Las herramientas de protección de información criptográfica se utilizan para proteger información personal o secreta transmitida a través de líneas de comunicación. Para mantener la confidencialidad de los datos, se recomienda someterse a autorización, autenticar a las partes mediante los protocolos TLS, IPSec y garantizar la seguridad de la firma electrónica y del propio canal de comunicación.

ISBC ofrece soluciones de marca efectivas con respecto al uso de instalaciones de almacenamiento seguras para información importante, firma electrónica, protección de acceso al utilizar sistemas de control. Las organizaciones gubernamentales más grandes cooperan con nosotros, incluido el Servicio Federal de Impuestos de Rusia, los principales fabricantes de herramientas y desarrolladores de seguridad de la información criptográfica. software, centros de certificación que operan en diferentes regiones de Rusia.

CIPF: tipos, aplicación

Cuando se utiliza CIPF, se utilizan los siguientes métodos:

1. Autorización de los datos, garantizando la protección criptográfica de su significado jurídico durante su transmisión y almacenamiento. Para ello se utilizan algoritmos que generan una clave electrónica y la verifican de acuerdo con la normativa especificada.
2. Protección criptográfica de información personal o secreta, control sobre su integridad. Aplicación de cifrado asimétrico, protección contra imitación (eliminación de la posibilidad de sustitución de datos).
3. Protección criptográfica del software de aplicaciones y sistemas. Garantizar el control sobre cambios no autorizados y funcionamiento incorrecto.
4. Gestión de los principales elementos del sistema de acuerdo con la normativa establecida.
5. Autenticación de partes que intercambian datos.
6. Protección criptográfica de la transmisión de información mediante el protocolo TLS.
7. Uso de protección criptográfica para conexiones IP mediante ESP, IKE, AH.

En los documentos pertinentes se incluye una descripción completa del uso de medios de protección de información criptográfica.

Soluciones CIPF

En el proceso de asegurar seguridad de información CIPF utiliza los siguientes métodos:

1. La autenticación en las aplicaciones se realiza gracias al Blitz Identity Provider. El servidor de autenticación permite, mediante un único cuenta, administra recursos conectados de cualquier tipo (nativos, web, aplicaciones de escritorio), proporciona autenticación estricta de los usuarios mediante un token o una tarjeta inteligente.
2. En el momento de establecer la comunicación, se asegura la identificación de las partes gracias a una firma electrónica. Inter-PRO proporciona capacidades de control, edición y protección del tráfico HTTP firma digital en línea.
3. Las herramientas de protección criptográfica utilizadas para la confidencialidad del flujo de documentos digitales también utilizan una firma electrónica. Trabajar con llave electrónica El complemento Blitz Smart Card se utiliza en el formato de aplicación web.
4. El uso de medios de seguridad criptográfica elimina la introducción de dispositivos integrados y malware, así como la modificación del sistema.

clasificación CIPF

Herramientas utilizadas para la protección criptográfica de información abierta en diferentes sistemas Proporcionar confidencialidad en redes abiertas tiene como objetivo proteger la integridad de los datos. Es importante que el uso de este tipo de herramientas para almacenar secretos de estado esté prohibido por ley, pero es bastante adecuado para garantizar la seguridad de la información personal.

Los medios utilizados para la protección de la información criptográfica se clasifican según la probable amenaza y una evaluación del método probable de piratería del sistema. Dependen de la presencia de capacidades no documentadas o del incumplimiento de las características declaradas, que pueden contener:

1. software del sistema;
2. Software de la aplicacion;
3. Otras desventajas del medio de almacenamiento.

La protección del software está representada por un conjunto de soluciones diseñadas para cifrar mensajes ubicados en varios medios de almacenamiento. Estos medios de almacenamiento pueden ser tarjetas de memoria, unidades flash o discos duros. El más simple de ellos se puede encontrar en el dominio público. La protección criptográfica de software incluye redes virtuales diseñadas para intercambiar mensajes que operan "en la parte superior de Internet", por ejemplo, VPN, extensiones que tienen protocolo HTTP, que admite extensiones para HTTPS, cifrado SSL. Los protocolos utilizados para intercambiar información se utilizan para crear aplicaciones de Internet en telefonía IP.

El software de protección criptográfica es conveniente de usar en computadoras domésticas, para navegar por Internet y en otras áreas donde no se exigen mucho la funcionalidad y confiabilidad del sistema. O, como cuando se utiliza Internet, es necesario crear una gran cantidad de conexiones seguras diferentes.

Sistemas de protección criptográfica hardware

Los medios de protección criptográfica de hardware son dispositivos físicos asociados con un sistema de transmisión de datos que proporcionan cifrado, registro y transmisión de información. Los dispositivos pueden ser dispositivos personales o parecerse a:

• Encriptadores USB, unidades flash.

Con estos dispositivos se pueden construir redes informáticas perfectamente seguras.

Las herramientas de protección criptográfica de hardware son fáciles de instalar y proporcionan una alta tasa de respuesta. La información necesaria para proporcionar un alto nivel de protección criptográfica se encuentra en la memoria del dispositivo. Puede leerse con contacto o sin contacto.

Al utilizar CIPF producido bajo la marca ESMART, recibirá tecnologías efectivas que brindan protección criptográfica efectiva en línea o fuera de línea, autenticación de usuario mediante tokens, tarjetas inteligentes o datos biométricos. Combinación de métodos de hardware con soluciones de software le permite aprovechar al máximo nivel alto protección con poco tiempo y esfuerzo en el proceso de intercambio de información.

Una característica importante de la línea de productos de protección criptográfica ESMART® es la presencia de un producto único, basado en el chip doméstico MIK 51 de Mikron PJSC, con el que se pueden resolver eficazmente muchos problemas relacionados con la seguridad y la protección de datos. . Es un CIPF con soporte de hardware para algoritmos criptográficos GOST rusos basados ​​en un chip nacional.

CIPF ESMART® Token GOST se emite en forma de tarjetas inteligentes y tokens. El desarrollo de la empresa ESMART está certificado por el FSB de Rusia en las clases KS1/KS2/KS3. El certificado No. SF/124-3668 certifica que el token CIPF ESMART GOST cumple con los requisitos del FSB de Rusia para los medios de cifrado (criptográficos) de clase KS1/KS2/KS3, los requisitos para los medios de firma electrónica aprobados por la Orden del FSB No. 796 y puede utilizarse para la protección de información criptográfica, sin contener información que constituya un secreto de estado. El Aviso ABPN.1-2018 permite el uso de GOST R 34.10-2001 en el token ESMART GOST CIPF durante el período de validez del certificado debido al aplazamiento de la transición a GOST R 34.10-2012 hasta el 1 de enero de 2020. Además, ESMART® Token GOST se puede utilizar para generar claves, generar y verificar firmas electrónicas, autenticación estricta de usuarios multifactor, etc.

La empresa ESMART ofrece comprar CIPF moderno en los mejores precios Desde el fabricante. Nuestro centro de investigación y desarrollo de ingeniería y nuestra producción se encuentran en Zelenograd. uso de chips producción rusa nos permite ofrecer los mejores y más competitivos precios en herramientas de protección de información criptográfica para proyectos gubernamentales, empresas y organizaciones.

Las herramientas de protección de información criptográfica, o CIPF, se utilizan para garantizar una protección integral de los datos transmitidos a través de líneas de comunicación. Para ello, es necesario garantizar la autorización y protección de la firma electrónica, la autenticación de los comunicantes mediante los protocolos TLS e IPSec, así como la protección del propio canal de comunicación, si fuera necesario.

En Rusia, el uso de medios criptográficos para la seguridad de la información es en su mayor parte clasificado, por lo que hay poca información disponible públicamente sobre este tema.

Métodos utilizados en CIPF

• Autorización de los datos y garantía de la seguridad de su significado jurídico durante su transmisión o almacenamiento. Para ello utilizan algoritmos de creación de firma electrónica y verificación de la misma de acuerdo con la normativa establecida RFC 4357 y utilizan certificados según el estándar X.509.
• Proteger la confidencialidad de los datos y vigilar su integridad. Se utiliza cifrado asimétrico y protección contra imitación, es decir, contrarrestando la sustitución de datos. Cumplido con GOST R 34.12-2015.
• Protección del sistema y software de aplicaciones. Monitorear cambios no autorizados o funcionamiento incorrecto.
• Gestión de los elementos más importantes del sistema en estricto cumplimiento de la normativa adoptada.
• Autenticación de las partes que intercambian datos.
• Asegurar la conexión mediante el protocolo TLS.
• Protección de conexiones IP mediante los protocolos IKE, ESP, AH.

Los métodos se describen en detalle en los siguientes documentos: RFC 4357, RFC 4490, RFC 4491.

