Instrumentele de protecție a informațiilor criptografice sunt utilizate pentru a proteja informațiile personale sau secrete transmise prin liniile de comunicare. Pentru menținerea confidențialității datelor, se recomandă efectuarea de autorizare, autentificarea părților folosind protocoalele TLS, IPSec și asigurarea securității semnăturii electronice și a canalului de comunicare propriu-zis.

ISBC oferă soluții eficiente de marcă privind utilizarea facilităților de stocare securizate pentru informatii importante, semnatura electronica, protectia accesului la utilizarea sistemelor de control. Cele mai mari organizații guvernamentale cooperează cu noi, inclusiv Serviciul Fiscal Federal al Rusiei, producători și dezvoltatori de top de instrumente de securitate a informațiilor criptografice software, centre de certificare care operează în diferite regiuni ale Rusiei.

CIPF: tipuri, aplicație

Când utilizați CIPF, sunt utilizate următoarele metode:

1. Autorizarea datelor, asigurând protecția criptografică a semnificației lor legale în timpul transmiterii și stocării. În acest scop, se folosesc algoritmi pentru a genera o cheie electronică și a o verifica în conformitate cu reglementările specificate.
2. Protecția criptografică a informațiilor personale sau secrete, control asupra integrității acestora. Aplicarea criptării asimetrice, protecție împotriva imitației (eliminarea posibilității de substituire a datelor).
3. Protecția criptografică a aplicației și a software-ului de sistem. Asigurarea controlului asupra modificărilor neautorizate și a funcționării incorecte.
4. Gestionarea principalelor elemente ale sistemului în conformitate cu reglementările stabilite.
5. Autentificarea părților care fac schimb de date.
6. Protecția criptografică a transmiterii informațiilor folosind protocolul TLS.
7. Utilizarea protecției criptografice pentru conexiunile IP folosind ESP, IKE, AH.

O descriere completă a utilizării mijloacelor de protecție a informațiilor criptografice este conținută în documentele relevante.

soluții CIPF

În procesul de asigurare securitatea informatiei CIPF utilizează următoarele metode:

1. Autentificarea în aplicații se realizează datorită Blitz Identity Provider. Serverul de autentificare permite, folosind un singur cont, gestionează resursele conectate de orice tip (aplicații native, web, desktop), oferă autentificare strictă a utilizatorilor folosind un token, smart card.
2. La momentul stabilirii comunicarii, identificarea partilor este asigurata gratie unei semnaturi electronice. Inter-PRO oferă capacități de protecție, editare și control a traficului HTTP semnătură digitală online.
3. Instrumentele de protecție criptografică utilizate pentru confidențialitatea fluxului de documente digitale folosesc și o semnătură electronică. Pentru a lucra cu cheie electronică Pluginul Blitz Smart Card este utilizat în formatul aplicației web.
4. Utilizarea mijloacelor de securitate criptografică elimină introducerea de dispozitive încorporate și malware și modificarea sistemului.

Clasificarea CIPF

Instrumente utilizate pentru protecția criptografică a informațiilor deschise în sisteme diferite,Oferind confidențialitate în rețelele deschise, urmărește protejarea integrității datelor. Este important ca utilizarea unor astfel de instrumente pentru stocarea secretelor de stat să fie interzisă prin lege, dar este destul de potrivită pentru asigurarea siguranței informațiilor personale.

Mijloacele utilizate pentru protecția informațiilor criptografice sunt clasificate în funcție de amenințarea probabilă și de o evaluare a metodei probabile de piratare a sistemului. Acestea depind de prezența capacităților nedocumentate sau de nerespectarea caracteristicilor declarate, care pot conține:

1. software de sistem;
2. software de aplicație;
3. alte dezavantaje ale mediului de stocare.

Protecția software este reprezentată de un set de soluții menite să cripteze mesajele aflate pe diverse medii de stocare. Astfel de medii de stocare pot fi carduri de memorie, unități flash sau hard disk. Cele mai simple dintre ele pot fi găsite în domeniul public. Protecția criptografică software include rețele virtuale concepute pentru schimbul de mesaje care funcționează „pe Internet”, de exemplu, VPN-uri, extensii care au Protocolul HTTP, care acceptă extensii pentru HTTPS, criptare SSL. Protocoalele folosite pentru schimbul de informații sunt folosite pentru a crea aplicații Internet în telefonia IP.

Protecția criptografică prin software este convenabilă de utilizat pe computerele de acasă, pentru navigarea pe Internet și în alte zone în care nu sunt impuse cerințe mari asupra funcționalității și fiabilității sistemului. Sau, ca atunci când utilizați Internetul, trebuie să creați un număr mare de conexiuni securizate diferite.

Sisteme hardware de protecție criptografică

Mijloacele hardware de protecție criptografică sunt dispozitive fizice asociate cu un sistem de transmisie a datelor care asigură criptarea, înregistrarea și transmiterea informațiilor. Dispozitivele pot fi dispozitive personale sau pot arăta ca:

• Criptare USB, unități flash.

Folosind aceste dispozitive puteți construi rețele de computere perfect sigure.

Instrumentele hardware de protecție criptografică sunt ușor de instalat și oferă o rată de răspuns ridicată. Informațiile necesare pentru a asigura un nivel ridicat de protecție criptografică se află în memoria dispozitivului. Poate fi citit contact sau non-contact.

Când utilizați CIPF produs sub marca ESMART, veți primi tehnologii eficiente care oferă protecție criptografică eficientă online sau offline, autentificarea utilizatorului folosind token-uri, carduri inteligente sau date biometrice. Combinație de metode hardware cu soluții software vă permite să obțineți la maximum nivel înalt protectie cu putin timp si efort in procesul de schimb de informatii.

O caracteristică importantă a liniei de produse de protecție criptografică ESMART® este prezența unui produs unic – bazat pe cipul casnic MIK 51 de la Mikron PJSC, cu ajutorul căruia puteți rezolva în mod eficient multe probleme legate de securitate și protecția datelor. . Este un CIPF cu suport hardware pentru algoritmii criptografici rusești GOST bazați pe un cip intern.

CIPF ESMART® Token GOST este emis sub formă de carduri inteligente și jetoane. Dezvoltarea companiei ESMART este certificată de FSB al Rusiei în clasele KS1/KS2/KS3. Certificatul nr. SF/124-3668 certifică că CIPF ESMART Token GOST respectă cerințele FSB al Rusiei pentru mijloacele de criptare (criptografice) din clasa KS1/KS2/KS3, cerințele pentru mijloacele de semnătură electronică aprobate prin Ordinul FSB nr. 796 și poate fi folosit pentru protecția informațiilor criptografice, care nu conțin informații care constituie secret de stat. Notificarea ABPN.1-2018 permite utilizarea GOST R 34.10-2001 în ESMART Token GOST CIPF în perioada de valabilitate a certificatului din cauza amânării tranziției la GOST R 34.10-2012 până la 1 ianuarie 2020. De asemenea, ESMART® Token GOST poate fi folosit pentru a genera chei, a genera și a verifica semnături electronice, autentificare strictă a utilizatorilor cu mai mulți factori etc.

Compania ESMART se ofera sa achizitioneze CIPF modern la cele mai bune preturi de la producator. Centrul nostru de cercetare și dezvoltare de inginerie și producția sunt situate în Zelenograd. Utilizarea cipurilor producție rusească ne permite să oferim cele mai bune și mai competitive prețuri pentru instrumentele de protecție a informațiilor criptografice pentru proiecte guvernamentale, întreprinderi și organizații.

Instrumentele de protecție a informațiilor criptografice, sau pe scurt CIPF, sunt utilizate pentru a asigura o protecție completă a datelor transmise prin liniile de comunicație. Pentru a face acest lucru, este necesar să se asigure autorizarea și protecția semnăturii electronice, autentificarea părților care comunică folosind protocoalele TLS și IPSec, precum și protecția canalului de comunicație în sine, dacă este necesar.

În Rusia, utilizarea mijloacelor criptografice de securitate a informațiilor este în mare parte clasificată, așa că există puține informații disponibile public pe această temă.

