Uso mezzi crittografici Il tema della protezione (CIPF) è molto controverso e sfuggente. Tuttavia, l'Operatore PD ha tale diritto, in caso di minacce reali, di applicare la CIPF per garantire la protezione. Ma non è sempre chiaro come utilizzare questo diritto. E ora l'FSB semplifica la vita, è stato rilasciato un documento di raccomandazioni metodologiche applicabili sia all'IS statale che a tutti gli altri Operatori PD. Diamo un'occhiata più da vicino a questo documento.

E così, è successo, ha postato l'8° Centro dell'FSB descrivere le raccomandazioni nel campo dello sviluppo di atti normativi per la protezione del PD. Allo stesso tempo, si consiglia di utilizzare lo stesso documento da parte degli operatori ISPD durante lo sviluppo di modelli di minacce private.

Allora cosa pensa l'FSB su come e dove applicare il CIPF?

È già abbastanza importante questo documento pubblicato solo sul sito web dell'FSB,non ha registrazionepresso il Ministero della Giustizia enon porta firmae- cioè il suo significato giuridico e vincolante rimane all'interno delle linee guida. È importante ricordarlo.

Guardiamoci dentro, il preambolo del documento definisce quelle raccomandazioni "per organi federali potere esecutivo... altri organi statali... che... adottano atti normativi che definiscono le minacce alla sicurezza dei dati personali che sono rilevanti nel trattamento dei dati personali in sistemi di informazione ah dei dati personali (di seguito ISPD) utilizzati nel corso delle relative tipologie di attività”. Quelli. si fa esplicito riferimento ai sistemi informativi statali.

Tuttavia, allo stesso tempo, queste stesse norme «è anche opportuno farsi guidare dallo sviluppo modelli di minaccia privata operatori di sistemi informativi di dati personali che hanno preso una decisione sull'utilizzo dei fondi protezione delle informazioni crittografiche(di seguito CIPF) per garantire la sicurezza dei dati personali”. Quelli. il documento in questo caso diventa universale per tutti gli utenti.

Quando è necessario utilizzare SKZI?

L'uso della CIPF per garantire la sicurezza dei dati personali è necessario nei seguenti casi:

1. se i dati personali sono soggetti a protezione crittografica in conformità con la legislazione della Federazione Russa;
2. se ci sono minacce nel sistema informativo che possono essere neutralizzate solo con l'aiuto del CIPF.

1. trasferimento di dati personali su canali di comunicazione non protetti dall'intercettazione da parte dell'autore del reato delle informazioni trasmesse attraverso di essi o da influenze non autorizzate su tali informazioni (ad esempio, quando si trasferiscono dati personali su reti pubbliche di informazione e telecomunicazioni);
2. conservazione dei dati personali su supporti informatici, il cui accesso non autorizzato da parte del trasgressore non può essere escluso con modalità e modalità non crittografiche.

Ed è qui che veniamo. Se anche il secondo punto è abbastanza logico, il primo non è così ovvio. Il fatto è che, secondo l'attuale versione della legge "Sui Dati Personali" nome, cognome e patronimico sono già dati personali. Di conseguenza, qualsiasi corrispondenza o registrazione al sito (tenendo conto di quanti dati sono attualmente richiesti in fase di registrazione) rientra formalmente in questa definizione.

Ma, come si suol dire, non ci sono regole senza eccezioni. Ci sono due tabelle alla fine del documento. Ecco solo una riga App n. 1.

Minaccia attuale:

1.1. effettuare un attacco mentre si è all'interno della zona controllata.

Motivo dell'assenza (l'elenco è leggermente abbreviato):

1. i dipendenti che sono utenti di ISPD, ma che non sono utenti di CIPF, sono informati delle regole di lavoro in ISPD e della responsabilità per il mancato rispetto delle regole per garantire la sicurezza delle informazioni;
2. Gli utenti CIPF sono informati sulle regole per lavorare in ISPD, le regole per lavorare con CIPF e responsabilità per il mancato rispetto delle regole per garantire la sicurezza delle informazioni;
3. i locali in cui è ubicato il sistema di protezione delle informazioni crittografiche sono dotati di porte di ingresso con serratura, garantendo che le porte dei locali siano permanentemente chiuse e aperte solo per il passaggio autorizzato;
4. approvato le regole per l'accesso ai locali in cui ha sede il CIPF, durante l'orario di lavoro e non, nonché in situazioni di emergenza;
5. è stato approvato l'elenco degli aventi diritto all'accesso ai locali in cui è ubicata la CIPF;
6. differenziazione e controllo dell'accesso degli utenti alle risorse protette;
7. registrazione e contabilizzazione delle azioni degli utenti con PD;

8. su workstation e server su cui è installato CIPF:

   vengono utilizzati mezzi certificati per proteggere le informazioni da accessi non autorizzati;
9. vengono utilizzati strumenti di protezione antivirus certificati.

Cioè, se gli utenti sono informati delle regole e delle responsabilità e vengono applicate misure di protezione, si scopre che non c'è nulla di cui preoccuparsi.

• per garantire la sicurezza dei dati personali durante il loro trattamento in ISPD, strumenti di protezione delle informazioni crittografiche che sono passati a tempo debito procedura di valutazione della conformità.

È vero, dice un po 'più in basso che un elenco di strumenti di protezione delle informazioni crittografiche certificati può essere trovato sul sito Web di TsLSZ FSB. Il fatto che la valutazione di conformità non sia una certificazione è stato ripetuto più volte.

• in assenza di procedure di valutazione della conformità CIPF che siano state superate secondo la procedura stabilita ... in fase di progettazione preliminare o bozza di progetto (schizzo-tecnico), lo sviluppatore del sistema informativo con la partecipazione dell'operatore (persona autorizzata) e lo sviluppatore CIPF proposto prepara una giustificazione per l'opportunità di sviluppare un nuovo tipo di CIPF e determina i requisiti per le sue proprietà funzionali.

Piace davvero. Il fatto è che certificazione il processo è molto lungo - fino a sei mesi o più. Spesso i clienti utilizzano i sistemi operativi più recenti che non sono supportati dalla versione certificata. In base a questo documento, i clienti possono utilizzare prodotti in fase di certificazione.

Il documento afferma che:

Quando si utilizzano canali di comunicazione (linee) dai quali è impossibile intercettare le informazioni protette trasmesse attraverso di essi e (o) nei quali è impossibile compiere azioni non autorizzate su tali informazioni, quando descrizione generale sistemi informativi, è necessario specificare:

1. descrizione delle modalità e dei mezzi per proteggere questi canali dall'accesso non autorizzato agli stessi;
2. conclusioni basate sui risultati degli studi sulla sicurezza di tali canali di comunicazione (linee) dall'accesso non autorizzato alle informazioni protette trasmesse attraverso di essi da un organismo abilitato a condurre tali studi, con riferimento al documento contenente le presenti conclusioni.

caratteristiche di sicurezza (riservatezza, integrità, disponibilità, autenticità) che devono essere fornite per i dati personali trattati;

canali di comunicazione (linee) utilizzati in ciascun sottosistema o nel sistema informativo nel suo insieme, compresi sistemi di cavi, e misure per limitare l'accesso non autorizzato alle informazioni protette trasmesse attraverso questi canali di comunicazione (linee), indicando canali di comunicazione (linee) in cui è impossibile l'accesso non autorizzato alle informazioni protette trasmesse attraverso di esse, e misure attuate per garantire tale qualità;

mezzi di informazione protetti utilizzati in ciascun sottosistema del sistema informativo o nel sistema informativo nel suo insieme (ad eccezione dei canali di comunicazione (linee)).