Mecanismos CIPF de protección de la información

1. La confidencialidad de la información almacenada o transmitida está protegida mediante el uso de algoritmos de cifrado.
2. Al establecer una conexión, la identificación se proporciona mediante una firma electrónica cuando se utiliza durante la autenticación (según lo recomendado por X.509).
3. El flujo de documentos digitales también está protegido por firmas electrónicas junto con la protección contra la imposición o repetición, mientras que se monitorea la autenticidad de las claves utilizadas para verificar las firmas electrónicas.
4. La integridad de la información se garantiza mediante una firma digital.
5. El uso de funciones de cifrado asimétrico ayuda a proteger sus datos. Además, se pueden utilizar funciones hash o algoritmos de suplantación para comprobar la integridad de los datos. Sin embargo, estos métodos no permiten determinar la autoría de un documento.
6. La protección contra repeticiones se produce mediante funciones criptográficas de una firma electrónica para cifrado o protección contra imitación. En este caso, se agrega un identificador único a cada sesión de red, lo suficientemente largo como para excluir su coincidencia aleatoria, y la parte receptora implementa la verificación.
7. La protección contra la imposición, es decir, contra la penetración de comunicaciones desde el exterior, se proporciona mediante firma electrónica.
8. Otra protección (contra marcadores, virus, modificaciones del sistema operativo, etc.) se proporciona mediante diversos medios criptográficos, protocolos de seguridad, software antivirus y medidas organizativas.

Como puedes ver, los algoritmos de firma electrónica son una parte fundamental de un medio de protección de la información criptográfica. Se discutirán a continuación.

Requisitos para usar CIPF

CIPF tiene como objetivo proteger (mediante la verificación de una firma electrónica) datos abiertos en varios sistemas de información ah uso general y aseguramiento de su confidencialidad (verificación de firma electrónica, protección contra imitaciones, cifrado, verificación de hash) en redes corporativas.

Se utiliza una herramienta de protección de información criptográfica personal para proteger los datos personales del usuario. Sin embargo, se debe poner especial énfasis en la información relacionada con secretos de estado. Según la ley, CIPF no se puede utilizar para trabajar con él.

Importante: antes de instalar CIPF, lo primero que debes comprobar es el propio paquete de software CIPF. Este es el primer paso. Normalmente, la integridad del paquete de instalación se verifica comparando las sumas de verificación recibidas del fabricante.

Después de la instalación, debe determinar el nivel de amenaza, en función del cual puede determinar los tipos de CIPF necesarios para su uso: software, hardware y hardware-software. También hay que tener en cuenta que a la hora de organizar algún CIPF es necesario tener en cuenta la ubicación del sistema.

Clases de protección

Según la orden del FSB de Rusia del 10 de julio de 2014, número 378, que regula el uso de medios criptográficos para proteger información y datos personales, se definen seis clases: KS1, KS2, KS3, KB1, KB2, KA1. La clase de protección para un sistema en particular se determina a partir de un análisis de datos sobre el modelo del intruso, es decir, de una evaluación. formas posibles hackear el sistema. La protección en este caso se basa en la protección de información criptográfica de software y hardware.

Las AC (amenazas actuales), como se puede ver en la tabla, son de 3 tipos:

1. Las amenazas del primer tipo están asociadas con capacidades no documentadas en el software del sistema utilizado en el sistema de información.
2. Las amenazas del segundo tipo están asociadas con capacidades no documentadas en el software de aplicación utilizado en el sistema de información.
3. El tercer tipo de amenaza se refiere a todas las demás.

Las características no documentadas son funciones y características del software que no se describen en la documentación oficial o no se corresponden con ella. Es decir, su uso puede aumentar el riesgo de violar la confidencialidad o integridad de la información.

Para mayor claridad, veamos los modelos de intrusos cuya interceptación requiere una u otra clase de medios de seguridad de la información criptográfica:

• KS1: el intruso actúa desde el exterior, sin asistentes dentro del sistema.
• KS2 es un intruso interno, pero no tiene acceso a CIPF.
• KS3 es un intruso interno que es usuario de CIPF.
• KV1 es un intruso que atrae recursos de terceros, por ejemplo, especialistas de CIPF.
• KV2 es un intruso, detrás de cuyas acciones se encuentra un instituto o laboratorio que trabaja en el campo del estudio y desarrollo del CIPF.
• KA1 - servicios especiales de estados.

Por tanto, KS1 puede denominarse clase de protección básica. En consecuencia, cuanto mayor sea la clase de protección, menos especialistas podrán proporcionarla. Por ejemplo, en Rusia, según datos de 2013, solo había 6 organizaciones que tenían un certificado del FSB y eran capaces de brindar protección de clase KA1.

Algoritmos utilizados

Consideremos los principales algoritmos utilizados en las herramientas de protección de información criptográfica:

• GOST R 34.10-2001 y GOST R 34.10-2012 actualizado: algoritmos para crear y verificar una firma electrónica.
• GOST R 34.11-94 y el último GOST R 34.11-2012: algoritmos para crear funciones hash.
• GOST 28147-89 y más nuevo GOST R 34.12-2015 - implementación de algoritmos de cifrado y protección de datos.
• Se encuentran algoritmos criptográficos adicionales en RFC 4357.

Firma electronica

El uso de herramientas de seguridad de la información criptográfica no se puede imaginar sin el uso de algoritmos de firma electrónica, que están ganando cada vez más popularidad.

Una firma electrónica es una parte especial de un documento creado mediante transformaciones criptográficas. Su tarea principal es identificar cambios no autorizados y determinar la autoría.

Un certificado de firma electrónica es un documento independiente que demuestra la autenticidad y propiedad de una firma electrónica a su propietario mediante una clave pública. Los certificados son emitidos por autoridades certificadoras.

El titular de un certificado de firma electrónica es la persona a cuyo nombre está registrado el certificado. Está asociado a dos claves: pública y privada. La clave privada le permite crear una firma electrónica. El propósito de una clave pública es verificar la autenticidad de una firma a través de un enlace criptográfico a la clave privada.

Tipos de firma electrónica

Según la Ley Federal No. 63, las firmas electrónicas se dividen en 3 tipos:

• firma electrónica ordinaria;
• firma electrónica no cualificada;
• firma electrónica cualificada.

Una firma electrónica simple se crea mediante contraseñas impuestas al abrir y visualizar datos, o medios similares que confirmen indirectamente al propietario.

Una firma electrónica no calificada se crea mediante transformaciones de datos criptográficos utilizando una clave privada. Gracias a esto, puede confirmar quién firmó el documento y determinar si se han realizado cambios no autorizados en los datos.

Las firmas cualificadas y no cualificadas se diferencian únicamente en que en el primer caso el certificado de firma electrónica debe ser emitido por un centro de certificación certificado por el FSB.

Ámbito de uso de la firma electrónica

La siguiente tabla analiza el ámbito de aplicación de las firmas electrónicas.

Las tecnologías de firma electrónica se utilizan más activamente en el intercambio de documentos. En el flujo documental interno, la firma electrónica actúa como aprobación de documentos, es decir, como firma o sello personal. En el caso del flujo de documentos externo, la presencia de una firma electrónica es fundamental, ya que se trata de una confirmación legal. También vale la pena señalar que los documentos firmados con firma electrónica pueden almacenarse indefinidamente y no perder su significado legal debido a factores como firmas borradas, papel dañado, etc.

La presentación de informes a las autoridades reguladoras es otra área en la que el flujo de documentos electrónicos está aumentando. Muchas empresas y organizaciones ya han apreciado la comodidad de trabajar en este formato.

Consuegro Federación Rusa Todo ciudadano tiene derecho a utilizar una firma electrónica cuando utiliza los servicios gubernamentales (por ejemplo, al firmar una solicitud electrónica para las autoridades).

El comercio en línea es otro ámbito interesante en el que se utilizan activamente las firmas electrónicas. Esto confirma el hecho de que en la subasta participa una persona real y sus ofertas pueden considerarse fiables. También es importante que cualquier contrato celebrado con la ayuda de una firma electrónica adquiera fuerza legal.

Algoritmos de firma electrónica

• Hash de dominio completo (FDH) y estándares de criptografía de clave pública (PKCS). Este último representa todo un grupo de algoritmos estándar para diversas situaciones.
• DSA y ECDSA son estándares para la creación de firmas electrónicas en EE. UU.
• GOST R 34.10-2012: estándar para crear firmas electrónicas en la Federación de Rusia. Esta norma reemplazó a GOST R 34.10-2001, que expiró oficialmente después del 31 de diciembre de 2017.
• La Unión Euroasiática utiliza estándares completamente similares a los rusos.
• STB 34.101.45-2013: estándar bielorruso para firma electrónica digital.
• DSTU 4145-2002: estándar para crear una firma electrónica en Ucrania y muchos otros.

También vale la pena señalar que los algoritmos para crear firmas electrónicas tienen diferentes propósitos y objetivos:

• Firma electrónica grupal.
• Firma digital única.
• Firma electrónica de confianza.
• Firma calificada y no calificada, etc.