Metode utilizate în CIPF

• Autorizarea datelor și asigurarea securității semnificației lor juridice în timpul transmiterii sau stocării. Pentru a face acest lucru, folosesc algoritmi pentru crearea unei semnături electronice și verificarea acesteia în conformitate cu reglementările stabilite RFC 4357 și folosesc certificate conform standardului X.509.
• Protejarea confidențialității datelor și monitorizarea integrității acestora. Se utilizează criptarea asimetrică și protecția împotriva imitației, adică contracarând substituția de date. Respectat GOST R 34.12-2015.
• Protecția software-ului de sistem și aplicație. Monitorizați modificările neautorizate sau funcționarea incorectă.
• Gestionarea celor mai importante elemente ale sistemului în strictă conformitate cu reglementările adoptate.
• Autentificarea părților care fac schimb de date.
• Securizarea conexiunii folosind protocolul TLS.
• Protejarea conexiunilor IP folosind protocoalele IKE, ESP, AH.

Metodele sunt descrise în detaliu în următoarele documente: RFC 4357, RFC 4490, RFC 4491.

Mecanismele CIPF pentru protecția informațiilor

1. Confidențialitatea informațiilor stocate sau transmise este protejată prin utilizarea algoritmilor de criptare.
2. La stabilirea unei conexiuni, identificarea este furnizată prin intermediul unei semnături electronice atunci când este utilizată în timpul autentificării (așa cum este recomandat de X.509).
3. Fluxul documentelor digitale este, de asemenea, protejat de semnături electronice, împreună cu protecție împotriva impunerii sau repetarii, în timp ce autenticitatea cheilor utilizate pentru verificarea semnăturilor electronice este monitorizată.
4. Integritatea informațiilor este asigurată prin intermediul unei semnături digitale.
5. Utilizarea funcțiilor de criptare asimetrică vă ajută să vă protejați datele. În plus, funcțiile hashing sau algoritmii de uzurpare a identității pot fi utilizați pentru a verifica integritatea datelor. Cu toate acestea, aceste metode nu acceptă determinarea dreptului de autor a unui document.
6. Protecția împotriva repetării are loc utilizând funcțiile criptografice ale unei semnături electronice pentru protecția la criptare sau la imitație. În acest caz, la fiecare sesiune de rețea este adăugat un identificator unic, suficient de lung pentru a exclude coincidența aleatorie a acesteia, iar verificarea este implementată de partea care primește.
7. Protecția împotriva impunerii, adică împotriva pătrunderii în comunicații din exterior, este asigurată prin intermediul semnăturii electronice.
8. O altă protecție - împotriva marcajelor, virușilor, modificărilor sistemului de operare etc. - este asigurată folosind diverse mijloace criptografice, protocoale de securitate, software antivirus și măsuri organizatorice.

După cum puteți vedea, algoritmii de semnătură electronică sunt o parte fundamentală a unui mijloc de protecție a informațiilor criptografice. Ele vor fi discutate mai jos.

Cerințe pentru utilizarea CIPF

CIPF are ca scop protejarea (prin verificarea unei semnături electronice) a datelor deschise în diverse sisteme informatice ah utilizarea generală și asigurarea confidențialității acestora (verificarea semnăturii electronice, protecția împotriva imitațiilor, criptarea, verificarea hash) în rețelele corporative.

Un instrument de protecție a informațiilor criptografice personale este utilizat pentru a proteja datele personale ale utilizatorului. Cu toate acestea, un accent deosebit trebuie pus pe informațiile legate de secretele de stat. Conform legii, CIPF nu poate fi folosit pentru a lucra cu el.

Important: înainte de a instala CIPF, ar trebui să verificați mai întâi pachetul software CIPF însuși. Acesta este primul pas. De obicei, integritatea pachetului de instalare este verificată prin compararea sumelor de control primite de la producător.

După instalare, ar trebui să determinați nivelul de amenințare, pe baza căruia puteți determina tipurile de CIPF necesare pentru utilizare: software, hardware și hardware-software. De asemenea, trebuie avut în vedere faptul că la organizarea unor CIPF este necesar să se țină cont de amplasarea sistemului.

Clase de protectie

Conform ordinului FSB al Rusiei din 10 iulie 2014, numărul 378, care reglementează utilizarea mijloacelor criptografice de protecție a informațiilor și a datelor cu caracter personal, sunt definite șase clase: KS1, KS2, KS3, KB1, KB2, KA1. Clasa de protecție pentru un anumit sistem este determinată dintr-o analiză a datelor despre modelul intrusului, adică dintr-o evaluare moduri posibile piratarea sistemului. Protecția în acest caz este construită din protecția informațiilor criptografice software și hardware.

AC (amenințările curente), după cum se poate observa din tabel, sunt de 3 tipuri:

1. Amenințările de primul tip sunt asociate cu capabilități nedocumentate în software-ul de sistem utilizat în sistemul informațional.
2. Amenințările de al doilea tip sunt asociate cu capabilități nedocumentate în aplicația software utilizată în sistemul informațional.
3. Al treilea tip de amenințare se referă la toate celelalte.

Caracteristicile nedocumentate sunt funcții și caracteristici ale software-ului care nu sunt descrise în documentația oficială sau nu corespund acesteia. Adică, utilizarea lor poate crește riscul încălcării confidențialității sau integrității informațiilor.

Pentru claritate, să ne uităm la modelele de intruși a căror interceptare necesită una sau alta clasă de mijloace de securitate a informațiilor criptografice:

• KS1 - intrusul acționează din exterior, fără asistenți în interiorul sistemului.
• KS2 este un intrus intern, dar nu are acces la CIPF.
• KS3 este un intrus intern care este utilizator al CIPF.
• KV1 este un intrus care atrage resurse terțe, de exemplu, specialiști CIPF.
• KV2 este un intrus, în spatele căruia se află un institut sau un laborator care lucrează în domeniul studierii și dezvoltării CIPF.
• KA1 - servicii speciale ale statelor.

Astfel, KS1 poate fi numit clasa de protecție de bază. În consecință, cu cât clasa de protecție este mai mare, cu atât sunt mai puțini specialiști capabili să o asigure. De exemplu, în Rusia, conform datelor pentru 2013, existau doar 6 organizații care aveau un certificat de la FSB și erau capabile să ofere protecție de clasă KA1.

Algoritmi utilizați

Să luăm în considerare principalii algoritmi utilizați în instrumentele de protecție a informațiilor criptografice:

• GOST R 34.10-2001 și GOST R 34.10-2012 actualizat - algoritmi pentru crearea și verificarea unei semnături electronice.
• GOST R 34.11-94 și cel mai recent GOST R 34.11-2012 - algoritmi pentru crearea de funcții hash.
• GOST 28147-89 și mai mult GOST nou R 34.12-2015 - implementarea algoritmilor de criptare si protectie a datelor.
• Algoritmi criptografici suplimentari se găsesc în RFC 4357.

Semnătura electronică

Utilizarea instrumentelor de securitate a informațiilor criptografice nu poate fi imaginată fără utilizarea algoritmilor de semnătură electronică, care câștigă o popularitate din ce în ce mai mare.

O semnătură electronică este o parte specială a unui document creată prin transformări criptografice. Sarcina sa principală este identificarea modificărilor neautorizate și determinarea autorului.

Un certificat de semnătură electronică este un document separat care dovedește autenticitatea și proprietatea unei semnături electronice proprietarului acesteia, folosind o cheie publică. Certificatele sunt emise de autoritățile de certificare.

Deținătorul unui certificat de semnătură electronică este persoana în numele căreia este înregistrat certificatul. Este asociat cu două chei: publică și privată. Cheia privată vă permite să creați o semnătură electronică. Scopul unei chei publice este de a verifica autenticitatea unei semnături printr-o legătură criptografică la cheia privată.

Tipuri de semnătură electronică

Conform Legii federale nr. 63, semnăturile electronice sunt împărțite în 3 tipuri:

• semnătură electronică obișnuită;
• semnătură electronică necalificată;
• semnătură electronică calificată.

O semnătură electronică simplă este creată prin parole impuse la deschiderea și vizualizarea datelor, sau prin mijloace similare care confirmă indirect proprietarul.

O semnătură electronică necalificată este creată folosind transformări de date criptografice folosind o cheie privată. Datorită acestui fapt, puteți confirma persoana care a semnat documentul și puteți determina dacă au fost efectuate modificări neautorizate asupra datelor.

Semnăturile calificate și necalificate diferă doar prin aceea că, în primul caz, certificatul pentru semnătură electronică trebuie eliberat de un centru de certificare certificat de FSB.

Domeniul de utilizare a semnăturii electronice

Tabelul de mai jos discută domeniul de aplicare al semnăturilor electronice.