Commentando...

Alessio, buon pomeriggio!
Nella risposta dell'8° Centro non viene indicato nulla sulla necessità di utilizzare strumenti di protezione delle informazioni crittografiche certificati. Ma ci sono "Raccomandazioni metodologiche ..." approvate dalla direzione dell'8° Centro dell'FSB della Russia del 31 marzo 2015 n. 149/7/2/6-432, in cui c'è un tale paragrafo nel secondo parte:

Per garantire la sicurezza dei dati personali durante il loro trattamento in ISPD, dovrebbero essere utilizzati CIPF che hanno superato la procedura di valutazione della conformità nel modo prescritto. L'elenco dei CIPF certificati dall'FSB russo è pubblicato sul sito Web ufficiale del Center for Licensing, Certification and Protection of State Secrets of the FSB of Russia (www.clsz.fsb.ru). Informazioni aggiuntive si raccomanda di ottenere informazioni su specifici strumenti di sicurezza delle informazioni direttamente dagli sviluppatori o produttori di tali strumenti e, se necessario, da organizzazioni specializzate che hanno condotto casi di studio di tali strumenti;

Perché questo non è un requisito per utilizzare CIPF certificato?

C'è un'ordinanza dell'FSB della Russia del 10 luglio 2014 n. 378, in cui la lettera "d" del paragrafo 5 recita: "l'uso di strumenti di sicurezza delle informazioni che hanno superato la procedura per valutare il rispetto dei requisiti della normativa della Federazione Russa nel campo della sicurezza delle informazioni, nel caso in cui l'uso di tali strumenti sia necessario per neutralizzare le minacce attuali."

Un po' confuso è questo "quando l'uso di tali mezzi è necessario per neutralizzare minacce reali". Ma tutta questa necessità dovrebbe essere descritta nel modello dell'intruso.

Ma anche in questo caso, sempre, nella sezione 3 delle "Raccomandazioni metodologiche..." del 2015, si indica che "Quando si utilizzano canali di comunicazione (linee) dai quali è impossibile intercettare le informazioni protette su di essi trasmesse e (o ) in cui non è possibile compiere azioni non autorizzate a tali informazioni, nella descrizione generale dei sistemi informativi è necessario indicare:
- descrizione delle modalità e dei mezzi per proteggere tali canali da accessi non autorizzati agli stessi;
- conclusioni basate sui risultati di studi sulla sicurezza di tali canali di comunicazione (linee) dall'accesso non autorizzato alle informazioni protette trasmesse attraverso di essi da un organismo abilitato a condurre tali studi, con riferimento al documento contenente le presenti conclusioni.

Sono tutto questo per cosa - sì, non è necessario utilizzare la protezione delle informazioni crittografiche sempre e ovunque garantendo la sicurezza del trattamento dei dati personali. Ma per questo è necessario formare un modello del trasgressore, dove tutto ciò sia descritto e dimostrato. Hai scritto di due casi in cui devi usarli. Ma il fatto che per garantire la sicurezza dell'elaborazione di PD su canali di comunicazione aperti, o se l'elaborazione di questi PD va oltre i confini della zona controllata, sia possibile utilizzare strumenti di protezione delle informazioni crittografiche non certificati, non è così semplice. E può succedere che sia più facile utilizzare strumenti di protezione delle informazioni crittografiche certificati e rispettare tutti i requisiti durante il loro funzionamento e conservazione piuttosto che utilizzare mezzi e testate non certificati con l'autorità di regolamentazione, che, vedendo una situazione del genere, si sforzerà molto di colpire Il suo naso.

commenti sconosciuti...

Il caso in cui l'uso di tali mezzi è necessario per neutralizzare le minacce attuali: il requisito dell'Ordine dell'FSTEC della Russia n. 17 dell'11 febbraio 2013 (requisiti per ISPD statali e municipali),

clausola 11. Per garantire la protezione delle informazioni contenute nel sistema informativo, vengono utilizzati strumenti di sicurezza delle informazioni che hanno superato la valutazione di conformità sotto forma di certificazione obbligatoria per la conformità ai requisiti di sicurezza delle informazioni ai sensi dell'articolo 5 legge federale del 27 dicembre 2002 n. 184-FZ "Sulla regolamentazione tecnica".

Alexey Lukatsky commenta...

Proximo: le raccomandazioni dell'FSB sono illegittime. L'ordinanza 378 è legittima, ma va considerata nel contesto di tutta la legislazione, e dice che le specificità della valutazione di conformità sono stabilite dal Governo o dal Presidente. Né l'uno né l'altro NPA di questo tipo non hanno rilasciato t

Alexey Lukatsky commenta...

Anton: nello stato l'obbligo di certificazione è stabilito per legge, il 17° ordine semplicemente lo ripete. E stiamo parlando di PDN

commenti sconosciuti...

Alexey Lukatsky: No. Le raccomandazioni dell'FSB sono illegittime "Quanto sono illegittime? Sto parlando del documento del 19/05/2015 n. %40fsbResearchart.html), ma non del documento del 21 febbraio 2008 n. 149/54- 144.

Anche un altro specialista ha precedentemente presentato una richiesta all'FSB su un argomento simile e gli è stato detto che la "Metodologia ..." e le "Raccomandazioni ..." dell'FSB del 2008 non dovrebbero essere utilizzate se si parla di questi documenti . Ma ancora una volta, questi documenti non sono stati ufficialmente cancellati. E questi documenti sono legittimi o meno, credo, saranno decisi dagli ispettori dell'FSB già in atto durante l'ispezione.

La legge dice che devi proteggere il PD. Gli statuti del governo, dell'FSB e dell'FSTEC determinano esattamente come devono essere protetti. L'NPA dell'FSB dice: "Usa certificato. Se non vuoi certificato, dimostra che puoi usarlo. E per favore, allega una conclusione a questo da un'azienda che ha una licenza per emettere tali conclusioni". Qualcosa come questo...

Alexey Lukatsky commenta...

