumok titkosítását és az elektronikus digitális aláírást. A dokumentumok védelmére a Verba és a Verba-O kriptográfiai rendszereket használja. Ennek a terméknek az egyedisége abban rejlik, hogy a titkosítás és a szövegaláírás funkcióit egyszerűen beépítik a modern eszközök közé. szöveg szerkesztő. A dokumentum titkosítása és aláírása ebben az esetben speciális folyamatokból egyszerűen szabványos műveletekké válik, amikor egy dokumentummal dolgozik.

Ugyanakkor a Lexicon-Verba rendszer úgy néz ki, mint egy normál szövegszerkesztő. A szövegformázási lehetőségek közé tartozik teljes testreszabás a dokumentum betűtípusai és bekezdései; táblázatok és listák; láblécek, lábjegyzetek, oldalsávok; stílusok használata és a modern követelményeknek megfelelő szövegszerkesztő számos egyéb funkciója. A "Lexicon-Verba" lehetővé teszi dokumentumok létrehozását és szerkesztését Lexicon, RTF, MS Word 6/95/97, MS Write formátumokban.

Autonóm munkahely.

A CIPF "Autonomous Workplace" a CIPF "Verba" és "Verba-O" alapján valósul meg Windows 95/98/NT rendszerhez, és lehetővé teszi a felhasználó számára, hogy interaktív módban a következő funkciókat hajtsa végre:

a kulcsokon lévő fájlok titkosítása / visszafejtése; fájlok titkosítása / visszafejtése jelszóval; Elektronikus digitális aláírások (EDS) rögzítése/eltávolítása/ellenőrzése fájlok alá;

titkosított fájlok ellenőrzése;

EDS rögzítés + fájlok titkosítása (egy műveletben); visszafejtés + EDS eltávolítása (egy műveletben) a fájlok alatt;

hash fájl számítás.

A CIPF "Autonóm Munkahely"-et tanácsos használni azon alkalmazottak mindennapi munkájához, akiknek biztosítaniuk kell:

részére bizalmas információk továbbítása elektronikus formában kézzel vagy futárral;

bizalmas információk küldése nyilvános hálózaton, beleértve az internetet is;

védelem a bizalmas információkhoz való jogosulatlan hozzáférés ellen személyi számítógépek alkalmazottak.

Az információs rendszerek tervezésének információbiztonsági követelményei jelzik azokat a jellemzőket, amelyek az alkalmazott információvédelmi eszközöket jellemzik. Ezeket az ellátás területén a szabályozók különféle jogi aktusai határozzák meg információ biztonság, különösen az orosz FSTEC és az FSB. A cikkből kiderül, milyen biztonsági osztályok vannak, a védelmi eszközök típusai és típusai, valamint hogy hol lehet többet megtudni erről.

Bevezetés

Napjainkban az információbiztonság biztosításának kérdései fokozott figyelem tárgyát képezik, hiszen az információbiztonság nélkül mindenhol bevezetett technológiák újabb komoly problémák forrásaivá válnak.

Az orosz FSZB a helyzet súlyosságáról számol be: a kiberbűnözők által több éven át okozott károk összege világszerte 300 milliárd dollártól ezermilliárd dollárig terjedt. Az Orosz Föderáció legfőbb ügyészének tájékoztatása szerint Oroszországban csak 2017 első felében volt a bűncselekmények száma a magas technológia hatszorosára nőtt, a károk teljes összege meghaladta a 18 millió dollárt. Az ipari szektorban 2017-ben a célzott támadások számának növekedését figyelték meg világszerte. Különösen Oroszországban 22%-kal nőtt a támadások száma 2016-hoz képest.

Az információs technológiákat fegyverként kezdték használni katonai-politikai, terrorista célokra, szuverén államok belügyeibe való beavatkozásra, valamint egyéb bűncselekmények elkövetésére. Az Orosz Föderáció egy nemzetközi információbiztonsági rendszer létrehozása mellett áll.

Az Orosz Föderáció területén az információtulajdonosok és az információs rendszerek üzemeltetői kötelesek blokkolni az információkhoz való jogosulatlan hozzáférési kísérleteket, valamint folyamatosan figyelemmel kell kísérniük az IT-infrastruktúra biztonsági állapotát. Ugyanakkor az információvédelmet különféle intézkedések, köztük technikai intézkedések elfogadásával biztosítják.

Az információbiztonsági eszközök, vagy információbiztonsági eszközök információvédelmet biztosítanak az információs rendszerekben, amelyek lényegében adatbázisokban tárolt információk, azok feldolgozását biztosító információs technológiák és technikai eszközök kombinációja.

A modern információs rendszereket a különféle hardver- és szoftverplatformok használata, az összetevők területi megoszlása, valamint a nyílt adatátviteli hálózatokkal való interakció jellemzi.