Tehnologiile de semnătură electronică sunt utilizate cel mai activ în schimbul de documente. În fluxul documentelor interne, semnătura electronică acționează ca o aprobare a documentelor, adică ca semnătură sau sigiliu personal. În cazul fluxului de documente externe, prezența unei semnături electronice este critică, deoarece este o confirmare legală. De asemenea, este de remarcat faptul că documentele semnate cu semnături electronice pot fi stocate pe termen nelimitat și nu își pierd semnificația legală din cauza unor factori precum semnături șterse, hârtie deteriorată etc.

Raportarea către autoritățile de reglementare este un alt domeniu în care fluxul de documente electronice este în creștere. Multe companii și organizații au apreciat deja confortul de a lucra în acest format.

În lege Federația Rusă Fiecare cetățean are dreptul de a utiliza o semnătură electronică atunci când folosește serviciile guvernamentale (de exemplu, semnarea unei cereri electronice pentru autorități).

Comerțul online este un alt domeniu interesant în care semnăturile electronice sunt utilizate în mod activ. Acesta confirmă faptul că o persoană reală participă la licitație și ofertele sale pot fi considerate de încredere. De asemenea, este important ca orice contract încheiat cu ajutorul unei semnături electronice să dobândească forță juridică.

Algoritmi de semnătură electronică

• Full Domain Hash (FDH) și standarde de criptare cu chei publice (PKCS). Acesta din urmă reprezintă un întreg grup de algoritmi standard pentru diverse situații.
• DSA și ECDSA sunt standarde pentru crearea semnăturilor electronice în SUA.
• GOST R 34.10-2012 - standard pentru crearea semnăturilor electronice în Federația Rusă. Acest standard a înlocuit GOST R 34.10-2001, care a expirat oficial după 31 decembrie 2017.
• Uniunea Eurasiatică folosește standarde complet similare cu cele rusești.
• STB 34.101.45-2013 - standard belarus pentru semnătură electronică digitală.
• DSTU 4145-2002 - standard pentru crearea unei semnături electronice în Ucraina și multe altele.

De asemenea, merită remarcat faptul că algoritmii pentru crearea semnăturilor electronice au scopuri și obiective diferite:

• Semnătură electronică de grup.
• Semnătură digitală unică.
• Semnătură electronică de încredere.
• Semnătura calificată și necalificată etc.

1.1. Această politică pentru aplicarea instrumentelor de protecție a informațiilor criptografice ( mai departe - Politică ) stabilește procedura de organizare și asigurare a funcționării criptării ( criptografic) înseamnă destinat protejării informațiilor care nu conțin informații care constituie secret de stat ( mai departe - CIPF, cripto-mijloace ) în cazul utilizării acestora pentru a asigura securitatea informațiilor confidențiale și a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale.

1.2. Această politică a fost elaborată în conformitate cu:

• Legea federală "Despre datele personale" , reglementări ale Guvernului Federației Ruse în domeniul asigurării securității datelor cu caracter personal;
• Legea federală nr. 63-FZ "Despre semnatura electronica" ;
• Ordinul FSB al Federației Ruse nr. 378 „Cu privire la aprobarea compoziției și conținutului măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal, folosind instrumente de protecție a informațiilor criptografice necesare pentru îndeplinirea cerințelor stabilite de Guvernul Federației Ruse pentru protecția date personale pentru fiecare nivel de securitate”;
• Ordinul FAPSI nr. 152 “ La aprobarea Instrucțiunilor privind organizarea și asigurarea securității stocării, prelucrării și transmiterii prin canale de comunicații prin intermediul mijloacelor de protecție criptografică a informațiilor cu acces limitat care nu conțin informații care constituie secret de stat»;
• Ordinul FSB al Federației Ruse N 66 " La aprobarea Regulamentului privind dezvoltarea, producerea, vânzarea și exploatarea mijloacelor de criptare (criptografice) de securitate a informațiilor (Regulamente PKZ-2005) »;

1.3. Această Politică se aplică instrumentelor criptografice concepute pentru a asigura securitatea informațiilor confidențiale și a datelor cu caracter personal atunci când sunt procesate în sistemele informaționale;

1.4. Mijloace criptografice de protecție a informațiilor ( mai departe - CIPF ), implementarea funcțiilor de criptare și semnătură electronică sunt folosite pentru a proteja documentele electronice transmise prin canale de comunicații publice, de exemplu, internetul public, sau prin canale de comunicație dial-up.

1.5. Pentru a asigura securitatea, este necesar să se utilizeze CIPF, care:

• permite încorporarea în procese tehnologice prelucrarea mesajelor electronice, asigurarea interacțiunii cu aplicația software la nivelul procesării cererilor de transformări criptografice și emiterii rezultatelor;
• sunt furnizate de dezvoltatori cu un set complet de documentație operațională, inclusiv o descriere sistem cheie, regulile de lucru cu acesta, precum și justificarea suportului organizatoric și de personal necesar;
• sprijinirea continuității proceselor de înregistrare a funcționării CIPF și asigurarea integrității software-ului pentru mediul de operare CIPF, care este un set de instrumente hardware și software, împreună cu care are loc funcționarea normală a CIPF și care poate afecta îndeplinirea cerințelor pentru CIPF;
• certificate de un organism de stat autorizat sau au permisiunea FSB al Rusiei.

1.6. CIPF utilizat pentru protejarea datelor cu caracter personal trebuie să aibă o clasă de cel puțin KS2.

1.7. CIPF este implementat pe baza algoritmilor care respectă standardele naționale ale Federației Ruse și termenii acordului cu contrapartea.

1.8. CIPF, licențele, documentele cheie însoțitoare, instrucțiunile pentru CIPF sunt achiziționate de organizație în mod independent sau pot fi obținute de la o terță parte care inițiază fluxul de documente securizat.

1.9. CIPF, inclusiv mediile de instalare, documentele cheie, descrierile și instrucțiunile pentru CIPF, constituie un secret comercial în conformitate cu Regulamentul privind informațiile confidențiale.

1. Procedura de utilizare a CIPF

2.1. Instalarea și configurarea instrumentelor de protecție a informațiilor criptografice se efectuează în conformitate cu documentația operațională, instrucțiunile FSB al Rusiei și ale altor organizații care participă la fluxul securizat de documente electronice. La finalizarea instalării și configurării, se verifică disponibilitatea CIPF pentru utilizare, se elaborează concluzii cu privire la posibilitatea de funcționare a acestora și se pune în funcțiune CIPF.

Amplasarea și instalarea CIPF, precum și a altor echipamente care operează cu cripto-active, în spații securizate ar trebui să minimizeze posibilitatea accesului necontrolat al persoanelor neautorizate la aceste fonduri. Întreținerea unor astfel de echipamente și schimbarea cheilor cripto se efectuează în absența persoanelor neautorizate să lucreze cu datele CIPF. Este necesar să se prevadă măsuri organizatorice și tehnice pentru a exclude posibilitatea utilizării CIPF de către persoane neautorizate. Amplasarea fizică a CIPF trebuie să asigure securitatea CIPF și să prevină accesul neautorizat la CIPF. Accesul persoanelor în incinta în care se află echipamentul de protecție este limitat în conformitate cu nevoile oficiale și este determinat de o listă aprobată de director.

Încorporarea fondurilor cripto din clasa KS1 și KS2 este efectuată fără control de către FSB al Rusiei ( dacă acest control nu este prevăzut în caietul de sarcini pentru dezvoltarea (modernizarea) sistemului informaţional).

Încorporarea criptomonedelor din clasa KS3, KB1, KB2 și KA1 se realizează numai sub controlul FSB al Rusiei.

Încorporarea cripto-instrumentelor din clasa KS1, KS2 sau KS3 poate fi efectuată fie de către utilizatorul însuși al cripto-instrumentului dacă are licența corespunzătoare de la FSB al Rusiei, fie de către o organizație care are licența corespunzătoare de la FSB a Rusiei.

Încorporarea criptomonedelor din clasa KV1, KV2 sau KA1 este efectuată de o organizație care are licența corespunzătoare de la FSB al Rusiei.

Dezafectarea CIPF se efectuează sub rezerva unor proceduri care asigură eliminarea garantată a informațiilor, a căror utilizare neautorizată poate dăuna activităților de afaceri ale organizației, precum și a informațiilor utilizate de instrumentele de securitate a informațiilor, din memoria permanentă și din mediile externe ( cu excepția arhivelor documentelor electronice și a protocoalelor de interacțiune electronică, a căror întreținere și păstrare pentru o anumită perioadă sunt prevăzute de documentele de reglementare și (sau) contractuale relevante.) și este formalizat prin lege. CIPF este distrus ( dispune) prin decizie a proprietarului cripto-fondului, și cu notificarea organizației responsabile în conformitate cu organizarea contabilității copie-cu-instanță a cripto-fondurilor.