1.1. Esta Política para la Aplicación de Herramientas de Protección de Información Criptográfica ( Más - Política ) determina el procedimiento para organizar y garantizar el funcionamiento del cifrado ( criptográfico) medios destinados a proteger información que no contiene información que constituya un secreto de estado ( Más - CIPF, cripto-medios ) en caso de su uso para garantizar la seguridad de información confidencial y datos personales durante su procesamiento en sistemas de información.

1.2. Esta Política ha sido desarrollada en cumplimiento de:

• Ley Federal "Acerca de los datos personales" , regulaciones del Gobierno de la Federación de Rusia en el campo de garantizar la seguridad de los datos personales;
• Ley Federal No. 63-FZ "Sobre la firma electrónica" ;
• Orden del FSB de la Federación de Rusia No. 378 "Tras la aprobación de la composición y el contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en sistemas de información de datos personales utilizando herramientas de protección de información criptográfica necesarias para cumplir con los requisitos establecidos por el Gobierno de la Federación de Rusia para la protección de datos personales para cada nivel de seguridad";
• Orden FAPSI N° 152” Tras la aprobación de las Instrucciones para organizar y garantizar la seguridad del almacenamiento, procesamiento y transmisión a través de canales de comunicación utilizando medios de protección criptográfica de información con acceso limitado que no contenga información que constituya un secreto de estado.»;
• Orden del FSB de la Federación de Rusia N 66 " Tras la aprobación del Reglamento sobre el desarrollo, producción, venta y operación de medios de seguridad de la información cifrada (criptográfica) (Reglamento PKZ-2005) »;

1.3. Esta Política se aplica a las herramientas criptográficas diseñadas para garantizar la seguridad de la información confidencial y los datos personales cuando se procesan en sistemas de información;

1.4. Medios criptográficos de protección de la información ( Más - CIPF ), la implementación de funciones de cifrado y firma electrónica se utiliza para proteger documentos electrónicos transmitidos a través de canales de comunicación públicos, por ejemplo, Internet público, o mediante canales de comunicación de acceso telefónico.

1.5. Para garantizar la seguridad, es necesario utilizar CIPF, que:

• permitir la incrustación en procesos tecnológicos procesar mensajes electrónicos, asegurar la interacción con el software de aplicación al nivel de procesar solicitudes de transformaciones criptográficas y emitir resultados;
• Los desarrolladores proporcionan un conjunto completo de documentación operativa, incluida una descripción. sistema clave, reglas para trabajar con él, así como justificación del apoyo organizativo y de personal necesario;
• apoyar la continuidad de los procesos de registro del funcionamiento del CIPF y garantizar la integridad del software para el entorno operativo CIPF, que es un conjunto de herramientas de hardware y software, junto con las cuales se produce el funcionamiento normal del CIPF y que pueden afectar el cumplimiento de los requisitos para el CIPF;
• certificado por un organismo estatal autorizado o tener permiso del FSB de Rusia.

1.6. El CIPF utilizado para proteger datos personales debe tener una clase de al menos KS2.

1.7. CIPF se implementa sobre la base de algoritmos que cumplen con los estándares nacionales de la Federación de Rusia y los términos del acuerdo con la contraparte.

1.8. La organización compra CIPF, licencias, documentos clave adjuntos e instrucciones para CIPF de forma independiente o puede obtenerlos de un tercero que inicia el flujo de documentos seguro.

1.9. CIPF, incluidos los medios de instalación, documentos clave, descripciones e instrucciones para CIPF, constituyen un secreto comercial de acuerdo con el Reglamento sobre Información Confidencial.

1. Procedimiento para usar CIPF

2.1. La instalación y configuración de herramientas de protección de información criptográfica se lleva a cabo de acuerdo con la documentación operativa, las instrucciones del FSB de Rusia y otras organizaciones que participan en el flujo seguro de documentos electrónicos. Una vez finalizada la instalación y configuración, se verifica la preparación del CIPF para su uso, se elaboran conclusiones sobre la posibilidad de su funcionamiento y se pone el CIPF en funcionamiento.

La colocación e instalación de CIPF, así como otros equipos que operan con criptoactivos, en locales seguros debería minimizar la posibilidad de acceso incontrolado de personas no autorizadas a estos fondos. El mantenimiento de dichos equipos y el cambio de claves criptográficas se llevan a cabo en ausencia de personas no autorizadas para trabajar con datos CIPF. Es necesario prever medidas organizativas y técnicas para excluir la posibilidad de que personas no autorizadas utilicen CIPF. La ubicación física de CIPF debe garantizar la seguridad de CIPF y evitar el acceso no autorizado a CIPF. El acceso de personas a las instalaciones donde se encuentra el equipo de protección está limitado de acuerdo con las necesidades oficiales y está determinado por una lista aprobada por el director.

La incorporación de fondos criptográficos de clase KS1 y KS2 se lleva a cabo sin control por parte del FSB de Rusia ( si este control no está previsto en los términos de referencia para el desarrollo (modernización) del sistema de información).

La incorporación de criptomonedas de clase KS3, KB1, KB2 y KA1 se lleva a cabo únicamente bajo el control del FSB de Rusia.

La integración de criptoherramientas de clase KS1, KS2 o KS3 puede ser realizada por el propio usuario de la criptoherramienta si tiene la licencia correspondiente del FSB de Rusia, o por una organización que tenga la licencia correspondiente del FSB. de Rusia.

La incorporación de criptomonedas de clase KV1, KV2 o KA1 la lleva a cabo una organización que tiene la licencia correspondiente del FSB de Rusia.

El desmantelamiento de CIPF se lleva a cabo sujeto a procedimientos que garanticen la eliminación garantizada de la información, cuyo uso no autorizado puede dañar las actividades comerciales de la organización, y de la información utilizada por las herramientas de seguridad de la información, de la memoria permanente y de los medios externos ( con excepción de los archivos de documentos electrónicos y protocolos de interacción electrónica, cuyo mantenimiento y conservación durante un período determinado están previstos por los documentos reglamentarios y (o) contractuales pertinentes.) y queda formalizado por la Ley. CIPF es destruido ( disponer de) por decisión del propietario del criptofondo, y con notificación a la organización responsable de conformidad con la organización de la contabilidad copia por instancia de los criptofondos.

Destinado a la destrucción ( reciclaje) CIPF están sujetos a eliminación del hardware con el que funcionaban. En este caso, las criptoherramientas se consideran eliminadas del hardware si se ha completado el procedimiento de eliminación del software de las criptoherramientas previsto en la documentación operativa y técnica de CIPF y están completamente desconectadas del hardware.

Componentes y piezas de hardware de uso general aptos para uso posterior, no diseñados específicamente para la implementación de hardware de algoritmos criptográficos u otras funciones CIPF, así como equipos que trabajen junto con herramientas criptográficas ( monitores, impresoras, escáneres, teclados, etc.), se puede utilizar después de la destrucción de CIPF sin restricciones. En este caso, la información que pueda quedar en los dispositivos de memoria del equipo ( por ejemplo, en impresoras, escáneres), debe retirarse de forma segura ( borrado).

2.2. El funcionamiento del CIPF es realizado por personas designadas por orden del director de la organización y que han sido capacitadas para trabajar con ellos. Si hay dos o más usuarios de CIPF, las responsabilidades se distribuyen entre ellos, teniendo en cuenta la responsabilidad personal por la seguridad de los criptoactivos, la documentación clave, operativa y técnica, así como por las áreas de trabajo asignadas.

Los usuarios de fondos criptográficos deben:

• no revelar información a la que estén autorizados, incluida información sobre CIPF y otras medidas de protección;
• no revelar información sobre documentos clave;
• no permitir que se hagan copias de documentos clave;
• impedir que se muestren documentos clave ( monitor) computadora personal o impresora;
• no permita que se registre información extraña en los medios clave;
• no permitir la instalación de documentos clave en otras computadoras personales;
• cumplir con los requisitos para garantizar la seguridad de la información, los requisitos para garantizar la seguridad del CIPF y los documentos clave del mismo;
• informar sobre intentos de personas no autorizadas que hayan conocido de obtener información sobre el CIPF utilizado o documentos clave para ellos;
• notificar inmediatamente sobre los hechos de pérdida o escasez de CIPF, documentos clave para los mismos, llaves de locales, instalaciones de almacenamiento, sellos personales y otros hechos que puedan dar lugar a la divulgación de información protegida;
• presentar CIPF, documentación operativa y técnica de los mismos, documentos clave en caso de despido o remoción de funciones relacionadas con el uso de criptomonedas.