Hogyan lehet megvédeni az információkat ilyen körülmények között? A vonatkozó követelményeket felhatalmazott szervek, különösen az FSTEC és az oroszországi FSB határozzák meg. A cikk keretein belül megpróbáljuk tükrözni az információbiztonsági létesítmények osztályozásának főbb megközelítéseit, figyelembe véve ezen szabályozók követelményeit. Az információbiztonsági létesítmények osztályozásának leírásának egyéb módjai, amelyek az orosz részlegek, valamint a külföldi szervezetek és ügynökségek szabályozási dokumentumaiban tükröződnek, túlmutatnak e cikk hatályán, és nem foglalkoznak tovább.

A cikk hasznos lehet kezdők számára az információbiztonság területén, mint strukturált információforrás az információbiztonsági információk osztályozásának módszereiről az orosz FSTEC (nagyobb mértékben) és röviden az orosz FSB követelményei alapján. .

Az információbiztonság nem kriptográfiai módszereinek biztosításának eljárását és tevékenységeit meghatározó struktúra az oroszországi FSTEC (korábban az Orosz Föderáció elnöke alatt működő Állami Műszaki Bizottság, Állami Műszaki Bizottság).

Ha az olvasónak látnia kellett a tanúsított információbiztonsági eszközök állami nyilvántartását, amelyet az orosz FSTEC hoz létre, akkor minden bizonnyal figyelt arra, hogy az információbiztonsági létesítmény céljának leíró részében szerepeljenek olyan kifejezések, mint az „osztály”. RD SVT”, „az NDV hiányának szintje” stb. (1. ábra).

1. ábra: A tanúsított információbiztonsági létesítmények nyilvántartásának részlete

Az információvédelem kriptográfiai eszközeinek osztályozása

Az oroszországi FSB a kriptográfiai információbiztonsági eszközök következő osztályait határozza meg: KS1, KS2, KS3, KB és KA.

A SZI osztály KS1 fő jellemzői közé tartozik, hogy képesek ellenállni az ellenőrzött zónán kívülről végrehajtott támadásoknak. Ez azt jelenti, hogy a támadási módszerek létrehozása, előkészítése és végrehajtása a kriptográfiai információbiztonsági létesítmények fejlesztésében és elemzésében szakemberek részvétele nélkül történik. Feltételezhető, hogy a rendszerrel kapcsolatos információk, amelyekben ezeket az információbiztonsági eszközöket használják, nyílt forrásokból szerezhetők be.

Ha egy kriptográfiai IPS képes ellenállni a CS1 osztály által blokkolt támadásoknak, valamint ellenőrzött zónában végrehajtott támadásoknak, akkor az ilyen IPS a CS2 osztálynak felel meg. Ugyanakkor feltételezhető például, hogy a támadás előkészítése során információk válhatnak elérhetővé az információs rendszerek védelmét, ellenőrzött zóna biztosítását stb. szolgáló fizikai intézkedésekről.

Ha lehetséges ellenállni a támadásoknak a számítógépes berendezésekhez való fizikai hozzáférés jelenlétében telepített kriptográfiai információbiztonsági eszközökkel, akkor azt mondják, hogy ezek az eszközök megfelelnek a CS3 osztálynak.

Ha a kriptográfiai információbiztonsági rendszer ellenáll a támadásoknak, amelyek létrehozásához ezen eszközök fejlesztésébe és elemzésébe szakembereket vontak be, beleértve a kutatóközpontokat is, akkor lehetőség nyílt a védelmi eszközök laboratóriumi vizsgálatára, akkor beszélgetünk a HF osztálynak való megfelelésről.

Ha a rendszerszoftverek NDV használatával foglalkozó szakembereket bevontak a támadási módszerek kidolgozásába, rendelkezésre állt a megfelelő tervdokumentáció és elérhető volt a kriptográfiai információbiztonsági létesítmények hardverelemei, akkor az ilyen támadások elleni védelem eszközzel biztosítható. a KA osztályból.

Az elektronikus aláírás-védelmi eszközök osztályozása

Az elektronikus aláírási eszközöket, a támadásokkal szembeni ellenállástól függően, általában a következő osztályokkal hasonlítják össze: KS1, KS2, KS3, KB1, KB2 és KA1. Ez a besorolás hasonló a fentebb a kriptográfiai IPS-sel kapcsolatban tárgyalthoz.

következtetéseket

A cikk megvizsgált néhány oroszországi információbiztonság osztályozási módszert, amelyek az információvédelem területén a szabályozó hatóságok szabályozási keretein alapulnak. A figyelembe vett osztályozási lehetőségek nem teljesek. Mindazonáltal reméljük, hogy a bemutatott összefoglaló információk lehetővé teszik az információbiztonság területén kezdő szakember számára a gyors navigációt.