Destinat distrugerii ( reciclare) CIPF sunt supuse eliminării din hardware-ul cu care au funcționat. În acest caz, cripto-instrumentele sunt considerate eliminate din hardware dacă procedura de eliminare a software-ului cripto-instrumentelor, prevăzută în documentația operațională și tehnică pentru CIPF, a fost finalizată și sunt complet deconectate de la hardware.

Componente hardware de uz general și părți adecvate pentru utilizare ulterioară, care nu sunt concepute special pentru implementarea hardware a algoritmilor criptografici sau a altor funcții CIPF, precum și echipamente care funcționează împreună cu instrumente criptografice ( monitoare, imprimante, scanere, tastaturi etc.), poate fi utilizat după distrugerea CIPF fără restricții. În acest caz, informațiile care pot rămâne în dispozitivele de memorie ale echipamentului ( de exemplu, în imprimante, scanere), trebuie îndepărtat în siguranță ( sters).

2.2. Funcționarea CIPF este realizată de persoane desemnate prin ordin al directorului organizației și care au fost instruite să lucreze cu acestea. Dacă există doi sau mai mulți utilizatori CIPF, responsabilitățile sunt distribuite între aceștia, ținând cont de responsabilitatea personală pentru siguranța activelor cripto, cheie, documentație operațională și tehnică, precum și pentru zonele de lucru alocate.

Utilizatorii de fonduri cripto sunt obligați să:

• să nu dezvăluie informații la care sunt autorizați, inclusiv informații despre CIPF și alte măsuri de protecție;
• nu dezvăluie informații despre documentele cheie;
• nu permiteți să se facă copii ale documentelor cheie;
• împiedică afișarea documentelor cheie ( monitor) computer personal sau imprimanta;
• nu permiteți înregistrarea informațiilor străine pe mediile cheie;
• nu permiteți instalarea documentelor cheie pe alte computere personale;
• să respecte cerințele pentru asigurarea securității informațiilor, cerințele pentru asigurarea securității CIPF și documentele cheie aferente acestora;
• raportează încercările persoanelor neautorizate care le-au devenit cunoscute de a obține informații despre CIPF-ul utilizat sau documente cheie pentru acestea;
• să notifice imediat despre faptele de pierdere sau lipsă de CIPF, documentele cheie pentru acestea, cheile sediilor, spațiile de depozitare, sigiliile personale și alte fapte care pot duce la dezvăluirea informațiilor protejate;
• depune CIPF, documentație operațională și tehnică pentru aceștia, documente cheie la concediere sau scoatere din atribuții legate de utilizarea criptomonedelor.

Securitatea prelucrării informațiilor cu ajutorul CIPF este asigurată de:

• respectarea de către utilizatori a confidențialității atunci când manipulează informațiile care le sunt încredințate sau care au devenit cunoscute prin activitatea lor, inclusiv informații despre funcționarea și procedura de asigurare a securității CIPF utilizat și documentele cheie ale acestora;
• conformitatea corectă de către utilizatorii CIPF cu cerințele de securitate a informațiilor;
• stocarea fiabilă a documentației operaționale și tehnice pentru CIPF, documente cheie, medii de distribuție limitate;
• detectarea în timp util a încercărilor persoanelor neautorizate de a obține informații despre informațiile protejate, despre CIPF-ul utilizat sau documentele cheie ale acestora;
• adoptarea imediată a măsurilor de prevenire a dezvăluirii informațiilor protejate, precum și posibila scurgere a acestora în cazul detectării unor fapte de pierdere sau lipsă de CIPF, documente cheie pentru acestea, certificate, permise, chei de la sediul, spațiile de depozitare, seifuri ( dulapuri metalice), sigilii personale etc.

Dacă este necesar să se transmită mesaje de serviciu cu acces restricționat prin mijloace tehnice de comunicare privind organizarea și funcționarea CIPF, aceste mesaje trebuie transmise numai prin mijloace cripto. Transferul de criptochei prin mijloace tehnice de comunicare nu este permis, cu excepția sistemelor special organizate cu o aprovizionare descentralizată de criptochei.

CIPF sunt supuse contabilității folosind indici sau nume convenționale și numere de înregistrare. Lista indicilor, numelor de cod și numerelor de înregistrare ale cripto-activelor este stabilită de Serviciul Federal de Securitate al Federației Ruse.

CIPF utilizat sau stocat, documentația operațională și tehnică pentru acestea, documentele cheie sunt supuse înregistrării copie cu copie. Forma Jurnalului de bord CIPF este prezentată în Anexa nr. 1, Jurnalul media cheie în Anexa nr. 2 la această Politică. În acest caz, sistemele software de protecție a informațiilor criptografice trebuie luate în considerare împreună cu hardware-ul cu care se realizează funcționarea lor normală. Dacă hardware sau hardware-software CIPF este conectat la magistrala de sistem sau la una dintre interfețele hardware interne, atunci astfel de cripto-mijloace sunt de asemenea luate în considerare împreună cu hardware-ul corespunzător.

Unitatea de contabilizare copie cu copie a documentelor cheie este considerată a fi un suport cheie reutilizabil, un caiet cheie. Dacă același mediu de cheie este utilizat în mod repetat pentru a înregistra cheile cripto, atunci acesta ar trebui înregistrat separat de fiecare dată.

Toate copiile primite ale cripto-activelor, documentația operațională și tehnică pentru acestea, documentele cheie trebuie eliberate împotriva primirii în registrul corespunzător copie-cu-copie utilizatorilor cripto-activelor care sunt personal responsabili pentru siguranța lor.

Transferul CIPF, a documentației operaționale și tehnice pentru aceștia și a documentelor cheie este permis numai între utilizatorii cripto-activelor și (sau) utilizatorul responsabil al cripto-activelor, contra unei chitanțe în jurnalele corespunzătoare ale fiecărei instanțe. Un astfel de transfer între utilizatorii de fonduri cripto trebuie să fie autorizat.

Depozitarea suporturilor de instalare CIPF, documentația operațională și tehnică, documentele cheie se realizează în dulapuri ( cutii, depozitare) pentru utilizare individuală în condiții care împiedică accesul necontrolat la acestea, precum și distrugerea lor neintenționată.

Hardware-ul cu care funcționează normal CIPF, precum și hardware-ul și hardware-software CIPF, trebuie să fie echipate cu mijloace de control asupra deschiderii acestora ( sigilat, sigilat). Locul de sigilare ( etanșare) criptomonede, hardware-ul trebuie să fie astfel încât să poată fi monitorizat vizual. În funcție de disponibilitate fezabilitate tehnicăÎn absența utilizatorilor de cripto-fonduri, aceste fonduri trebuie deconectate de la linia de comunicație și plasate în spații de depozitare sigilate.

Modificările la software-ul CIPF și documentația tehnică pentru CIPF sunt efectuate pe baza actualizărilor primite de la producătorul CIPF și documentate cu înregistrarea sumelor de control.

Funcționarea CIPF implică menținerea a cel puțin două copii de rezervă ale software-ului și una copie de rezervă mass-media cheie. Restabilirea funcționalității CIPF în situații de urgență se realizează în conformitate cu documentația operațională.

2.3. Producerea documentelor cheie din informațiile cheie inițiale este efectuată de utilizatori responsabili ai CIPF, folosind instrumente cripto standard, dacă o astfel de posibilitate este prevăzută în documentația operațională și tehnică în prezența unei licențe de la FSB al Rusiei pentru producerea de documente cheie pentru cripto-instrumente.

Documentele cheie pot fi livrate prin curier ( inclusiv departamentale) comunicarea sau cu utilizatorii responsabili special desemnați ai criptofondurilor și angajaților, sub rezerva măsurilor de prevenire a accesului necontrolat la documentele cheie în timpul livrării.

Pentru a trimite documentele cheie, acestea trebuie plasate într-un ambalaj durabil care exclude posibilitatea deteriorării fizice și a influenței externe. Ambalajul indică utilizatorul responsabil căruia îi este destinat ambalajul. Astfel de pachete sunt marcate „Personal”. Pachetele sunt sigilate astfel încât să fie imposibil să se scoată conținutul din ele fără a rupe pachetele și sigiliile.