La seguridad del procesamiento de la información mediante CIPF está garantizada por:

• cumplimiento por parte de los usuarios de la confidencialidad en el manejo de la información que se les confía o que se ha conocido a través de su trabajo, incluida la información sobre el funcionamiento y el procedimiento para garantizar la seguridad del CIPF utilizado y los documentos clave para ellos;
• cumplimiento preciso por parte de los usuarios de CIPF de los requisitos de seguridad de la información;
• almacenamiento confiable de documentación operativa y técnica para CIPF, documentos clave, medios de distribución limitados;
• detección oportuna de intentos de personas no autorizadas de obtener información sobre la información protegida, sobre el CIPF utilizado o documentos clave para ellos;
• adopción inmediata de medidas para evitar la divulgación de información protegida, así como su posible filtración en caso de detección de hechos de pérdida o escasez de CIPF, documentos clave para los mismos, certificados, pases, llaves de locales, instalaciones de almacenamiento, cajas fuertes ( gabinetes metálicos), sellos personales, etc.

Si es necesario transmitir mensajes de servicios de acceso restringido a través de medios de comunicación técnicos relacionados con la organización y funcionamiento del CIPF, estos mensajes deberán transmitirse únicamente utilizando medios criptográficos. No está permitida la transferencia de criptoclaves a través de medios técnicos de comunicación, con excepción de sistemas especialmente organizados con un suministro descentralizado de criptoclaves.

Los CIPF están sujetos a contabilidad mediante índices o nombres y números de registro convencionales. La lista de índices, nombres en clave y números de registro de criptoactivos la determina el Servicio Federal de Seguridad de la Federación de Rusia.

CIPF utiliza o almacena, la documentación operativa y técnica para ellos, los documentos clave están sujetos a registro copia por copia. El formato del Libro de Registro de CIPF se proporciona en el Apéndice N° 1, el Libro de Registro de Medios Clave en el Apéndice N° 2 de esta Política. En este caso, se deberán tener en cuenta los sistemas software de protección de la información criptográfica junto con el hardware con el que se realiza su normal funcionamiento. Si el hardware o hardware-software CIPF está conectado a sistema de autobús o a una de las interfaces de hardware internas, dichos medios criptográficos también se tienen en cuenta junto con el hardware correspondiente.

La unidad de contabilidad copia por copia de documentos clave se considera un medio clave reutilizable, un bloc de notas clave. Si el mismo medio de clave se utiliza repetidamente para registrar claves criptográficas, entonces debe registrarse por separado cada vez.

Todas las copias recibidas de criptoactivos, la documentación operativa y técnica de los mismos y los documentos clave deben emitirse contra recibo en el registro de copia por copia correspondiente a los usuarios de criptoactivos que son personalmente responsables de su seguridad.

La transferencia de CIPF, la documentación operativa y técnica de los mismos y los documentos clave está permitida únicamente entre usuarios de criptoactivos y (o) el usuario responsable de criptoactivos contra recibo en los diarios correspondientes para la contabilidad individual. Dicha transferencia entre usuarios de fondos criptográficos debe estar autorizada.

El almacenamiento de los medios de instalación CIPF, la documentación operativa y técnica, los documentos clave se realiza en armarios ( cajas, almacenamiento) para uso individual en condiciones que impidan el acceso incontrolado a ellos, así como su destrucción involuntaria.

El hardware con el que normalmente funciona el CIPF, así como el hardware y el hardware-software del CIPF, deberá estar dotado de medios de control de su apertura ( sellado, sellado). Lugar de sellado ( sellando) criptomonedas, el hardware debe ser tal que pueda ser monitoreado visualmente. En la presencia de viabilidad técnica Durante la ausencia de los usuarios de criptofondos, estos fondos deben desconectarse de la línea de comunicación y colocarse en instalaciones de almacenamiento selladas.

Los cambios en el software CIPF y la documentación técnica del CIPF se llevan a cabo sobre la base de las actualizaciones recibidas del fabricante del CIPF y documentadas con registro de sumas de verificación.

El funcionamiento de CIPF implica mantener al menos dos copias de seguridad del software y una Copia de respaldo medios clave. La restauración de la funcionalidad del CIPF en situaciones de emergencia se lleva a cabo de acuerdo con la documentación operativa.

2.3. La producción de documentos clave a partir de la información clave inicial la llevan a cabo usuarios responsables de CIPF, utilizando herramientas criptográficas estándar, si tal posibilidad está prevista en la documentación operativa y técnica en presencia de una licencia del FSB de Rusia para la producción de documentos clave para criptoherramientas.

Los documentos clave se pueden entregar por mensajería ( incluyendo departamental) comunicación o con usuarios responsables especialmente designados de fondos criptográficos y empleados, sujeto a medidas para evitar el acceso incontrolado a documentos clave durante la entrega.

Para enviar documentos clave, deben colocarse en un embalaje duradero que excluya la posibilidad de daños físicos e influencias externas. El embalaje indica el usuario responsable al que está destinado el embalaje. Dichos paquetes están marcados como "Personalmente". Los paquetes están sellados de tal manera que es imposible extraer su contenido sin romper los paquetes y los sellos.

Antes de la deportación inicial ( o regresar) se informa al destinatario, en carta separada, de la descripción de los paquetes que se le envían y de los precintos con los que pueden sellarse.

Para enviar documentos clave se elabora una carta de presentación, en la que se debe indicar: qué se envía y en qué cantidad, números de registro del documento, así como, si es necesario, la finalidad y procedimiento de uso del artículo enviado. La carta de presentación está incluida en uno de los paquetes.

Los paquetes recibidos son abiertos únicamente por el usuario responsable de los fondos criptográficos a los que están destinados. Si el contenido del paquete recibido no se corresponde con lo indicado en la carta de presentación o el propio embalaje y el precinto no se corresponden con su descripción ( imprimir), y también si el embalaje está dañado, lo que provoca el libre acceso a su contenido, el destinatario redacta un informe que se envía al remitente. No se permite el uso de documentos clave recibidos con dichos envíos hasta que se reciban instrucciones del remitente.

Si se descubren documentos clave o claves criptográficas defectuosos, se debe devolver una copia del producto defectuoso al fabricante para establecer las causas del incidente y eliminarlas en el futuro, y las copias restantes deben almacenarse hasta que se reciban instrucciones adicionales del fabricante.

La recepción de los documentos clave debe confirmarse al remitente en la forma especificada en la carta de presentación. El remitente está obligado a controlar la entrega de sus envíos a los destinatarios. Si no se recibe oportunamente la confirmación adecuada del destinatario, el remitente deberá enviarle una solicitud y tomar medidas para aclarar la ubicación de los envíos.

El pedido para la producción de los siguientes documentos clave, su producción y distribución a los lugares de uso para el reemplazo oportuno de los documentos clave existentes se realiza con anticipación. La instrucción para poner en vigor los siguientes documentos clave la da el usuario responsable de los fondos criptográficos solo después de recibir su confirmación de que se han recibido los siguientes documentos clave.

Los documentos clave no utilizados o desactivados deben devolverse al usuario responsable de los fondos criptográficos o, según sus instrucciones, deben destruirse in situ.

Destrucción de claves criptográficas ( información clave inicial) se puede hacer destruyendo físicamente el medio clave en el que se encuentran o borrando ( destrucción) claves criptográficas ( información clave inicial) sin dañar los medios clave ( para garantizar su reutilización).

Claves criptográficas ( información clave inicial) se lavan utilizando la tecnología adoptada para los medios reutilizables clave correspondientes ( disquetes, discos compactos (CD-ROM), clave de datos, tarjeta inteligente, memoria táctil, etc.). Acciones directas para borrar claves criptográficas ( información clave inicial), así como las posibles restricciones sobre el uso posterior de los medios reutilizables clave correspondientes, están regulados por la documentación operativa y técnica del CIPF correspondiente, así como por las instrucciones de la organización que registró las claves criptográficas ( información clave inicial).

Los medios clave se destruyen causándoles daños físicos irreparables, excluyendo la posibilidad de su uso, así como restaurando información clave. Las acciones directas para destruir un tipo específico de medio clave están reguladas por la documentación operativa y técnica del CIPF correspondiente, así como por las instrucciones de la organización que registró las claves criptográficas ( información clave inicial).

El papel y otros medios combustibles clave se destruyen quemándolos o utilizando máquinas cortadoras de papel.

Los documentos clave se destruyen dentro de los plazos especificados en la documentación operativa y técnica del CIPF correspondiente. El hecho de la destrucción se registra en los correspondientes diarios ejemplares.

La destrucción según el acto la lleva a cabo una comisión formada por al menos dos personas. La ley especifica qué se destruye y en qué cantidad. Al final del acto, se realiza un registro final (en números y en palabras) sobre la cantidad de elementos y copias de documentos claves destruidos, instalación de medios CIPF, documentación operativa y técnica. Las correcciones en el texto del acto deberán ser acordadas y certificadas con las firmas de todos los miembros de la comisión que participaron en la destrucción. Sobre la destrucción realizada, se toman notas en los diarios correspondientes para registros individuales.