1. Qualsiasi raccomandazione è una raccomandazione, non un requisito obbligatorio.
2. Il manuale del 2015 non ha nulla a che fare con gli operatori del PD - si applica agli stati che scrivono modelli di minaccia per le istituzioni subordinate (soggetto alla clausola 1).
3. L'FSB non ha il diritto di effettuare controlli sugli operatori commerciali di PD, e per i governi non vale il problema dell'utilizzo della protezione delle informazioni crittografiche non certificate - sono tenuti a utilizzare soluzioni certificate, indipendentemente dalla presenza di PD - questi sono i requisiti di FZ-149.
4. Lo statuto dice come proteggere e va bene. Ma non possono determinare la forma di valutazione dei rimedi - questo può essere fatto solo dall'NPA del governo o dal presidente. L'FSB non è autorizzato a farlo

commenti sconosciuti...

Secondo il regolamento 1119:

4. La scelta degli strumenti di sicurezza delle informazioni per il sistema di protezione dei dati personali è effettuata dall'operatore in conformità con gli atti normativi adottati dal Servizio federale di sicurezza della Federazione Russa e dal Servizio federale per il controllo tecnico e delle esportazioni ai sensi della Parte 4 dell'articolo 19 della legge federale "sui dati personali".
13.a. L'uso di strumenti di sicurezza delle informazioni che hanno superato la procedura per valutare la conformità ai requisiti della legislazione della Federazione Russa nel campo della sicurezza delle informazioni, nel caso in cui l'uso di tali strumenti sia necessario per neutralizzare le minacce attuali.

Come giustificare la non rilevanza della minaccia quando si trasmette PD attraverso i canali dell'operatore di telecomunicazioni?

Quelli. se non SKZI, allora a quanto pare
- accessi al terminale e thin client, ma allo stesso tempo dati del sistema di sicurezza informatica del terminale
l'accesso deve essere certificato.
- protezione dei canali da parte dell'operatore di telecomunicazioni, responsabilità dell'operatore di telecomunicazione (provider).

Alexey Lukatsky commenta...

L'irrilevanza è determinata dall'operatore e non ha bisogno di nessuno per questo

Iscrizione N 33620

Conformemente all'articolo 19, parte 4, della legge federale del 27 luglio 2006 N 152-FZ "Sui dati personali" 1 Ordino:

approvare l'allegato Ambito e contenuto delle misure organizzative e tecniche per garantire la sicurezza dei dati personali durante il loro trattamento nei sistemi informatici dei dati personali utilizzando strumenti di protezione delle informazioni crittografiche necessari per soddisfare i requisiti per la protezione dei dati personali stabiliti dal governo della Federazione Russa per ciascuno dei livelli di sicurezza.

Direttore A. Bortnikov

1 Raccolta della legislazione della Federazione Russa, 2006, N 31 (parte I), art. 3451; 2009, N 48, art. 5716; N 52 (parte I), art. 6439; 2010, N 27, art. 3407; N 31, art. 4173, art. 4196; n. 49, art. 6409; N 52 (parte I), art. 6974; 2011, N 23, art. 3263; N 31, art. 4701; 2013, N 14, art. 1651; N 30 (parte I), art. 4038.

Applicazione

La composizione e il contenuto delle misure organizzative e tecniche per garantire la sicurezza dei dati personali durante il loro trattamento nei sistemi informatici dei dati personali utilizzando strumenti di protezione delle informazioni crittografiche necessari per soddisfare i requisiti per la protezione dei dati personali stabiliti dal governo della Federazione Russa per ciascuno dei livelli di sicurezza

I. Disposizioni generali

1. Il presente documento definisce la composizione e il contenuto delle misure organizzative e tecniche per garantire la sicurezza dei dati personali durante il loro trattamento nei sistemi informatici dei dati personali (di seguito denominato sistema informativo) mediante strumenti crittografici di protezione delle informazioni (di seguito denominato CIPF) necessario per ottemperare a quelli stabiliti dal governo della Federazione Russa requisiti per la protezione dei dati personali per ciascuno dei livelli di sicurezza.

2. Il presente documento è destinato agli operatori che utilizzano CIPF per garantire la sicurezza dei dati personali durante il loro trattamento nei sistemi informativi.

3. L'applicazione delle misure organizzative e tecniche definite nel presente documento è fornita dall'operatore, tenendo conto dei requisiti dei documenti operativi per la protezione delle informazioni crittografiche utilizzati per garantire la sicurezza dei dati personali durante il loro trattamento nei sistemi informativi.

4. Il funzionamento del CIPF dovrebbe essere svolto in conformità con la documentazione per il CIPF e i requisiti stabiliti nel presente documento, nonché in conformità con altri atti normativi che regolano i rapporti nel settore pertinente.

II. Composizione e contenuto delle misure organizzative e tecniche necessarie per soddisfare i requisiti stabiliti dal governo della Federazione Russa alla protezione dei dati personali per 4 livelli di sicurezza

5. In conformità con l'articolo 13 dei Requisiti per la protezione dei dati personali durante il loro trattamento nei sistemi informatici dei dati personali approvato con decreto del governo della Federazione Russa del 1 novembre 2012 N1119 1 (di seguito denominato Requisiti per la protezione dei dati personali), per garantire il 4° livello di sicurezza dei dati personali durante il loro trattamento nei sistemi informativi, devono essere soddisfatti i seguenti requisiti:

a) organizzazione di un regime atto a garantire la sicurezza dei locali in cui è ubicato il sistema informativo, impedendo la possibilità di ingresso o soggiorno incontrollato in tali locali di persone che non hanno diritto di accesso a tali locali;

b) garantire la sicurezza dei supporti di dati personali;

c) approvazione da parte del responsabile dell'operatore di un documento che definisce l'elenco delle persone il cui accesso ai dati personali trattati nel sistema informativo è necessario per l'esercizio delle loro funzioni (lavorative);

d) utilizzo di strumenti di sicurezza delle informazioni che hanno superato la procedura di valutazione del rispetto dei requisiti della legislazione della Federazione Russa in materia di sicurezza delle informazioni, nel caso in cui l'uso di tali strumenti sia necessario per neutralizzare le minacce attuali.

6. Per adempiere al requisito di cui alla lettera "a" del paragrafo 5 del presente documento, è necessario prevedere un regime che impedisca la possibilità di ingresso o permanenza incontrollata nei locali in cui è ubicata la CIPF utilizzata, CIPF e (o) sono conservati portatori di chiavi, autenticazioni e password CIPF (di seguito - i Locali), soggetti che non hanno diritto di accesso ai Locali, che si realizza mediante:

a) dotare i Locali di porte di ingresso con serrature, assicurando che le porte dei Locali siano permanentemente chiuse e aperte solo per il passaggio autorizzato, nonché sigillare i Locali al termine della giornata lavorativa o dotare i Locali di adeguati dispositivi tecnici, segnalando l'apertura non autorizzata dei Locali;

b) approvazione delle regole per l'accesso ai Locali durante l'orario di lavoro e non, nonché in situazioni di emergenza;

c) approvazione dell'elenco degli aventi diritto all'accesso ai Locali.