Înainte de deportarea inițială ( sau întoarcere) se aduce la cunoștință destinatarului printr-o scrisoare separată descrierea pachetelor care îi sunt trimise și sigiliile cu care acestea pot fi sigilate.

Pentru a trimite documentele cheie, se întocmește o scrisoare de intenție, care trebuie să indice: ce se trimite și în ce cantitate, numerele de înregistrare a documentelor, precum și, dacă este necesar, scopul și procedura de utilizare a articolului trimis. Scrisoarea de intenție este inclusă într-unul dintre pachete.

Pachetele primite sunt deschise doar de utilizatorul responsabil al fondurilor cripto pentru care sunt destinate. Dacă conținutul coletului primit nu corespunde cu ceea ce este indicat în scrisoarea de intenție sau ambalajul în sine și sigiliul nu corespund descrierii acestora ( imprima), precum și dacă ambalajul este deteriorat, rezultând accesul liber la conținutul acestuia, atunci destinatarul întocmește un proces-verbal, pe care îl transmite expeditorului. Documentele cheie primite cu astfel de expedieri nu pot fi utilizate până când nu se primesc instrucțiuni de la expeditor.

Dacă se descoperă documente cu chei defecte sau chei criptografice, o copie a produsului defect trebuie returnată producătorului pentru a stabili cauzele incidentului și a le elimina în viitor, iar copiile rămase trebuie păstrate până când se primesc instrucțiuni suplimentare de la producător.

Primirea documentelor cheie trebuie confirmată expeditorului în modul specificat în scrisoarea de intenție. Expeditorul este obligat să controleze livrarea articolelor sale către destinatari. În cazul în care confirmarea corespunzătoare nu este primită de la destinatar în timp util, expeditorul trebuie să îi trimită o cerere și să ia măsuri pentru a clarifica locația articolelor.

Comanda pentru producerea următoarelor documente cheie, producerea și distribuirea acestora la locurile de utilizare pentru înlocuirea la timp a documentelor cheie existente se face în prealabil. Instrucțiunea de a pune în aplicare următoarele documente cheie este dată de utilizatorul responsabil al fondurilor cripto numai după ce a primit confirmarea de la acesta că următoarele documente cheie au fost primite.

Documentele cheie neutilizate sau dezactivate trebuie returnate utilizatorului responsabil de criptofonduri sau, la indicația acestuia, trebuie distruse la fața locului.

Distrugerea cheilor cripto ( informațiile cheie inițiale) se poate face prin distrugerea fizică a suportului cheie pe care se află sau prin ștergerea ( distrugere) chei cripto ( informațiile cheie inițiale) fără a deteriora media cheie ( pentru a asigura reutilizarea acestuia).

Cryptokeys ( informațiile cheie inițiale) sunt spălate folosind tehnologia adoptată pentru mediile reutilizabile cheie corespunzătoare ( dischete, discuri compacte (CD-ROM), cheie de date, card inteligent, memorie tactilă etc.). Acțiuni directe pentru ștergerea cheilor cripto ( informațiile cheie inițiale( informațiile cheie inițiale).

Media cheie sunt distruse prin cauzarea unor daune fizice ireparabile acestora, excluzând posibilitatea utilizării lor, precum și prin restaurarea informațiilor cheie. Acțiunile directe de distrugere a unui anumit tip de chei media sunt reglementate de documentația operațională și tehnică pentru CIPF relevantă, precum și de instrucțiunile organizației care a înregistrat cheile cripto ( informațiile cheie inițiale).

Hârtia și alte medii combustibile cheie sunt distruse prin ardere sau prin utilizarea oricăror mașini de tăiat hârtie.

Documentele cheie sunt distruse în termenele specificate în documentația operațională și tehnică pentru CIPF relevant. Faptul distrugerii se consemnează în jurnalele corespunzătoare, copie după caz.

Distrugerea conform actului se efectuează de către o comisie formată din cel puțin două persoane. Actul precizează ce este distrus și în ce cantitate. La sfârșitul actului se face o înregistrare finală (în cifre și în cuvinte) despre numărul de articole și copii ale documentelor cheie care sunt distruse, instalarea mediilor CIPF, documentația operațională și tehnică. Rectificările în textul actului trebuie convenite și certificate prin semnăturile tuturor membrilor comisiei care au luat parte la distrugere. Despre distrugerea efectuată, se fac notări în jurnalele corespunzătoare pentru înregistrările individuale.

Criptocheile care sunt suspectate a fi compromise, precum și alte criptochei care funcționează împreună cu acestea, trebuie imediat scoase din acțiune, cu excepția cazului în care în documentația operațională și tehnică a CIPF este specificată o procedură diferită. În cazuri de urgență, când nu există chei cripto care să le înlocuiască pe cele compromise, este permisă, prin decizia utilizatorului responsabil de fonduri cripto, convenită cu operatorul, utilizarea cheilor cripto compromise. În acest caz, perioada de utilizare a cheilor cripto compromise ar trebui să fie cât mai scurtă, iar informațiile protejate ar trebui să fie cât mai valoroase.

Despre încălcările care pot duce la compromiterea criptocheilor, componentelor acestora sau transmise ( stocate) cu utilizarea datelor, utilizatorii fondurilor cripto sunt obligați să informeze utilizatorul responsabil al fondurilor cripto.

Inspectarea suporturilor de chei reutilizabile de către persoane neautorizate nu ar trebui să fie considerată o suspiciune de compromitere a cheilor cripto, dacă aceasta exclude posibilitatea copierii acestora ( lectură, reproducere).

În cazuri de lipsă, neprezentare a documentelor cheie, precum și incertitudinea locației acestora, utilizatorul responsabil ia măsuri urgente pentru a le găsi și a localiza consecințele compromiterii documentelor cheie.

1. Procedura de management al sistemului cheie

Înregistrarea persoanelor cu drepturi de gestionare a cheilor se realizează în conformitate cu documentația operațională pentru CIPF.

Managementul cheilor este un proces de informare care include trei elemente:

— generarea cheilor;

— acumularea de chei;

— distribuirea cheilor.

Sistemele informaționale organizaționale utilizează metode hardware și software speciale pentru generarea cheilor aleatorii. De regulă, se folosesc senzori de numere pseudoaleatoare ( mai departe - PSCH ), cu suficient grad înalt aleatorie a generației lor. Generatoare de chei software care calculează PFR ca o funcție complexă a timpului curent și ( sau) numărul introdus de utilizator.

Acumularea cheilor se referă la organizarea depozitării, contabilizării și scoaterii acestora.

Cheile private nu trebuie scrise în mod explicit pe un suport care poate fi citit sau copiat.

Toate informațiile despre cheile utilizate trebuie să fie stocate în formă criptată. Cheile care criptează informațiile cheie se numesc chei principale. Fiecare utilizator trebuie să cunoască pe de rost cheile principale; stocarea lor pe orice suport tangibil este interzisă.

Pentru a asigura securitatea informațiilor, este necesară actualizarea periodică a informațiilor cheie din sistemele informaționale. În acest caz, atât cheile obișnuite, cât și cheile principale sunt reatribuite.

La distribuirea cheilor, trebuie îndeplinite următoarele cerințe:

— eficiența și acuratețea distribuției;

— secretul cheilor distribuite.

O alternativă este ca doi utilizatori să obțină o cheie partajată de la o autoritate centrală, Centrul de distribuție a cheilor (KDC), prin care pot comunica în siguranță. Pentru a organiza schimbul de date între CRC și utilizator, acestuia din urmă i se aloca o cheie specială în timpul înregistrării, care criptează mesajele transmise între ei. Fiecărui utilizator i se aloca o cheie separată.

MANAGEMENTUL CHEILOR BAZAT PE SISTEME CHEIE PUBLICE

Înainte de a utiliza un criptosistem cu chei publice pentru a schimba cheile private obișnuite, utilizatorii trebuie să își schimbe cheile publice.

Cheile publice pot fi gestionate printr-un serviciu de director online sau offline, iar utilizatorii pot, de asemenea, schimba cheile direct.

1. Monitorizarea și controlul utilizării CIPF

Pentru a crește nivelul de securitate la operarea CIPF, sistemul ar trebui să implementeze proceduri de monitorizare care să înregistreze toate evenimentele semnificative care au avut loc în timpul procesului de schimb. prin emailși toate incidentele de securitate a informațiilor. Descrierea și lista acestor proceduri trebuie stabilite în documentația operațională pentru CIPF.