Las claves criptográficas que se sospeche que están comprometidas, así como otras claves criptográficas que funcionen junto con ellas, deben quedar fuera de uso de inmediato, a menos que se especifique un procedimiento diferente en la documentación operativa y técnica del CIPF. En casos de emergencia, cuando no hay claves criptográficas para reemplazar las comprometidas, se permite, por decisión del usuario responsable de los fondos criptográficos, acordada con el operador, utilizar claves criptográficas comprometidas. En este caso, el período de uso de las claves criptográficas comprometidas debe ser lo más corto posible y la información protegida debe ser lo más valiosa posible.

Sobre violaciones que puedan llevar a comprometer las criptoclaves, sus componentes o transmitidas ( almacenado) al utilizar datos, los usuarios de fondos criptográficos están obligados a informar al usuario responsable de los fondos criptográficos.

La inspección de soportes de claves reutilizables por parte de personas no autorizadas no debe considerarse como una sospecha de compromiso de las claves criptográficas, si esto excluye la posibilidad de su copia ( lectura, reproducción).

En caso de escasez, falta de presentación de documentos clave, así como incertidumbre sobre su ubicación, el usuario responsable toma medidas urgentes para encontrarlos y localizar las consecuencias de comprometer documentos clave.

1. Procedimiento de gestión del sistema clave

El registro de personas con derecho a gestionar claves se realiza de acuerdo con la documentación operativa del CIPF.

La gestión de claves es un proceso de información que incluye tres elementos:

— generación de claves;

— acumulación de llaves;

— distribución de llaves.

Los sistemas de información organizacional utilizan métodos especiales de hardware y software para generar claves aleatorias. Como regla general, se utilizan sensores de números pseudoaleatorios ( Más - PSCH ), con suficiente alto grado aleatoriedad de su generación. Generadores de claves de software que calculan el PFR como una función compleja de la hora actual y ( o) número ingresado por el usuario.

La acumulación de claves se refiere a la organización de su almacenamiento, contabilidad y retirada.

Las claves privadas no deben escribirse explícitamente en un medio que pueda leerse o copiarse.

Toda la información sobre las claves utilizadas debe almacenarse de forma cifrada. Las claves que cifran información de claves se denominan claves maestras. Cada usuario debe conocer las claves maestras de memoria; está prohibido almacenarlas en cualquier soporte tangible.

Para garantizar la seguridad de la información, es necesario actualizar periódicamente la información clave en los sistemas de información. En este caso, se reasignan tanto las claves normales como las maestras.

Al distribuir claves, se deben cumplir los siguientes requisitos:

— eficiencia y precisión de la distribución;

— secreto de las claves distribuidas.

Una alternativa es que dos usuarios obtengan una clave compartida de una autoridad central, el Centro de distribución de claves (KDC), a través de la cual puedan comunicarse de forma segura. Para organizar el intercambio de datos entre el CRC y el usuario, a este último se le asigna una clave especial durante el registro, que cifra los mensajes transmitidos entre ellos. A cada usuario se le asigna una clave separada.

GESTIÓN DE CLAVE BASADA EN SISTEMAS DE CLAVE PÚBLICA

Antes de utilizar un criptosistema de clave pública para intercambiar claves privadas normales, los usuarios deben intercambiar sus claves públicas.

Las claves públicas se pueden administrar a través de un servicio de directorio en línea o fuera de línea, y los usuarios también pueden intercambiar claves directamente.

1. Seguimiento y control del uso de CIPF

Para aumentar el nivel de seguridad al operar CIPF, el sistema debe implementar procedimientos de monitoreo que registren todos los eventos importantes que tuvieron lugar durante el proceso de intercambio. Por correo electrónico y todos los incidentes de seguridad de la información. La descripción y listado de estos procedimientos deberá establecerse en la documentación operativa del CIPF.

El control sobre el uso de la protección de la información criptográfica proporciona:

• monitorear el cumplimiento de la instalación y configuración de las herramientas de seguridad de la información, así como el hardware y software que pueden afectar el cumplimiento de los requisitos de las herramientas de seguridad de la información, documentación reglamentaria y técnica;
• monitorear el cumplimiento de las reglas para almacenar información de acceso restringido utilizadas en el funcionamiento de las herramientas de seguridad de la información ( en particular, clave, contraseña e información de autenticación);
• control de la posibilidad de acceso de personas no autorizadas a los medios de seguridad de la información, así como al hardware y software que puedan afectar el cumplimiento de los requisitos de los medios de seguridad de la información;
• monitorear el cumplimiento de las reglas para responder a incidentes de información ( sobre hechos de pérdida, compromiso de clave, contraseña e información de autenticación, así como cualquier otra información de acceso restringido);
• control del cumplimiento de las herramientas de hardware y software de CIPF y documentación de estas herramientas con muestras de referencia ( Garantías del proveedor o mecanismos de control que le permitan establecer de forma independiente dicho cumplimiento.);
• monitorear la integridad del hardware y software de CIPF y la documentación de estas herramientas durante el almacenamiento y la puesta en servicio de estas herramientas ( utilizando ambos mecanismos de control descritos en la documentación de CIPF y utilizando la organización).

Descargar archivo ZIP (43052)

Si los documentos son útiles, dale me gusta o:

Los requisitos de seguridad de la información al diseñar sistemas de información indican las características que caracterizan los medios de seguridad de la información utilizados. Están definidos por diversas leyes de los reguladores en el campo de la seguridad de la información, en particular por el FSTEC y el FSB de Rusia. En el artículo se reflejan qué clases de seguridad existen, tipos y tipos de equipos de protección, así como dónde obtener más información al respecto.

Introducción

Hoy en día, las cuestiones relativas a garantizar la seguridad de la información son objeto de mucha atención, ya que las tecnologías que se implementan en todas partes sin garantizar la seguridad de la información se convierten en una fuente de nuevos problemas graves.

El FSB ruso informa sobre la gravedad de la situación: los daños causados ​​por los atacantes durante varios años en todo el mundo oscilaron entre 300 mil millones de dólares y 1 billón de dólares. Según la información proporcionada por el Fiscal General de la Federación de Rusia, sólo en el primer semestre de 2017 en Rusia el número de delitos en el ámbito de alta tecnología se multiplicó por seis, el importe total de los daños superó los 18 millones de dólares. En 2017 se observó en todo el mundo un aumento de los ataques dirigidos al sector industrial. En particular, en Rusia el aumento del número de ataques respecto a 2016 fue del 22%.

Las tecnologías de la información comenzaron a utilizarse como armas con fines militares y políticos, terroristas, para interferir en los asuntos internos de estados soberanos, así como para cometer otros delitos. La Federación de Rusia aboga por la creación de un sistema internacional de seguridad de la información.

En el territorio de la Federación de Rusia, los titulares de información y los operadores de sistemas de información deben bloquear los intentos de acceso no autorizado a la información, así como monitorear constantemente el estado de seguridad de la infraestructura de TI. Al mismo tiempo, la protección de la información se garantiza mediante la adopción de diversas medidas, incluidas las técnicas.

Las herramientas de seguridad de la información, o sistemas de protección de la información, garantizan la protección de la información en los sistemas de información, que son esencialmente un conjunto de información almacenada en bases de datos, tecnologías de la información que aseguran su procesamiento y medios técnicos.

Los sistemas de información modernos se caracterizan por el uso de diversas plataformas de hardware y software, la distribución territorial de componentes, así como la interacción con redes de datos abiertas.

¿Cómo proteger la información en tales condiciones? Los requisitos correspondientes los presentan los organismos autorizados, en particular el FSTEC y el FSB de Rusia. En el marco del artículo, intentaremos reflejar los principales enfoques para la clasificación de los sistemas de seguridad de la información, teniendo en cuenta los requisitos de estos reguladores. Otras formas de describir la clasificación de los sistemas de seguridad de la información, reflejadas en documentos reglamentarios Los departamentos rusos, así como las organizaciones y agencias extranjeras, están fuera del alcance de este artículo y no se consideran más a fondo.

El artículo puede ser útil para los especialistas novatos en el campo de la seguridad de la información como fuente de información estructurada sobre los métodos de clasificación de la seguridad de la información según los requisitos del FSTEC de Rusia (en mayor medida) y, en resumen, del FSB de Rusia.

La estructura que determina el procedimiento y coordina la provisión de seguridad de la información utilizando métodos no criptográficos es la FSTEC de Rusia (anteriormente la Comisión Técnica Estatal dependiente del Presidente de la Federación de Rusia, Comisión Técnica Estatal).

Si el lector alguna vez ha visto el Registro Estatal de Herramientas Certificadas de Seguridad de la Información, que está formado por el FSTEC de Rusia, seguramente prestó atención a la presencia en la parte descriptiva del propósito del sistema de protección de la información frases como "RD SVT clase”, “nivel de ausencia de incumplimiento con datos de incumplimiento”, etc. (Figura 1) .