7. Per adempiere al requisito di cui alla lettera "b" del paragrafo 5 del presente documento è necessario:

a) conservare supporti macchina estraibili di dati personali in casseforti (armadi metallici) dotate di serrature interne a due o più chiavi duplicate e dispositivi per la chiusura di serrature o serrature a combinazione. Se solo i dati personali sono archiviati su un supporto macchina rimovibile di dati personali in una forma crittografata utilizzando CIPF, è consentito archiviare tali supporti al di fuori delle casseforti (armadi metallici);

b) effettuare la contabilizzazione istanza per istanza dei supporti macchina dei dati personali, che si ottiene mantenendo un registro dei supporti dei dati personali mediante numeri di registrazione (di serie).

8. Per adempiere al requisito di cui alla lettera "c" del paragrafo 5 del presente documento è necessario:

a) elaborare e approvare un documento che definisca l'elenco delle persone il cui accesso ai dati personali trattati nel sistema informativo è necessario per l'esercizio delle loro funzioni (lavorative) d'ufficio;

b) mantenere aggiornato il documento che definisce l'elenco delle persone il cui accesso ai dati personali trattati nel sistema informativo è necessario per l'esercizio delle loro funzioni (lavorative).

9. Per adempiere al requisito specificato nella lettera "d" del paragrafo 5 del presente documento, è necessario che ciascuno dei livelli di protezione dei dati personali utilizzi strumenti crittografici di protezione delle informazioni di classe appropriata, che consentano di garantire la sicurezza dei dati personali quando si implementano azioni mirate utilizzando hardware e (o) strumenti software al fine di violare la sicurezza dei dati personali protetti dalla CIPF o creare le condizioni per ciò (di seguito denominato attacco), che si realizza mediante:

a) ottenere i dati iniziali per formare un insieme di ipotesi sulle possibilità che possono essere utilizzate per creare metodi, preparare e condurre attacchi;

b) formazione e approvazione da parte del capo dell'operatore di una serie di ipotesi sulle possibilità che possono essere utilizzate per creare metodi, preparare e condurre attacchi e determinare su questa base e tenendo conto del tipo di minacce effettive della classe richiesta della protezione delle informazioni crittografiche;

c) utilizzo per garantire il livello di sicurezza richiesto dei dati personali durante il loro trattamento nel sistema informatico CIPF di classe KS1 e superiori.

10. Il CIPF di classe KS1 viene utilizzato per neutralizzare gli attacchi, durante la creazione di metodi, la preparazione e l'esecuzione dei quali vengono utilizzate capacità tra le seguenti:

a) creare metodi, preparare ed eseguire attacchi senza coinvolgere specialisti nello sviluppo e nell'analisi della protezione delle informazioni crittografiche;

b) la creazione di metodi, la preparazione e l'esecuzione di attacchi nelle varie fasi ciclo vitale CIPF 2;

c) compiere un attacco all'esterno dello spazio entro il quale viene effettuato il controllo sulla permanenza e sull'azione di persone e (o) veicoli (di seguito denominata zona controllata) 3 ;

d) effettuare i seguenti attacchi nelle fasi di sviluppo (ammodernamento), produzione, stoccaggio, trasporto del CIPF e nella fase di messa in servizio del CIPF (lavori di messa in servizio):

introduzione modifiche non autorizzate nel CIPF e (o) nelle componenti di strumenti hardware e software, unitamente ai quali il CIPF funziona normalmente e in aggregato rappresentativo dell'ambiente per il funzionamento del CIPF (di seguito denominato SF), che possono incidere sull'adempimento dei requisiti per il CIPF, anche con l'uso di programmi dannosi;

introduzione di modifiche non autorizzate alla documentazione per CIPF e componenti del FS;

e) compiere attacchi in fase di operazione CIPF su:

dati personali;

informazioni su chiave, autenticazione e password del CIPF;

componenti software del CIPF;

componenti hardware del CIPF;

Componenti software SF, compreso il software BIOS;

componenti hardware SF;

dati trasmessi su canali di comunicazione;

altri oggetti che vengono stabiliti durante la formazione di una serie di proposte sulle opportunità che possono essere utilizzate per creare metodi, preparare e condurre attacchi, tenendo conto di quelli utilizzati nel sistema informativo Tecnologie informatiche, hardware (di seguito denominato AC) e Software(di seguito denominato software);

f) ottenere da fonti liberamente disponibili (comprese le reti informatiche e di telecomunicazione, il cui accesso non è limitato a una determinata cerchia di persone, compresa la rete di informazioni e telecomunicazioni di Internet) informazioni sul sistema informativo che utilizza il CIPF. In questo caso si possono ottenere le seguenti informazioni:

informazioni generali sul sistema informativo in cui viene utilizzato il CIPF (scopo, composizione, operatore, oggetti in cui si trovano le risorse del sistema informativo);

informazioni su tecnologie dell'informazione, banche dati, AS, software utilizzati nel sistema informativo insieme al CIPF, ad eccezione delle informazioni contenute solo nella documentazione progettuale per l'informatica, banche dati, AU, software utilizzati nel sistema informativo insieme al CIPF;

informazioni generali sulle informazioni protette utilizzate durante il funzionamento del CIPF;

informazioni sui canali di comunicazione attraverso i quali vengono trasmessi i dati personali protetti dal CIPF (di seguito denominato canale di comunicazione);

tutti i dati possibili trasmessi in modulo aperto attraverso canali di comunicazione non protetti dall'accesso non autorizzato alle informazioni da misure organizzative e tecniche;

informazioni su tutte le violazioni delle regole per il funzionamento di CIPF e SF che compaiono nei canali di comunicazione che non sono protetti dall'accesso non autorizzato alle informazioni da misure organizzative e tecniche;

informazioni su tutto ciò che si manifesta nei canali di comunicazione che non sono protetti dall'accesso non autorizzato alle informazioni da misure organizzative e tecniche, malfunzionamenti e guasti dei componenti hardware del CIPF e SF;

informazioni ottenute a seguito dell'analisi di eventuali segnali provenienti dai componenti hardware del CIPF e SF;

g) domanda:

disponibile gratuitamente o utilizzato al di fuori dell'area controllata AS e software, inclusi componenti hardware e software di CIPF e SF;

AS e software appositamente progettati;

h) utilizzare nella fase dell'operazione come mezzo per trasferire dal soggetto all'oggetto (dall'oggetto al soggetto) dell'attacco le azioni compiute durante la preparazione e (o) lo svolgimento dell'attacco:

canali di comunicazione non protetti dall'accesso non autorizzato alle informazioni da misure organizzative e tecniche;

canali di distribuzione dei segnali che accompagnano il funzionamento del CIPF e del SF;

i) effettuare un attacco in fase di operazione da reti informatiche e di telecomunicazione, il cui accesso non è limitato a una determinata cerchia di persone, se a tali reti hanno accesso i sistemi informativi che utilizzano il CIPF;

j) utilizzo in fase di esercizio di AS e di software ubicati al di fuori dell'area controllata dalla composizione degli strumenti del sistema informativo utilizzati presso le sedi operative del CIPF (di seguito strumenti standard).