Controlul asupra utilizării protecției informațiilor criptografice oferă:

• monitorizarea conformității setării și configurării instrumentelor de securitate a informațiilor, precum și hardware și software care pot afecta îndeplinirea cerințelor pentru instrumentele de securitate a informațiilor, documentația de reglementare și tehnică;
• monitorizarea respectării regulilor de stocare a informațiilor cu acces restricționat utilizate în operarea instrumentelor de securitate a informațiilor ( în special, cheie, parolă și informații de autentificare);
• controlul posibilității de acces al persoanelor neautorizate la mijloacele de securitate a informațiilor, precum și la hardware și software care pot afecta îndeplinirea cerințelor privind mijloacele de securitate a informațiilor;
• monitorizarea respectării regulilor de răspuns la incidente informaționale ( despre fapte de pierdere, compromiterea cheii, parolei și informațiile de autentificare, precum și orice alte informații de acces restricționat);
• controlul conformității instrumentelor hardware și software ale CIPF și documentația pentru aceste instrumente cu mostre de referință ( garanțiile furnizorilor sau mecanismele de control care vă permit să stabiliți în mod independent o astfel de conformitate);
• monitorizarea integrității hardware-ului și software-ului CIPF și a documentației pentru aceste instrumente în timpul depozitării și punerii în funcțiune a acestor instrumente ( folosind atât mecanismele de control descrise în documentația pentru CIPF, cât și utilizarea organizațională).

Descărcați fișierul ZIP (43052)

Dacă documentele sunt utile, vă rugăm să dați like sau:

Cerințele de securitate a informațiilor la proiectarea sistemelor informaționale indică caracteristicile care caracterizează mijloacele de securitate a informațiilor utilizate. Ele sunt definite de diverse acte ale autorităților de reglementare în domeniul securității informațiilor, în special de către FSTEC și FSB din Rusia. Ce clase de securitate există, tipurile și tipurile de echipamente de protecție, precum și unde să aflați mai multe despre acest lucru, sunt reflectate în articol.

Introducere

Astăzi, problemele de asigurare a securității informației fac obiectul unei atenții deosebite, deoarece tehnologiile implementate peste tot fără asigurarea securității informațiilor devin o sursă de noi probleme serioase.

FSB-ul rus raportează despre gravitatea situației: valoarea pagubelor cauzate de atacatori de-a lungul mai multor ani în întreaga lume a variat între 300 de miliarde de dolari și 1 trilion de dolari. Potrivit informațiilor furnizate de Procurorul General al Federației Ruse, numai în prima jumătate a anului 2017 în Rusia numărul infracțiunilor în domeniul tehnologie înaltă a crescut de șase ori, valoarea totală a pagubelor a depășit 18 milioane de dolari. O creștere a atacurilor vizate în sectorul industrial în 2017 a fost observată în întreaga lume. În special, în Rusia creșterea numărului de atacuri față de 2016 a fost de 22%.

Tehnologiile informaționale au început să fie folosite ca arme în scopuri militaro-politice, teroriste, pentru a se amesteca în treburile interne ale statelor suverane, precum și pentru a comite alte infracțiuni. Federația Rusă reprezintă crearea unui sistem internațional de securitate a informațiilor.

Pe teritoriul Federației Ruse, deținătorii de informații și operatorii de sisteme informatice sunt obligați să blocheze încercările de acces neautorizat la informații, precum și să monitorizeze starea de securitate a infrastructurii IT în mod continuu. Totodată, protecția informațiilor este asigurată prin luarea diferitelor măsuri, inclusiv tehnice.

Instrumentele de securitate a informațiilor, sau sistemele de protecție a informațiilor, asigură protecția informațiilor în sistemele informaționale, care sunt în esență o colecție de informații stocate în baze de date, tehnologii informaționale care asigură prelucrarea acestora și mijloace tehnice.

Sistemele informatice moderne se caracterizează prin utilizarea diverselor platforme hardware și software, distribuția teritorială a componentelor, precum și interacțiunea cu rețelele de date deschise.

Cum să protejăm informațiile în astfel de condiții? Cerințele corespunzătoare sunt prezentate de organismele autorizate, în special, FSTEC și FSB din Rusia. În cadrul articolului, vom încerca să reflectăm principalele abordări ale clasificării sistemelor de securitate a informațiilor, ținând cont de cerințele acestor autorități de reglementare. Alte moduri de descriere a clasificării sistemelor de securitate a informațiilor, reflectate în documente de reglementare Departamentele ruse, precum și organizațiile și agențiile străine, depășesc domeniul de aplicare al acestui articol și nu sunt luate în considerare în continuare.

Articolul poate fi util specialiștilor începători în domeniul securității informațiilor ca sursă de informații structurate privind metodele de clasificare a securității informațiilor bazate pe cerințele FSTEC din Rusia (într-o măsură mai mare) și, pe scurt, FSB din Rusia.

Structura care determină procedura și coordonează furnizarea de metode de securitate a informațiilor non-criptografice este FSTEC din Rusia (fostă Comisia tehnică de stat sub președintele Federației Ruse, Comisia tehnică de stat).

Dacă cititorul trebuia să vadă Registrul de stat al instrumentelor de securitate a informațiilor certificate, care este format de FSTEC din Rusia, atunci cu siguranță a acordat atenție prezenței în partea descriptivă a scopului sistemului de protecție a informațiilor unor expresii precum „RD SVT clasa”, „nivel de absență a nerespectării cu nerespectarea”, etc. (Figura 1) .

Figura 1. Fragment din registrul dispozitivelor certificate de protecție a informațiilor

Clasificarea instrumentelor de securitate a informațiilor criptografice

FSB al Rusiei a definit clase de sisteme de protecție a informațiilor criptografice: KS1, KS2, KS3, KV și KA.

Principalele caracteristici ale IPS din clasa KS1 includ capacitatea lor de a rezista atacurilor lansate din afara zonei controlate. Aceasta implică faptul că crearea metodelor de atac, pregătirea și implementarea acestora se realizează fără participarea specialiștilor în domeniul dezvoltării și analizei securității informațiilor criptografice. Se presupune că informațiile despre sistemul în care sunt utilizate sistemele de securitate a informațiilor specificate pot fi obținute din surse deschise.

Dacă un sistem de securitate a informațiilor criptografice poate rezista atacurilor blocate prin intermediul clasei KS1, precum și celor efectuate în zona controlată, atunci o astfel de securitate a informațiilor corespunde clasei KS2. În acest caz, este permis, de exemplu, ca în timpul pregătirii unui atac să devină informatii disponibile privind măsurile fizice de protecție a sistemelor informaționale, asigurarea unei zone controlate etc.

Dacă este posibil să rezistați atacurilor dacă există acces fizic la echipamentul informatic cu informații de securitate criptografice instalate, se spune că un astfel de echipament respectă clasa KS3.

Dacă securitatea informațiilor criptografice rezistă atacurilor, a căror creare a implicat specialiști în domeniul dezvoltării și analizei acestor instrumente, inclusiv a centrelor de cercetare, și a fost posibilă efectuarea unor studii de laborator ale mijloacelor de securitate, atunci vorbim despre conformitatea cu clasa HF .

Dacă în dezvoltarea metodelor de atac au fost implicați specialiști în domeniul utilizării software-ului sistemului NDV, documentația de proiectare corespunzătoare a fost disponibilă și a existat acces la orice componente hardware ale sistemelor de securitate a informațiilor criptografice, atunci protecția împotriva unor astfel de atacuri poate fi asigurată prin intermediul clasa KA.

Clasificarea mijloacelor de protecție a semnăturii electronice

Instrumentele de semnătură electronică, în funcție de capacitatea lor de a rezista la atacuri, sunt de obicei comparate cu următoarele clase: KS1, KS2, KS3, KB1, KB2 și KA1. Această clasificare este similară cu cea discutată mai sus în legătură cu securitatea informațiilor criptografice.

Concluzii

Articolul a examinat câteva metode de clasificare a securității informațiilor în Rusia, a căror bază este cadrul de reglementare al autorităților de reglementare în domeniul protecției informațiilor. Opțiunile de clasificare luate în considerare nu sunt exhaustive. Cu toate acestea, sperăm că informațiile rezumate prezentate vor permite unui specialist începător în domeniul securității informațiilor să navigheze rapid.