Figura 1. Fragmento del registro de dispositivos de protección de la información certificados

Clasificación de herramientas de seguridad de la información criptográfica.

El FSB de Rusia ha definido clases de sistemas de protección de información criptográfica: KS1, KS2, KS3, KV y KA.

Las principales características de los IPS de clase KS1 incluyen su capacidad para resistir ataques realizados desde fuera del área controlada. Esto implica que la creación de métodos de ataque, su preparación e implementación se lleva a cabo sin la participación de especialistas en el campo del desarrollo y análisis de la seguridad de la información criptográfica. Se supone que la información sobre el sistema en el que se utilizan los sistemas de seguridad de la información especificados se puede obtener de fuentes abiertas.

Si un sistema de seguridad de la información criptográfica puede resistir los ataques bloqueados mediante la clase KS1, así como los realizados dentro del área controlada, entonces dicha seguridad de la información corresponde a la clase KS2. En este caso, se permite, por ejemplo, que durante la preparación de un ataque pueda convertirse información disponible sobre medidas físicas para proteger los sistemas de información, asegurando un área controlada, etc.

Si es posible resistir ataques si hay acceso físico a equipos informáticos con información de seguridad criptográfica instalada, se dice que dichos equipos pertenecen a la clase KS3.

Si la seguridad de la información criptográfica resiste los ataques, en cuya creación participaron especialistas en el campo del desarrollo y análisis de estas herramientas, incluidos los centros de investigación, y fue posible realizar estudios de laboratorio de los medios de seguridad, entonces estamos hablando de cumplimiento de la clase HF. .

Si en el desarrollo de los métodos de ataque participaron especialistas en el campo del uso del software del sistema NDV, la documentación de diseño correspondiente estaba disponible y había acceso a cualquier componente de hardware de los sistemas de seguridad de la información criptográfica, entonces la protección contra tales ataques se puede brindar mediante la clase KA.

Clasificación de los medios de protección de la firma electrónica.

Las herramientas de firma electrónica, según su capacidad para resistir ataques, se suelen comparar con las siguientes clases: KS1, KS2, KS3, KB1, KB2 y KA1. Esta clasificación es similar a la comentada anteriormente en relación a la seguridad de la información criptográfica.

conclusiones

El artículo examina algunos métodos de clasificación de la seguridad de la información en Rusia, cuya base es el marco regulatorio de los reguladores en el campo de la protección de la información. Las opciones de clasificación consideradas no son exhaustivas. Sin embargo, esperamos que la información resumida presentada permita a un especialista novato en el campo de la seguridad de la información navegar rápidamente.

Los medios de protección de la información criptográfica (CIPF) incluyen hardware, software-hardware y software, implementando algoritmos criptográficos de conversión de información con la finalidad de:

Protección de la información durante su procesamiento, almacenamiento y transmisión a través del entorno de transporte AS;

Garantizar la confiabilidad e integridad de la información (incluido el uso de algoritmos de firma digital) durante su procesamiento, almacenamiento y transmisión a través del entorno de transporte AS;

Generar información utilizada para identificar y autenticar sujetos, usuarios y dispositivos;

Generación de información utilizada para proteger los elementos autenticadores de un AS protegido durante su generación, almacenamiento, procesamiento y transmisión.

Se supone que CIPF se utiliza en algunos AS (en varias fuentes: un sistema de información y telecomunicaciones o una red de comunicación), junto con mecanismos para implementar y garantizar la política de seguridad.

La transformación criptográfica tiene una serie de características importantes:

CIPF implementa un determinado algoritmo de conversión de información (cifrado, firma digital electrónica, control de integridad)

Los argumentos de entrada y salida de la transformación criptográfica están presentes en el AS en alguna forma material (objetos AS).

CIPF utiliza algunos información confidencial(llaves)

El algoritmo de transformación criptográfica se implementa en forma de algún objeto material que interactúa con el entorno (incluidos los sujetos y objetos del AS protegido).

Por tanto, la función de CIPF en un AS protegido es la transformación de objetos. En cada caso concreto, esta transformación tiene sus propias peculiaridades. Por lo tanto, el procedimiento de cifrado utiliza un objeto - texto plano y un objeto - clave como parámetros de entrada, el resultado de la transformación es un objeto - texto cifrado; por el contrario, el procedimiento de descifrado utiliza el texto cifrado y la clave como parámetros de entrada; el procedimiento para colocar una firma digital utiliza un objeto - un mensaje y un objeto - una clave de firma secreta - como parámetros de entrada; el resultado de la firma digital es un objeto - una firma, generalmente integrada en un objeto - un mensaje; Podemos decir que CIPF protege objetos a nivel semántico. Al mismo tiempo, los objetos: parámetros de la transformación criptográfica son objetos AS completos y pueden ser objetos de alguna política de seguridad (por ejemplo, las claves de cifrado pueden y deben protegerse del acceso no autorizado, claves publicas para comprobar la firma digital frente a cambios). Entonces, CIPF, como parte de los sistemas protegidos, tiene una implementación específica: puede ser un dispositivo especializado separado integrado en una computadora o un programa especializado. Los siguientes puntos son esenciales:

CIPF intercambia información con el entorno externo, a saber: se ingresan claves en él, texto sin formato durante el cifrado

CIPF en el caso de la implementación de hardware utiliza una base elemental de confiabilidad limitada (es decir, las partes que componen el CIPF están sujetas a mal funcionamiento o fallas)

CIPF en el caso de la implementación de software se ejecuta en un procesador de confiabilidad limitada y en un entorno de software que contiene programas de terceros que pueden afectar varias etapas de su funcionamiento.

CIPF se almacena en un medio tangible (en el caso de la implementación de software) y puede distorsionarse intencionada o accidentalmente durante el almacenamiento.

CIPF interactúa indirectamente con el entorno externo (alimentado por la red eléctrica, emite campos electromagnéticos)

CIPF es fabricado y/o utilizado por una persona que puede cometer errores (intencionales o accidentales) durante el desarrollo y la operación.

Las herramientas de protección de datos existentes en las redes de telecomunicaciones se pueden dividir en dos grupos según el principio de construcción de un sistema de claves y un sistema de autenticación. El primer grupo incluye herramientas que utilizan algoritmos criptográficos simétricos para construir un sistema de claves y un sistema de autenticación, y el segundo grupo incluye herramientas asimétricas.

Realicemos un análisis comparativo de estos sistemas. Un mensaje de información listo para su transmisión, inicialmente abierto y desprotegido, se cifra y así se convierte en un cifrado, es decir, en un texto cerrado o una imagen gráfica de un documento. De esta forma, el mensaje se transmite a través de un canal de comunicación, incluso si no es seguro. Un usuario autorizado, después de recibir un mensaje, lo descifra (es decir, lo abre) mediante la transformación inversa del criptograma, lo que da como resultado la forma original y clara del mensaje, accesible para los usuarios autorizados. El método de conversión en un sistema criptográfico corresponde al uso de un algoritmo especial. El funcionamiento de dicho algoritmo se activa mediante un número único (secuencia de bits), generalmente denominado clave de cifrado.

Para la mayoría de los sistemas, el circuito generador de claves puede ser un conjunto de instrucciones y comandos, ya sea una pieza de hardware o programa de computadora, o todo esto junto, pero en cualquier caso, el proceso de cifrado (descifrado) se implementa únicamente mediante esta clave especial. Para que el intercambio de datos cifrados sea exitoso, tanto el remitente como el destinatario deben conocer la configuración de clave correcta y mantenerla en secreto. La solidez de cualquier sistema de comunicación cerrado está determinada por el grado de secreto de la clave utilizada en él. Sin embargo, otros usuarios de la red deben conocer esta clave para que puedan intercambiar mensajes cifrados libremente. En este sentido, los sistemas criptográficos también ayudan a solucionar el problema de autenticación (establecer la autenticidad) de la información recibida. En caso de que un mensaje sea interceptado, un atacante solo tratará con el texto cifrado, y el verdadero destinatario, que recibe mensajes privados con una clave conocida por él y el remitente, estará protegido de forma fiable contra posible información errónea. Además, es posible cifrar información y más de una manera sencilla- utilizando un generador de números pseudoaleatorios. El uso de un generador de números pseudoaleatorios implica generar una gamma de cifrado utilizando un generador de números pseudoaleatorios dada una clave determinada y aplicar la gamma resultante a los datos abiertos de manera reversible. Este método de protección criptográfica es bastante fácil de implementar y proporciona una velocidad de cifrado bastante alta, pero no es lo suficientemente resistente al descifrado.

La criptografía clásica se caracteriza por el uso de una unidad secreta: una clave, que permite al remitente cifrar un mensaje y al destinatario descifrarlo. En el caso de cifrar datos almacenados en medios magnéticos u otros medios de almacenamiento, la clave le permite cifrar información al escribir en el medio y descifrarla al leerla.