11. Il CIPF di classe KS2 viene utilizzato per neutralizzare gli attacchi, nella creazione di metodi, nella preparazione e nell'esecuzione dei quali, vengono utilizzate le possibilità tra quelle elencate nella clausola 10 del presente documento e almeno una delle seguenti funzionalità aggiuntive:

a) compiere un attacco mentre si trova all'interno della zona controllata;

b) compiere attacchi in fase di operazione CIPF sui seguenti oggetti:

documentazione per i componenti CIPF e SF.

Locali in cui è presente un insieme di software ed elementi tecnici di sistemi informatici in grado di funzionare autonomamente o nell'ambito di altri sistemi (di seguito - SVT), sui quali sono implementati CIPF e SF;

c) ottenere, nell'ambito dei poteri conferiti, nonché a seguito di osservazioni, le seguenti informazioni:

informazioni sulle misure di protezione fisica degli oggetti in cui si trovano le risorse del sistema informativo;

informazioni sulle misure per garantire un'area controllata degli oggetti in cui si trovano le risorse del sistema informativo;

informazioni sulle misure di limitazione dell'accesso ai Locali in cui sono ubicate le apparecchiature informatiche, su cui sono attuati il ​​CIPF e il SF;

d) uso fondi regolari limitato da misure implementate nel sistema informativo che utilizza CIPF e volte a prevenire e reprimere azioni non autorizzate.

12. Il CIPF di classe KS3 è utilizzato per neutralizzare gli attacchi, nella creazione di metodi, nella preparazione e nell'esecuzione dei quali, si utilizzano le possibilità tra quelle elencate nei paragrafi 10 e 11 del presente documento e almeno una delle seguenti ulteriori caratteristiche:

a) accesso fisico a SVT, su cui sono implementati CIPF e SF;

b) la possibilità di disporre di componenti hardware di CIPF e SF, limitata da misure implementate nel sistema informativo che utilizza CIPF e volte a prevenire e reprimere azioni non autorizzate.

13. Il CIPF di classe KB è utilizzato per neutralizzare gli attacchi, nella creazione di metodi, nella preparazione e nell'esecuzione dei quali, si utilizzano le possibilità tra quelle elencate nei paragrafi 10 - 12 del presente documento e almeno una delle seguenti ulteriori caratteristiche:

a) creazione di metodi, preparazione ed esecuzione di attacchi con il coinvolgimento di specialisti nel campo dell'analisi del segnale che accompagna l'operazione del CIPF e SF e nel campo dell'utilizzo di capacità non documentate (non dichiarate) del software applicativo per implementare gli attacchi;

b) detenzione ricerca di laboratorio CIPF utilizzato al di fuori dell'area controllata, limitato da misure implementate nel sistema informativo in cui la CIPF è utilizzata e volte a prevenire e reprimere azioni non autorizzate;

c) svolgere attività di creazione di metodi e mezzi di attacco nei centri di ricerca specializzati nello sviluppo e nell'analisi di strumenti di protezione delle informazioni crittografiche e SF, anche utilizzando il codice sorgente del software applicativo incluso nel SF, utilizzando direttamente i bandi al Funzioni del software CIPF.

14. I CIPF della classe KA sono utilizzati per neutralizzare gli attacchi, nella creazione di metodi, nella preparazione e nell'esecuzione dei quali, si utilizzano le possibilità tra quelle elencate nei paragrafi 10 - 13 del presente documento e almeno una delle seguenti caratteristiche aggiuntive:

a) creare metodi, preparare ed eseguire attacchi con il coinvolgimento di specialisti nel campo dell'utilizzo di capacità non documentate (non dichiarate) del software di sistema per implementare gli attacchi;

b) la capacità di disporre delle informazioni contenute nella documentazione progettuale per le componenti hardware e software della SF;

c) la possibilità di disporre di tutte le componenti hardware del CIPF e del SF.

15. Nel processo di formazione di una serie di ipotesi sulle possibilità che possono essere utilizzate per creare metodi, preparare e condurre attacchi, caratteristiche aggiuntive, non compresi tra quelli elencati nei paragrafi 10 - 14 del presente documento, non pregiudicano la procedura per la determinazione della classe richiesta di CIPF.

III. Composizione e contenuto delle misure organizzative e tecniche necessarie per soddisfare i requisiti stabiliti dal governo della Federazione Russa alla protezione dei dati personali per il livello di sicurezza 3

16. Ai sensi del paragrafo 14 dei Requisiti in materia di protezione dei dati personali, al fine di garantire il 3° livello di protezione dei dati personali durante il loro trattamento nei sistemi informatici, oltre a soddisfare i requisiti previsti dal paragrafo 5 del presente documento , è necessario adempiere all'obbligo di nominare un funzionario (dipendente) incaricato di garantire la sicurezza dei dati personali nel sistema informativo.

17. Per adempiere all'obbligo di cui al paragrafo 16 del presente documento, è necessario nominare un responsabile operatore (dipendente) dotato di competenze sufficienti a garantire la sicurezza dei dati personali nel sistema informativo.

18. Per adempiere al requisito di cui alla lettera "d" del paragrafo 5 del presente documento, in luogo della misura prevista dalla lettera "c" del paragrafo 9 del presente documento, è necessario utilizzare per garantire il livello richiesto di protezione dei dati personali durante il loro trattamento nel sistema informativo:

IV. Composizione e contenuto delle misure organizzative e tecniche necessarie per soddisfare i requisiti stabiliti dal governo della Federazione Russa alla protezione dei dati personali per il livello di sicurezza 2

19. Ai sensi del comma 15 dei Requisiti in materia di protezione dei dati personali, al fine di garantire il 2° livello di protezione dei dati personali durante il loro trattamento nei sistemi informatici, oltre a soddisfare i requisiti previsti dai commi 5 e 16 del questo documento, è necessario per soddisfare il requisito che l'accesso al contenuto del registro dei messaggi elettronici fosse possibile solo per i funzionari (dipendenti) dell'operatore o una persona autorizzata che ha bisogno delle informazioni contenute nel registro specificato per svolgere il proprio ufficio (lavoro ) doveri.

20. Per adempiere al requisito di cui al paragrafo 19 del presente documento è necessario:

a) approvazione da parte del responsabile dell'operatore dell'elenco delle persone ammesse al contenuto del registro dei messaggi elettronici, e mantenimento dell'aggiornamento dell'elenco specificato;

b) fornire al sistema informativo mezzi automatizzati che registrano le richieste degli utenti del sistema informativo di ottenere dati personali, nonché il fatto di fornire dati personali su tali richieste nel registro della messaggistica elettronica;

c) dotare il sistema informativo di mezzi automatizzati che escludono l'accesso al contenuto del registro della messaggistica elettronica di persone non indicate nell'elenco delle persone autorizzate dal responsabile dell'operatore che sono ammesse al contenuto del registro della messaggistica elettronica;

d) assicurare il monitoraggio periodico delle prestazioni dei mezzi automatizzati di cui alle lettere “b” e “c” del presente paragrafo (almeno semestralmente).