Mijloacele de protecție a informațiilor criptografice (CIPF) includ hardware, software-hardware și software, implementând algoritmi criptografici pentru conversia informațiilor cu scopul de a:

Protecția informațiilor în timpul procesării, stocării și transmiterii acesteia prin mediul de transport AS;

Asigurarea fiabilității și integrității informațiilor (inclusiv utilizarea algoritmilor de semnătură digitală) în timpul procesării, stocării și transmiterii acesteia prin mediul de transport AS;

Generarea de informații utilizate pentru identificarea și autentificarea subiecților, utilizatorilor și dispozitivelor;

Generarea de informații utilizate pentru a proteja elementele de autentificare ale unui AS protejat în timpul generării, stocării, procesării și transmiterii acestora.

Se presupune că CIPF este utilizat în unele AS (într-un număr de surse - un sistem de informare și telecomunicații sau o rețea de comunicații), împreună cu mecanisme de implementare și garantare a politicii de securitate.

Transformarea criptografică are o serie de caracteristici semnificative:

CIPF implementează un anumit algoritm de conversie a informațiilor (criptare, semnătură digitală electronică, control al integrității)

Argumentele de intrare și de ieșire ale transformării criptografice sunt prezente în AS într-o formă materială (obiecte AS)

CIPF folosește unele informații confidențiale(chei)

Algoritmul de transformare criptografică este implementat sub forma unui obiect material care interacționează cu mediul (inclusiv subiecții și obiectele AS protejate).

Astfel, rolul CIPF într-un AS protejat este transformarea obiectelor. În fiecare caz specific, această transformare are propriile sale particularități. Astfel, procedura de criptare folosește ca parametri de intrare un obiect - text simplu și un obiect - cheie, rezultatul transformării este un obiect - text cifrat; dimpotrivă, procedura de decriptare folosește textul cifrat și cheia ca parametri de intrare; procedura de aplicare a unei semnături digitale folosește un obiect - un mesaj și un obiect - o cheie de semnătură secretă - ca parametri de intrare rezultatul semnăturii digitale este un obiect - o semnătură, de obicei integrată într-un obiect - un mesaj; Putem spune că CIPF protejează obiectele la nivel semantic. În același timp, obiectele - parametrii transformării criptografice sunt obiecte AS cu drepturi depline și pot fi obiecte ale unor politici de securitate (de exemplu, cheile de criptare pot și ar trebui să fie protejate împotriva accesului neautorizat, chei publice pentru a verifica semnătura digitală față de modificări). Deci, CIPF, ca parte a sistemelor protejate, au o implementare specifică - poate fi un dispozitiv specializat separat încorporat într-un computer sau un program specializat. Următoarele puncte sunt esențiale:

CIPF face schimb de informații cu mediul extern, și anume: cheile sunt introduse în acesta, text simplu în timpul criptării

CIPF în cazul implementării hardware utilizează o bază elementară de fiabilitate limitată (adică, piesele care alcătuiesc CIPF sunt supuse defecțiunilor sau defecțiunilor)

CIPF în cazul implementării software este executat pe un procesor de fiabilitate limitată și într-un mediu software care conține programe terțe care pot afecta diferite etape ale funcționării acestuia.

CIPF este stocat pe un mediu tangibil (în cazul implementării software) și poate fi distorsionat intenționat sau accidental în timpul stocării

CIPF interacționează indirect cu mediul extern (alimentat de la rețea, emite câmpuri electromagnetice)

CIPF este fabricat și/sau utilizat de o persoană care poate face erori (intenționate sau accidentale) în timpul dezvoltării și funcționării

Instrumentele de protecție a datelor existente în rețelele de telecomunicații pot fi împărțite în două grupe pe baza principiului construirii unui sistem cheie și a unui sistem de autentificare. Primul grup include instrumente care folosesc algoritmi criptografici simetrici pentru a construi un sistem de chei și un sistem de autentificare, iar al doilea grup le include pe cei asimetrici.

Să facem o analiză comparativă a acestor sisteme. Un mesaj de informare gata de transmisie, deschis inițial și neprotejat, este criptat și astfel convertit într-o cifrgramă, adică într-un text închis sau o imagine grafică a unui document. În această formă, mesajul este transmis printr-un canal de comunicare, chiar dacă acesta nu este securizat. Un utilizator autorizat, după ce primește un mesaj, îl decriptează (adică îl deschide) prin transformarea inversă a criptogramei, rezultând forma originală, clară a mesajului, accesibilă utilizatorilor autorizați. Metoda de conversie într-un sistem criptografic corespunde utilizării unui algoritm special. Funcționarea unui astfel de algoritm este declanșată de un număr unic (secvență de biți), numit de obicei cheie de criptare.

Pentru majoritatea sistemelor, circuitul generator de chei poate fi un set de instrucțiuni și comenzi, fie o piesă hardware, fie program de calculator, sau toate acestea împreună, dar în orice caz, procesul de criptare (decriptare) este implementat doar de această cheie specială. Pentru ca schimbul de date criptate să aibă succes, atât expeditorul, cât și destinatarul trebuie să cunoască setarea corectă a cheii și să o păstreze secretă. Puterea oricărui sistem de comunicare închis este determinată de gradul de secret al cheii utilizate în acesta. Cu toate acestea, această cheie trebuie să fie cunoscută de alți utilizatori ai rețelei, astfel încât aceștia să poată schimba liber mesaje criptate. În acest sens, sistemele criptografice ajută și la rezolvarea problemei de autentificare (stabilirea autenticității) a informațiilor primite. În cazul în care un mesaj este interceptat, un atacator se va ocupa doar de textul criptat, iar adevăratul destinatar, care primește mesaje închise cu o cheie cunoscută de el și de expeditor, va fi protejat în mod fiabil de posibile dezinformări. În plus, este posibil să criptați informații și multe altele într-un mod simplu- folosind un generator de numere pseudoaleatoare. Utilizarea unui generator de numere pseudo-aleatoare implică generarea unui gamma de cifră folosind un generator de numere pseudo-aleatoare având o anumită cheie și aplicarea gama rezultată la datele deschise într-o manieră reversibilă. Această metodă de protecție criptografică este destul de ușor de implementat și oferă o viteză de criptare destul de mare, dar nu este suficient de rezistentă la decriptare.

Criptografia clasică se caracterizează prin utilizarea unei unități secrete - o cheie, care permite expeditorului să cripteze un mesaj și destinatarului să-l decripteze. În cazul criptării datelor stocate pe medii magnetice sau alte medii de stocare, cheia vă permite să criptați informațiile atunci când scrieți pe suport și să le decriptați atunci când citiți de pe acesta.

„Metode organizaționale și juridice de securitate a informațiilor”

Documente de orientare de bază privind reglementările referitoare la secretele de stat, documente de reglementare și de referință

Astăzi, țara noastră și-a creat un cadru legislativ stabil în domeniul protecției informațiilor. Legea fundamentală poate fi numită Legea federală a Federației Ruse „Cu privire la informații, tehnologia de informațieși privind protecția informațiilor.” „Reglementarea relațiilor de stat în domeniul protecției informațiilor se realizează prin stabilirea cerințelor pentru protecția informațiilor, precum și a răspunderii pentru încălcarea legislației Federației Ruse privind informațiile, tehnologia informației și protecția informațiilor.” responsabilitățile deținătorilor de informații și ale operatorilor de sisteme informatice.

În ceea ce privește reglementarea „codificată” a securității informațiilor, normele Codului de infracțiuni administrative al Federației Ruse și ale Codului penal al Federației Ruse conțin și articolele necesare. În art. 13.12 din Codul de infracțiuni administrative al Federației Ruse vorbește despre încălcarea regulilor de protecție a informațiilor. De asemenea, art. 13.13, care prevede pedepsirea activităților ilegale în domeniul securității informațiilor. Și art. 13.14. care prevede sancțiuni pentru dezvăluirea informațiilor restricționate. Articolul 183. Codul penal al Federației Ruse prevede pedepse pentru primirea și dezvăluirea ilegală de informații care constituie secrete comerciale, fiscale sau bancare.

Legea federală „Cu privire la informații, informatizare și protecția informațiilor” prevede că resursele informaționale de stat ale Federației Ruse sunt deschise și accesibile publicului. Excepție fac informațiile documentate clasificate de lege drept acces restricționat.