"Métodos organizativos y legales de seguridad de la información"

Documentos de orientación regulatoria básica relacionados con secretos de estado, documentos regulatorios y de referencia.

Hoy, nuestro país ha creado un marco legislativo estable en el campo de la protección de la información. La ley fundamental puede denominarse Ley federal de la Federación de Rusia "sobre información, tecnologías de la información y sobre la protección de la información." "La regulación estatal de las relaciones en el campo de la protección de la información se lleva a cabo estableciendo requisitos para la protección de la información, así como la responsabilidad por la violación de la legislación de la Federación de Rusia sobre información, tecnología de la información y protección de la información". las responsabilidades de los poseedores de información y de los operadores de sistemas de información.

En cuanto a la regulación "codificada" de la seguridad de la información, las normas del Código de Infracciones Administrativas de la Federación de Rusia y el Código Penal de la Federación de Rusia también contienen los artículos necesarios. En arte. 13.12 del Código de Infracciones Administrativas de la Federación de Rusia habla de violación de las normas de protección de la información. También el arte. 13.13, que prevé sanciones por actividades ilegales en el campo de la seguridad de la información. Y arte. 13.14. que establece sanciones por revelar información restringida. Artículo 183. El Código Penal de la Federación de Rusia prevé sanciones por la recepción y divulgación ilegal de información que constituya secretos comerciales, fiscales o bancarios.

La Ley federal "sobre información, informatización y protección de la información" estipula que los recursos de información estatales de la Federación de Rusia son abiertos y accesibles al público. La excepción es la información documentada clasificada por ley como de acceso restringido.

El concepto de secreto de Estado se define en la Ley "Sobre Secretos de Estado" como "la información protegida por el Estado en el ámbito de sus actividades militares, de política exterior, económicas, de inteligencia, de contrainteligencia y de investigación operativa, cuya difusión pueda perjudicar la seguridad". de la Federación de Rusia”. Así, en función del equilibrio de intereses del Estado, la sociedad y los ciudadanos, el ámbito de aplicación de la Ley es limitado. ciertos tipos actividades: militar, política exterior, económica, inteligencia, contrainteligencia e investigación operativa.

La ley determinó que el criterio principal es que la información clasificada pertenezca al Estado.

La ley también estableció la creación de una serie de órganos en el campo de la protección de los secretos de estado, en particular, la comisión interdepartamental para la protección de los secretos de estado, introdujo la institución de funcionarios facultados para clasificar la información como secretos de estado, al mismo tiempo que tiempo asignándoles responsabilidad personal por las actividades para proteger los secretos de estado en el área de su jurisdicción.

La organización general y coordinación del trabajo en el país para proteger la información procesada por medios técnicos la lleva a cabo un organismo colegiado: el Servicio Federal de Control Técnico y de Exportaciones (FSTEK) de Rusia bajo la presidencia de la Federación de Rusia, que supervisa la seguridad en organismos gubernamentales y en empresas que realizan trabajos en defensa y otros temas clasificados.

Objeto y tareas en el ámbito de garantizar la seguridad de la información a nivel estatal.

La política estatal de garantizar la seguridad de la información de la Federación de Rusia determina las principales direcciones de actividad de los órganos del gobierno federal y los órganos gubernamentales de las entidades constitutivas de la Federación de Rusia en esta área, el procedimiento para consolidar sus responsabilidades para proteger los intereses de la Federación de Rusia en la esfera de la información en el marco de sus actividades y se basa en mantener un equilibrio de intereses del individuo, la sociedad y el Estado en la esfera de la información. La política estatal para garantizar la seguridad de la información de la Federación de Rusia se basa en los siguientes principios básicos: cumplimiento de la Constitución de la Federación de Rusia, la legislación de la Federación de Rusia, principios y normas generalmente reconocidos del derecho internacional en la realización de actividades para garantizar la información. seguridad de la Federación de Rusia; apertura en la implementación de las funciones de los órganos del gobierno federal, los órganos gubernamentales de las entidades constitutivas de la Federación de Rusia y las asociaciones públicas, que prevén informar al público sobre sus actividades, teniendo en cuenta las restricciones establecidas por la legislación de la Federación de Rusia; igualdad jurídica de todos los participantes en el proceso de interacción de la información, independientemente de su condición política, social y económica, basada en el derecho constitucional de los ciudadanos a buscar, recibir, transmitir, producir y difundir información libremente por cualquier forma legal; desarrollo prioritario de tecnologías nacionales modernas de información y telecomunicaciones, producción de hardware y software capaces de garantizar la mejora de las redes nacionales de telecomunicaciones y su conexión a las redes de información globales para cumplir con los intereses vitales de la Federación de Rusia.

El Estado, en el proceso de implementar sus funciones para garantizar la seguridad de la información de la Federación de Rusia: realiza un análisis y pronóstico objetivo e integral de las amenazas a la seguridad de la información de la Federación de Rusia, desarrolla medidas para garantizarla; organiza el trabajo de los órganos legislativos (representantes) y ejecutivos del poder estatal de la Federación de Rusia para implementar un conjunto de medidas destinadas a prevenir, repeler y neutralizar las amenazas a la seguridad de la información de la Federación de Rusia; apoya las actividades de asociaciones públicas destinadas a informar objetivamente a la población sobre fenómenos socialmente significativos vida publica, protegiendo a la sociedad de información distorsionada y poco fiable; ejerce control sobre el diseño, creación, desarrollo, uso, exportación e importación de herramientas de seguridad de la información a través de su certificación y licencia de actividades en el campo de la seguridad de la información; aplica la política proteccionista necesaria hacia los fabricantes de informatización y herramientas de protección de la información en el territorio de la Federación de Rusia y toma medidas para proteger el mercado interno de la penetración de herramientas de informatización y productos de información de baja calidad; contribuye a proporcionar a las personas físicas y jurídicas acceso a los recursos de información mundiales y a las redes de información globales; formula e implementa la política de información estatal de Rusia; organiza el desarrollo de un programa federal para garantizar la seguridad de la información en la Federación de Rusia, combinando los esfuerzos de organizaciones estatales y no estatales en esta área; promueve la internacionalización de las redes y sistemas de información globales, así como la entrada de Rusia en la comunidad de información global en términos de una asociación igualitaria.

Mejorar los mecanismos legales para regular las relaciones públicas que surgen en el ámbito de la información es una dirección prioritaria de la política estatal en el campo de garantizar la seguridad de la información en la Federación de Rusia.

Esto implica: evaluar la efectividad de la aplicación de los actos legislativos y otros actos legales reglamentarios existentes en el ámbito de la información y desarrollar un programa para su mejora; creación de mecanismos organizativos y legales para garantizar la seguridad de la información; determinar el estatus legal de todos los sujetos de las relaciones en la esfera de la información, incluidos los usuarios de los sistemas de información y telecomunicaciones, y establecer su responsabilidad por el cumplimiento de la legislación de la Federación de Rusia en esta área; creación de un sistema para recopilar y analizar datos sobre las fuentes de amenazas a la seguridad de la información de la Federación de Rusia, así como las consecuencias de su implementación; desarrollo de actos jurídicos normativos que determinen la organización de la investigación y el procedimiento de juzgamiento de hechos de actuaciones ilícitas en el ámbito de la información, así como el procedimiento para eliminar las consecuencias de estas actuaciones ilícitas; desarrollo de delitos teniendo en cuenta las características específicas de la responsabilidad penal, civil, administrativa y disciplinaria y la inclusión de las normas jurídicas pertinentes en los códigos penal, civil, administrativo y laboral, en la legislación de la Federación de Rusia sobre el servicio público; mejorar el sistema de formación del personal utilizado en el ámbito de garantizar la seguridad de la información en la Federación de Rusia.

El apoyo jurídico a la seguridad de la información en la Federación de Rusia debe basarse, ante todo, en el cumplimiento de los principios de legalidad y el equilibrio de los intereses de los ciudadanos, la sociedad y el Estado en el ámbito de la información. El cumplimiento del principio de legalidad requiere que los órganos del gobierno federal y los órganos gubernamentales de las entidades constitutivas de la Federación de Rusia, al resolver conflictos que surjan en el ámbito de la información, se guíen estrictamente por los actos legislativos y otros actos jurídicos reglamentarios que rigen las relaciones en este ámbito. El cumplimiento del principio de equilibrio de los intereses de los ciudadanos, la sociedad y el Estado en el ámbito de la información presupone la consolidación legislativa de la prioridad de estos intereses en diversas áreas de la sociedad, así como el uso de formas de control público sobre las actividades del gobierno federal. órganos y órganos gubernamentales de las entidades constitutivas de la Federación de Rusia. La implementación de las garantías de los derechos y libertades constitucionales del hombre y del ciudadano en relación con las actividades en el ámbito de la información es la tarea más importante del Estado en el campo de la seguridad de la información. El desarrollo de mecanismos de apoyo jurídico a la seguridad de la información en la Federación de Rusia incluye medidas para informatizar el ámbito jurídico en su conjunto. Para identificar y coordinar los intereses de los órganos del gobierno federal, los órganos de gobierno de las entidades constitutivas de la Federación de Rusia y otros sujetos de relaciones en el ámbito de la información y desarrollar las decisiones necesarias, el Estado apoya la formación de consejos, comités y comisiones públicas. con una amplia representación de asociaciones públicas y facilita la organización de su trabajo eficaz.