21. Per adempiere al requisito specificato nella lettera "d" del paragrafo 5 del presente documento, in luogo delle misure previste nella lettera "c" del paragrafo 9 e nel paragrafo 18 del presente documento, è necessario utilizzare per garantire il livello richiesto di protezione dei dati personali durante il loro trattamento nel sistema informativo:

CIPF classe KB e superiore nei casi in cui le minacce di tipo 2 sono rilevanti per il sistema informativo;

Classe CIPF KS1 e superiore nei casi in cui le minacce di tipo 3 sono rilevanti per il sistema informativo.

V. Composizione e contenuto delle misure organizzative e tecniche necessarie per soddisfare i requisiti stabiliti dal governo della Federazione Russa alla protezione dei dati personali per 1 livello di sicurezza

22. Ai sensi del comma 16 dei Requisiti in materia di protezione dei dati personali, al fine di garantire il 1° livello di protezione dei dati personali durante il loro trattamento nei sistemi informatici, oltre a soddisfare i requisiti previsti dai commi 5, 16 e 19 del presente documento, devono essere soddisfatti i seguenti requisiti:

a) registrazione automatica nel registro elettronico di sicurezza della variazione della facoltà del dipendente dell'operatore di accedere ai dati personali contenuti nel sistema informativo;

b) la creazione di un'unità strutturale separata preposta a garantire la sicurezza dei dati personali nel sistema informativo, o l'assegnazione delle sue funzioni a una delle unità strutturali esistenti.

23. Per adempiere al requisito di cui alla lettera "a" del paragrafo 22 del presente documento, è necessario:

a) dotare il sistema informativo di mezzi automatizzati che consentano la registrazione automatica nel registro elettronico di sicurezza delle variazioni della facoltà del dipendente dell'operatore di accedere ai dati personali contenuti nel sistema informativo;

b) la riflessione nel registro elettronico di sicurezza della facoltà dei dipendenti del gestore dei dati personali di accedere ai dati personali contenuti nel sistema informativo. Tali poteri devono essere conformi doveri ufficiali dipendenti dell'operatore;

c) nomina da parte dell'operatore di un soggetto incaricato di monitorare periodicamente la manutenzione di un registro elettronico di sicurezza e l'osservanza delle autorità dei dipendenti dell'operatore in esso riflesse con i loro doveri d'ufficio (almeno una volta al mese).

24. Per adempiere al requisito di cui alla lettera "b" del paragrafo 22 del presente documento, è necessario:

a) analizzare la fattibilità della creazione di un'unità strutturale separata incaricata di garantire la sicurezza dei dati personali nel sistema informativo;

b) creare un'unità strutturale separata responsabile di garantire la sicurezza dei dati personali nel sistema informativo, o attribuire le sue funzioni a una delle unità strutturali esistenti.

25. Per adempiere al requisito di cui alla lettera "a" del paragrafo 5 del presente documento, al fine di garantire il 1° livello di sicurezza, è necessario:

a) dotare le finestre dei Locali poste al primo e (o) ultimo piano degli edifici, nonché le finestre dei Locali poste in prossimità di scale antincendio e altri luoghi da cui le persone non autorizzate possono accedere ai Locali, di sbarre o persiane metalliche , allarme antifurto o altri mezzi che impediscano l'ingresso incontrollato di persone non autorizzate nei locali;

b) dotare le finestre e le porte dei Locali ove sono ubicati i server dei sistemi informativi di sbarre metalliche, impianti antifurto o altri mezzi atti ad impedire l'ingresso incontrollato di persone non autorizzate nei locali.

26. Per adempiere al requisito di cui alla lettera "d" del paragrafo 5 del presente documento, in luogo delle misure previste dalla lettera "c" del paragrafo 9, commi 18 e 21 del presente documento, è necessario utilizzare per garantire la livello richiesto di protezione dei dati personali durante il loro trattamento nel sistema informativo:

CIPF della classe KA nei casi in cui le minacce di tipo 1 sono rilevanti per il sistema informativo;

CIPF di classe KB e superiore nei casi in cui le minacce di tipo 2 sono rilevanti per il sistema informativo.

1 Raccolta di leggi della Federazione Russa, 2012, N 45, 6257.

2 Le fasi del ciclo di vita del CIPF comprendono lo sviluppo (modernizzazione) di questi strumenti, la loro produzione, immagazzinamento, trasporto, messa in servizio (messa in servizio), funzionamento.

3 Il confine della zona controllata può essere il perimetro del territorio protetto dell'impresa (ente), le strutture di recinzione dell'edificio protetto, la parte protetta dell'edificio, i locali assegnati.

I principali compiti di protezione delle informazioni durante la loro conservazione, elaborazione e trasmissione attraverso i canali di comunicazione e su vari supporti, risolti con l'ausilio del CIPF, sono: 1.

Garantire la segretezza (riservatezza) delle informazioni. 2.

Garantire l'integrità delle informazioni. 3.

Autenticazione delle informazioni (documenti). Per risolvere questi problemi, è necessario implementare quanto segue

processi: 1.

Implementazione delle effettive funzioni di sicurezza delle informazioni, tra cui:

crittografia/decrittografia; creazione/verifica di EDS; creazione/test di inserti fittizi. 2.

Monitoraggio dello stato e gestione del funzionamento dei mezzi di KPI (nel sistema):

controllo dello stato: rilevazione e registrazione di casi di violazione dell'operatività dei mezzi di KPI, tentativi di accesso non autorizzato, casi di compromissione di chiavi;

gestione dell'operazione: adozione di misure in caso di scostamenti elencati rispetto al normale funzionamento dei mezzi KPI. 3.

Esecuzione della manutenzione degli impianti KZI: implementazione della gestione delle chiavi;

esecuzione di procedure relative alla connessione di nuovi abbonati alla rete e/o all'esclusione degli abbonati in pensione; eliminazione delle carenze individuate del CIPF; messa in servizio di nuove versioni del software CIPF;

ammodernamento e sostituzione mezzi tecnici CIPF per più avanzati e/o sostituzione di fondi la cui risorsa è stata esaurita.

La gestione delle chiavi è una delle funzioni più importanti della protezione delle informazioni crittografiche e consiste nell'implementazione delle seguenti funzioni principali:

generazione di chiavi: definisce un meccanismo per generare chiavi o coppie di chiavi con garanzia delle loro qualità crittografiche;

distribuzione delle chiavi: definisce il meccanismo mediante il quale le chiavi vengono consegnate agli abbonati in modo affidabile e sicuro;

conservazione delle chiavi: definisce il meccanismo mediante il quale le chiavi vengono conservate in modo sicuro e protetto per un uso futuro;

key recovery: definisce il meccanismo di recupero di una delle chiavi (sostituzione con una nuova chiave);

distruzione delle chiavi: definisce il meccanismo mediante il quale le chiavi obsolete vengono distrutte in modo sicuro;

archivio chiavi: un meccanismo mediante il quale le chiavi possono essere archiviate in modo sicuro per il successivo recupero autenticato in situazioni di conflitto.

In generale, per l'implementazione delle funzioni elencate di protezione delle informazioni crittografiche, è necessario creare un sistema di protezione delle informazioni crittografiche che combini i mezzi effettivi di CSI, personale di manutenzione, locali, apparecchiature per ufficio, documentazione varia (tecnica, normativa), eccetera.

Come già evidenziato, per ottenere garanzie di protezione delle informazioni è necessario utilizzare mezzi certificati di KPI.

Attualmente, il problema più grave è la protezione informazioni confidenziali. Per risolvere questo problema, sotto gli auspici di FAPSI, è stato sviluppato un set funzionalmente completo di protezione crittografica delle informazioni riservate, che consente di risolvere i compiti elencati di protezione delle informazioni per un'ampia varietà di applicazioni e condizioni d'uso.

Questo complesso si basa sui nuclei crittografici "Verba" (sistema di chiavi asimmetriche) e "Verba-O" (sistema di chiavi simmetriche). Questi cryptocore forniscono procedure di crittografia dei dati in conformità con i requisiti di GOST 28147-89 "Sistemi di elaborazione delle informazioni.

Protezione crittografica" e firma digitale in conformità con i requisiti di GOST R34.10-94 "Tecnologia dell'informazione. Protezione crittografica delle informazioni. Procedure per lo sviluppo e la verifica di una firma digitale elettronica basata su un algoritmo crittografico asimmetrico".

I fondi inclusi nel complesso CIPF consentono di proteggere documenti elettronici e flussi informativi utilizzando meccanismi di crittografia certificati e firma elettronica praticamente in tutte le moderne tecnologie informatiche, tra cui consentono di effettuare: l'uso del CIPF in modalità offline;

scambio sicuro di informazioni in modalità offline; scambio sicuro di informazioni in modalità on-line; protetto eterogeneo, cioè scambio misto di informazioni.

Per soluzioni questioni sistemiche l'uso di CIPF sotto la guida di D. A. Starovoitov, è stata sviluppata la tecnologia di protezione crittografica complessa delle informazioni "Vityaz", che prevede la protezione crittografica dei dati in tutte le parti del sistema contemporaneamente: non solo nei canali di comunicazione e nei nodi di sistema, ma anche direttamente nei luoghi di lavoro degli utenti nel processo di creazione di un documento quando il documento stesso è protetto. Inoltre, nel quadro tecnologia comune"Vityaz" fornisce un semplificato, facile a disposizione degli utenti la tecnologia di incorporare CIPF con licenza in vari sistemi applicativi, che rende molto ampio il campo di utilizzo di questi CIPF.

Di seguito una descrizione dei mezzi e dei metodi di protezione per ciascuna delle modalità elencate.

Utilizzo del CIPF offline.

Lavorando in autonomia con CIPF, possono essere implementati i seguenti tipi di protezione delle informazioni crittografiche: creazione di un documento protetto; protezione dei file;

creazione di un protetto file system; creazione di un protetto unità logica. Su richiesta dell'utente, possono essere implementati i seguenti tipi di protezione crittografica dei documenti (file):

crittografia di un documento (file), che ne renda inaccessibile il contenuto sia durante la conservazione di un documento (file) sia quando viene trasmesso attraverso i canali di comunicazione o tramite corriere;

sviluppo di un imitatore di inserti, che fornisce il controllo sull'integrità del documento (file);

la formazione di un EDS, che assicura il controllo dell'integrità del documento (fascicolo) e l'autenticazione della persona che ha firmato il documento (fascicolo).

Di conseguenza, il documento protetto (file) si trasforma in un file crittografato contenente, se necessario, un EDS. La firma digitale, a seconda dell'organizzazione del processo di elaborazione delle informazioni, può essere rappresentata anche da un file separato dal documento firmato. Inoltre, questo file può essere emesso su un floppy disk o altro supporto, per la consegna tramite corriere, o inviato tramite qualsiasi disponibile e-mail, ad esempio su Internet.

Di conseguenza, al ricevimento del file crittografato via e-mail o su un particolare supporto, le azioni eseguite per la protezione crittografica vengono eseguite in ordine inverso(decifratura, verifica inserimento imitazione, verifica firma digitale).

Per l'attuazione durata della batteria I seguenti mezzi certificati possono essere utilizzati con CIPF:

editor di testo "Lexicon-Verba", implementato sulla base del CIPF "Verba-O" e del CIPF "Verba";

complesso software CIPF "Autonomo posto di lavoro", implementato sulla base del CIPF "Verba" e "Verba-O" per Windows 95/98/NT;

driver del disco crittografico PTS "DiskGuard".

Protetto elaboratore di testi"Lexicon-Verba".

Il sistema Lexicon-Verba è un editor di testo completo con supporto per la crittografia dei documenti e la firma digitale elettronica. Per la protezione dei documenti utilizza i sistemi crittografici Verba e Verba-O. L'unicità di questo prodotto sta nel fatto che le funzioni di crittografia e firma del testo sono semplicemente incluse nelle funzioni di un moderno editor di testo. La crittografia e la firma del documento in questo caso si trasforma da processi speciali in semplici azioni standard quando si lavora con un documento.

Allo stesso tempo, il sistema Lexicon-Verba si presenta come un normale editor di testo. Le opzioni di formattazione del testo includono personalizzazione completa caratteri e paragrafi del documento; tabelle ed elenchi; piè di pagina, note a piè di pagina, barre laterali; l'uso di stili e molte altre funzionalità di un editor di testo che soddisfa i requisiti moderni. "Lexicon-Verba" consente di creare e modificare documenti nei formati Lexicon, RTF, MS Word 6/95/97, MS Write.

Luogo di lavoro autonomo.

Il CIPF "Autonomous Workplace" è implementato sulla base del CIPF "Verba" e "Verba-O" per Windows 95/98/NT e consente all'utente di svolgere le seguenti funzioni in modalità interattiva:

crittografia / decrittografia di file su chiavi; crittografia / decrittografia di file con password; apposizione/rimozione/verifica delle firme digitali elettroniche (EDS) negli archivi;

controllo dei file crittografati;

apposizione EDS + crittografia (in un'azione) dei file; decrittazione + rimozione di EDS (in un'azione) sotto i file;

calcolo del file hash.

CIPF "Posto di lavoro autonomo" è consigliabile da utilizzare per il lavoro quotidiano dei dipendenti che devono fornire:

trasferimento di informazioni riservate a in formato elettronico a mano o corriere;

invio di informazioni riservate su una rete pubblica, compreso Internet;

protezione contro l'accesso non autorizzato a informazioni riservate su computer personale dipendenti.