Características de la certificación y estandarización de servicios criptográficos.

En casi todos los países con tecnologías criptográficas desarrolladas, el desarrollo de CIPF está sujeto a regulación gubernamental. La regulación estatal, por regla general, incluye la concesión de licencias para actividades relacionadas con el desarrollo y operación de herramientas criptográficas, la certificación CIPF y la estandarización de algoritmos de transformación criptográfica.

Los siguientes tipos de actividades están sujetos a licencia: desarrollo, producción, pruebas de certificación, venta, operación de herramientas de cifrado destinadas a la protección criptográfica de información que contiene información que constituye un secreto de estado u otro secreto legalmente protegido durante su procesamiento, almacenamiento y transmisión a través de canales de comunicación. así como la prestación de servicios en materia de cifrado de esta información; desarrollo, producción, pruebas de certificación, operación de sistemas y complejos de telecomunicaciones de los máximos órganos gubernamentales de la Federación de Rusia; desarrollo, producción, pruebas de certificación, implementación, operación de sistemas cerrados y complejos de telecomunicaciones de órganos gubernamentales de las entidades constitutivas de la Federación de Rusia, órganos centrales del gobierno federal poder Ejecutivo, organizaciones, empresas, bancos y otras instituciones ubicadas en el territorio de la Federación de Rusia, independientemente de su afiliación departamental y formas de propiedad (en adelante, sistemas cerrados y complejos de telecomunicaciones) destinados a la transmisión de información que constituya un secreto de estado u otro secreto. protegido por la ley; realización de pruebas de certificación, implementación y operación de herramientas de cifrado, sistemas cerrados y complejos de telecomunicaciones destinados a procesar información que no contenga información que constituya un secreto de estado u otro secreto legalmente protegido durante su procesamiento, almacenamiento y transmisión a través de canales de comunicación, así como la provisión de Servicios en el campo del cifrado de esta información.

Las herramientas de cifrado incluyen: hardware, software y herramientas de hardware-software que implementan algoritmos criptográficos para convertir información, garantizando la seguridad de la información durante su procesamiento, almacenamiento y transmisión a través de canales de comunicación, incluida la tecnología de cifrado; medios de protección de hardware, software y hardware-software contra el acceso no autorizado a la información durante su procesamiento y almacenamiento que implementan algoritmos criptográficos para convertir información; implementar algoritmos criptográficos para convertir información, hardware, software y medios de protección hardware-software contra la imposición de información falsa, incluidos medios de protección por imitación y "firma digital"; hardware, hardware-software y software para la producción de documentos clave para herramientas de cifrado, independientemente del tipo de soporte de información clave.

A sistemas cerrados y los complejos de telecomunicaciones incluyen sistemas y complejos de telecomunicaciones que garantizan la protección de la información mediante herramientas de cifrado, equipos seguros y medidas organizativas.

Además, están sujetos a licencia los siguientes tipos de actividades: operación de herramientas de cifrado y/o herramientas de firma digital, así como herramientas de cifrado para proteger pagos electrónicos utilizando tarjetas de crédito plásticas y tarjetas inteligentes; prestación de servicios de protección de información (cifrado); instalación, instalación, ajuste de herramientas de cifrado y/o herramientas de firma digital, herramientas de cifrado para proteger pagos electrónicos utilizando tarjetas de crédito de plástico y tarjetas inteligentes; desarrollo de herramientas de cifrado y/o herramientas de firma digital, herramientas de cifrado para proteger pagos electrónicos utilizando tarjetas de crédito de plástico y tarjetas inteligentes

El procedimiento de certificación de CIPF lo establece el Sistema de certificación de herramientas de protección de información criptográfica ROSS.R11.0001.030001 de la Norma Estatal Rusa.

La estandarización de los algoritmos de transformación criptográfica incluye una investigación y publicación integral en forma de estándares de elementos de procedimientos criptográficos con el objetivo de utilizar transformaciones criptográficamente fuertes probadas por parte de los desarrolladores de CIPF, garantizando la posibilidad de operación conjunta de varios CIPF, así como la capacidad de realizar pruebas. y verificar el cumplimiento de la implementación CIPF con el algoritmo especificado por el estándar. En Rusia se han adoptado los siguientes estándares: el algoritmo de transformación criptográfica 28147-89, los algoritmos de hash, fijación y verificación de firma digital R34.10.94 y R34.11.94. Entre los estándares extranjeros, son ampliamente conocidos y utilizados los algoritmos de cifrado DES, RC2, RC4, los algoritmos de hash MD2, MD4 y MD5, así como los algoritmos para colocar y verificar firmas digitales DSS y RSA.

Marco legislativo para la seguridad de la información

Los conceptos, requisitos, métodos y herramientas básicos para diseñar y evaluar un sistema de seguridad de la información para sistemas de información (SI) se reflejan en los siguientes documentos fundamentales:

"Libro Naranja" del Centro Nacional de Seguridad Informática

"Criterios armonizados de los países europeos (ITSEC)";

Concepto de protección contra actividades ilegales de la Comisión Estatal del Presidente de la Federación de Rusia.

Concepto de seguridad de la información

El concepto de seguridad del sistema que se está desarrollando es “un conjunto de leyes, reglas y normas de comportamiento que determinan cómo una organización procesa, protege y distribuye información. En particular, las reglas determinan en qué casos el usuario tiene derecho a operar con cierta información. conjuntos de datos. Cuanto más confiable sea el sistema, más estricto y el concepto de seguridad debe ser más diverso. Dependiendo del concepto formulado, se pueden seleccionar mecanismos específicos para garantizar la seguridad del sistema. incluyendo el análisis de posibles amenazas y la selección de contramedidas."

Según el Libro Naranja, el concepto de seguridad del sistema que se está desarrollando debería incluir los siguientes elementos:

Control de acceso aleatorio;

Seguridad de la reutilización de objetos;

Etiquetas de seguridad;

Control de acceso obligatorio.

Consideremos el contenido de los elementos enumerados.

El control de acceso aleatorio es un método para restringir el acceso a objetos, basándose en tener en cuenta la identidad del sujeto o grupo al que pertenece el sujeto. La arbitrariedad del control es que una persona (generalmente el propietario de un objeto) puede, a su propia discreción, dar o quitar a otros sujetos derechos de acceso al objeto.

La principal ventaja del control de acceso aleatorio es la flexibilidad, las principales desventajas son la dispersión del control y la complejidad del control centralizado, así como el aislamiento de los derechos de acceso a los datos, lo que permite copiar información secreta en archivos públicos.

La seguridad de la reutilización de objetos es una adición importante a los controles de acceso en la práctica, ya que protege contra la recuperación accidental o intencional de información confidencial de la basura. Se debe garantizar la seguridad de la reutilización de las zonas memoria de acceso aleatorio(en particular, para buffers con imágenes de pantalla, contraseñas descifradas, etc.), para bloques de disco y soportes magnéticos en general.

Las etiquetas de seguridad están asociadas con sujetos y objetos para hacer cumplir el control de acceso. La etiqueta del sujeto describe su confiabilidad, la etiqueta del objeto describe el grado de confidencialidad de la información que contiene. Según el Libro Naranja, las etiquetas de seguridad constan de dos partes: un nivel de seguridad y una lista de categorías. el problema principal La cuestión que debe abordarse con las etiquetas es garantizar su integridad. En primer lugar, no debe haber sujetos u objetos sin etiquetar; de lo contrario, habrá agujeros fácilmente explotables en la seguridad etiquetada. En segundo lugar, durante cualquier operación con datos, las etiquetas deben permanecer correctas. Una forma de garantizar la integridad de las etiquetas de seguridad es separar los dispositivos en dispositivos de varios niveles y de un solo nivel. Los dispositivos multinivel pueden almacenar información con diferentes niveles de secreto (más precisamente, dentro de un cierto rango de niveles). Un dispositivo de un solo nivel puede considerarse como un caso degenerado de un dispositivo de varios niveles, donde el rango permitido consiste en un solo nivel. Conociendo el nivel del dispositivo, el sistema puede decidir si está permitido escribir información con una etiqueta determinada.

El control de acceso obligatorio se basa en hacer coincidir las etiquetas de seguridad del sujeto y del objeto. Este método de control de acceso se denomina forzado, ya que no depende de la voluntad de los sujetos (incluso administradores de sistemas). El control de acceso obligatorio viene en muchas formas sistemas operativos y DBMS, caracterizados por medidas de seguridad mejoradas.