I requisiti per la sicurezza delle informazioni nella progettazione dei sistemi informativi indicano le caratteristiche che caratterizzano i mezzi di protezione delle informazioni utilizzati. Sono definiti da vari atti delle autorità di regolamentazione nel campo della fornitura informazioni di sicurezza, in particolare - l'FSTEC e l'FSB della Russia. Quali classi di sicurezza esistono, tipi e tipi di strumenti di protezione, nonché dove saperne di più su questo, si riflette nell'articolo.

introduzione

Oggi, le questioni relative alla sicurezza delle informazioni sono oggetto di grande attenzione, poiché le tecnologie introdotte ovunque senza sicurezza delle informazioni stanno diventando fonte di nuovi gravi problemi.

L'FSB della Russia riferisce sulla gravità della situazione: l'ammontare dei danni causati dai criminali informatici in diversi anni in tutto il mondo variava da 300 miliardi di dollari a 1 trilione di dollari. Secondo le informazioni fornite dal procuratore generale della Federazione Russa, solo nella prima metà del 2017 in Russia il numero di reati nel campo della alta tecnologia aumentato di sei volte, l'importo totale dei danni ha superato i $ 18 milioni.Un aumento degli attacchi mirati nel settore industriale nel 2017 è stato notato in tutto il mondo. In particolare, in Russia, l'aumento del numero di attentati rispetto al 2016 è stato del 22%.

Le tecnologie dell'informazione iniziarono ad essere utilizzate come arma per scopi militari-politici, terroristici, per interferire negli affari interni degli stati sovrani e per commettere altri crimini. La Federazione Russa rappresenta la creazione di un sistema internazionale di sicurezza delle informazioni.

Sul territorio della Federazione Russa, i proprietari delle informazioni e gli operatori dei sistemi informativi sono tenuti a bloccare i tentativi di accesso non autorizzato alle informazioni, nonché a monitorare costantemente lo stato di sicurezza dell'infrastruttura IT. Allo stesso tempo, la protezione delle informazioni è assicurata attraverso l'adozione di diverse misure, anche tecniche.

Gli strumenti per la sicurezza delle informazioni, o strumenti per la sicurezza delle informazioni, forniscono protezione delle informazioni nei sistemi informativi, che in sostanza sono una combinazione di informazioni archiviate in database, tecnologie informatiche che ne garantiscono l'elaborazione e mezzi tecnici.

I moderni sistemi informativi sono caratterizzati dall'utilizzo di diverse piattaforme hardware e software, dalla distribuzione territoriale dei componenti, nonché dall'interazione con reti di trasmissione dati aperte.

Come proteggere le informazioni in tali condizioni? I requisiti pertinenti sono stabiliti da organismi autorizzati, in particolare FSTEC e FSB della Russia. Nell'ambito dell'articolo, cercheremo di riflettere i principali approcci alla classificazione delle strutture di sicurezza delle informazioni, tenendo conto dei requisiti di tali autorità di regolamentazione. Altri modi per descrivere la classificazione delle strutture di sicurezza delle informazioni, che si riflettono nei documenti normativi dei dipartimenti russi, nonché di organizzazioni e agenzie straniere, esulano dallo scopo di questo articolo e non vengono ulteriormente considerati.

L'articolo può essere utile ai principianti nel campo della sicurezza delle informazioni come fonte di informazioni strutturate sui metodi di classificazione delle informazioni sulla sicurezza delle informazioni in base ai requisiti dell'FSTEC della Russia (in misura maggiore) e, in breve, dell'FSB della Russia .

La struttura che determina la procedura e coordina le azioni per fornire metodi non crittografici di sicurezza delle informazioni è l'FSTEC della Russia (ex Commissione tecnica statale sotto il presidente della Federazione Russa, Commissione tecnica statale).

Se il lettore ha dovuto vedere il registro statale degli strumenti di sicurezza delle informazioni certificati, che è formato dall'FSTEC della Russia, ha sicuramente prestato attenzione alla presenza nella parte descrittiva dello scopo della struttura di sicurezza delle informazioni di frasi come "classe RD SVT”, “livello di assenza di NDV”, ecc. (Figura 1) .

Figura 1. Un frammento del registro delle strutture certificate per la sicurezza delle informazioni

Classificazione dei mezzi crittografici di protezione delle informazioni

L'FSB della Russia definisce le seguenti classi di strumenti per la sicurezza delle informazioni crittografiche: KS1, KS2, KS3, KB e KA.

Le caratteristiche principali della classe SZI KS1 includono la loro capacità di resistere ad attacchi effettuati dall'esterno della zona controllata. Ciò implica che la creazione di metodi di attacco, la loro preparazione e implementazione avvenga senza la partecipazione di specialisti nello sviluppo e nell'analisi di strutture di sicurezza delle informazioni crittografiche. Si presume che le informazioni sul sistema in cui vengono utilizzati questi strumenti di sicurezza delle informazioni possano essere ottenute da fonti aperte.

Se un IPS crittografico è in grado di resistere ad attacchi bloccati mediante la classe CS1, nonché effettuati all'interno di una zona controllata, tale IPS corrisponde alla classe CS2. Allo stesso tempo, si presume, ad esempio, che durante la preparazione di un attacco possano essere disponibili informazioni sulle misure fisiche per la protezione dei sistemi informativi, la fornitura di una zona controllata, ecc.

Se è possibile resistere agli attacchi in presenza di accesso fisico alle apparecchiature informatiche con strumenti di sicurezza delle informazioni crittografiche installati, affermano che tali strumenti corrispondono alla classe CS3.

Se il sistema di sicurezza delle informazioni crittografiche resiste agli attacchi, la cui creazione ha coinvolto specialisti nello sviluppo e nell'analisi di questi strumenti, compresi i centri di ricerca, è stato possibile condurre studi di laboratorio sugli strumenti di protezione, allora noi stiamo parlando sul rispetto della classe HF.

Se specialisti nel campo dell'utilizzo di NDV del software di sistema sono stati coinvolti nello sviluppo di metodi di attacco, la documentazione di progettazione corrispondente era disponibile e c'era accesso a qualsiasi componente hardware delle strutture di sicurezza delle informazioni crittografiche, la protezione contro tali attacchi può essere fornita per mezzo della classe KA.

Classificazione dei mezzi di protezione della firma elettronica

I mezzi di firma elettronica, a seconda della capacità di resistere agli attacchi, vengono solitamente confrontati con le seguenti classi: KS1, KS2, KS3, KB1, KB2 e KA1. Questa classificazione è simile a quella discussa sopra in relazione agli IPS crittografici.

conclusioni

L'articolo ha preso in considerazione alcuni metodi per classificare la sicurezza delle informazioni in Russia, che si basano sul quadro normativo delle autorità di regolamentazione nel campo della protezione delle informazioni. Le opzioni di classificazione considerate non sono esaustive. Tuttavia, ci auguriamo che le informazioni di riepilogo presentate consentano a uno specialista alle prime armi nel campo della sicurezza delle informazioni di navigare rapidamente.