Conceptul de secret de stat este definit în Legea „Cu privire la secretele de stat” ca „informații protejate de stat în domeniul activităților sale militare, politice externe, economice, de informații, contrainformații și investigații operaționale, a căror difuzare poate dăuna securității. al Federației Ruse.” Astfel, pe baza echilibrului de interese ale statului, societății și cetățenilor, domeniul de aplicare a Legii este limitat. anumite tipuri activități: militară, politică externă, economică, de informații, contrainformații și investigații operaționale.

Legea a stabilit că principalul criteriu este ca informațiile clasificate să aparțină statului.

Legea a mai stabilit crearea unui număr de organe în domeniul ocrotirii secretului de stat, în special, Comisia interdepartamentală pentru protecția secretului de stat, a introdus instituția funcționarilor abilitati să încadreze informațiile ca secrete de stat, în timp ce în același timp timp atribuindu-le responsabilitatea personală pentru activitățile de protejare a secretelor de stat în zona de jurisdicție a acestora.

Organizarea generală și coordonarea activității în țară pentru a proteja informațiile prelucrate prin mijloace tehnice sunt efectuate de un organism colegial - Serviciul Federal pentru Control Tehnic și Export (FSTEK) al Rusiei sub președintele Federației Ruse, care monitorizează securitatea în organismele guvernamentale și la întreprinderile care desfășoară lucrări pe apărare și alte subiecte clasificate.

Scopul și sarcinile în domeniul asigurării securității informațiilor la nivel de stat

Politica de stat de asigurare a securității informațiilor a Federației Ruse determină principalele direcții de activitate ale organismelor guvernamentale federale și ale organismelor guvernamentale ale entităților constitutive ale Federației Ruse în acest domeniu, procedura de consolidare a responsabilităților lor pentru protejarea intereselor Federației Ruse în sfera informațională în cadrul activităților lor și se bazează pe menținerea unui echilibru de interese ale individului, societății și statului în sfera informațională. Politica de stat de asigurare a securității informațiilor a Federației Ruse se bazează pe următoarele principii de bază: conformitatea cu Constituția Federației Ruse, legislația Federației Ruse, principiile și normele de drept internațional general recunoscute atunci când desfășoară activități de asigurare a informației. securitatea Federației Ruse; deschidere în punerea în aplicare a funcțiilor organismelor guvernamentale federale, organismelor guvernamentale ale entităților constitutive ale Federației Ruse și asociațiilor publice, oferind informarea publicului despre activitățile lor, ținând cont de restricțiile stabilite de legislația Federației Ruse; egalitatea juridică a tuturor participanților la procesul de interacțiune informațională, indiferent de statutul lor politic, social și economic, bazată pe dreptul constituțional al cetățenilor de a căuta, primi, transmite, produce și difuza liber informații în orice mod legal; dezvoltarea prioritară a tehnologiilor interne moderne de informare și telecomunicații, producție de hardware și software capabile să asigure îmbunătățirea rețelelor naționale de telecomunicații, conectarea acestora la rețelele globale de informații pentru a se conforma intereselor vitale ale Federației Ruse.

Statul, în procesul de implementare a funcțiilor sale de asigurare a securității informaționale a Federației Ruse: efectuează o analiză și previziune obiectivă și cuprinzătoare a amenințărilor la adresa securității informaționale a Federației Ruse, elaborează măsuri pentru asigurarea acesteia; organizează activitatea organelor legislative (reprezentative) și executive ale puterii de stat ale Federației Ruse pentru a implementa un set de măsuri menite să prevină, să respingă și să neutralizeze amenințările la adresa securității informațiilor din Federația Rusă; sprijină activitățile asociațiilor obștești care vizează informarea obiectivă a populației despre fenomene semnificative din punct de vedere social viata publica, protejând societatea de informații distorsionate și nesigure; exercită controlul asupra proiectării, creării, dezvoltării, utilizării, exportului și importului de instrumente de securitate a informațiilor prin certificarea acestora și licențierea activităților din domeniul securității informațiilor; urmărește politica protecționistă necesară față de producătorii de instrumente de informatizare și protecție a informațiilor de pe teritoriul Federației Ruse și ia măsuri pentru a proteja piața internă de pătrunderea instrumentelor de informatizare și a produselor informaționale de calitate scăzută; contribuie la asigurarea accesului persoanelor fizice și juridice la resursele informaționale mondiale și la rețelele informaționale globale; formulează și implementează politica de informare de stat a Rusiei; organizează elaborarea unui program federal pentru asigurarea securității informaționale a Federației Ruse, combinând eforturile organizațiilor statale și nestatale în acest domeniu; promovează internaționalizarea rețelelor și sistemelor informaționale globale, precum și intrarea Rusiei în comunitatea informațională globală în condițiile unui parteneriat egal.

Îmbunătățirea mecanismelor legale de reglementare a relațiilor publice care apar în sfera informațională este o direcție prioritară a politicii de stat în domeniul asigurării securității informaționale a Federației Ruse.

Aceasta presupune: evaluarea eficacității aplicării actelor legislative și a altor acte juridice de reglementare existente în sfera informațională și elaborarea unui program de îmbunătățire a acestora; crearea unor mecanisme organizatorice și juridice pentru asigurarea securității informațiilor; determinarea statutului juridic al tuturor subiecților relațiilor din sfera informațională, inclusiv utilizatorii sistemelor de informații și telecomunicații, și stabilirea responsabilităților acestora pentru respectarea legislației Federației Ruse în acest domeniu; crearea unui sistem de colectare și analiză a datelor privind sursele de amenințări la adresa securității informațiilor din Federația Rusă, precum și consecințele implementării acestora; elaborarea actelor juridice normative care determină organizarea cercetării și a procedurii de judecată a faptelor de acțiuni ilegale în sfera informațională, precum și procedura de înlăturare a consecințelor acestor acțiuni ilegale; dezvoltarea infracțiunilor ținând cont de specificul răspunderii penale, civile, administrative, disciplinare și includerea normelor legale relevante în codurile penale, civile, administrative și de muncă, în legislația Federației Ruse privind serviciul public; îmbunătățirea sistemului de instruire a personalului utilizat în domeniul asigurării securității informațiilor din Federația Rusă.

Sprijinul juridic pentru securitatea informațiilor din Federația Rusă ar trebui să se bazeze, în primul rând, pe respectarea principiilor legalității, echilibrului intereselor cetățenilor, societății și statului în sfera informațională. Respectarea principiului legalității necesită ca organismele guvernamentale federale și organismele guvernamentale ale entităților constitutive ale Federației Ruse, atunci când rezolvă conflictele apărute în sfera informațională, să fie strict ghidate de actele legislative și de alte acte juridice de reglementare care reglementează relațiile în acest domeniu. Respectarea principiului echilibrării intereselor cetățenilor, societății și statului în sfera informațională presupune consolidarea legislativă a priorității acestor interese în diverse domenii ale societății, precum și utilizarea formelor de control public asupra activităților guvernului federal. organismele și organismele guvernamentale ale entităților constitutive ale Federației Ruse. Punerea în aplicare a garanțiilor drepturilor și libertăților constituționale ale omului și cetățeanului referitoare la activitățile din sfera informațională este cea mai importantă sarcină a statului în domeniul securității informațiilor. Dezvoltarea mecanismelor de susținere juridică a securității informațiilor în Federația Rusă include măsuri de informatizare a sferei juridice în ansamblu. Pentru a identifica și coordona interesele organismelor guvernamentale federale, ale organismelor guvernamentale ale entităților constitutive ale Federației Ruse și ale altor subiecte de relații în sfera informațională și pentru a elabora deciziile necesare, statul sprijină formarea de consilii publice, comitete și comisii. cu o largă reprezentare a asociaţiilor obşteşti şi facilitează organizarea efectivă a muncii acestora.

Caracteristici de certificare și standardizare a serviciilor criptografice

În aproape toate țările cu tehnologii criptografice dezvoltate, dezvoltarea CIPF este supusă reglementărilor guvernamentale. Reglementarea de stat, de regulă, include licențierea activităților legate de dezvoltarea și funcționarea instrumentelor criptografice, certificarea CIPF și standardizarea algoritmilor de transformare criptografică.

Sunt supuse licenței următoarele tipuri de activități: dezvoltarea, producția, testarea certificării, vânzarea, operarea instrumentelor de criptare destinate protejării criptografice a informațiilor care conțin informații care constituie un secret de stat sau alt secret protejat legal în timpul prelucrării, stocării și transmiterii acestora prin canale de comunicare, precum și furnizarea de servicii în domeniul criptării acestor informații; dezvoltarea, producția, testarea de certificare, operarea sistemelor și complexelor de telecomunicații ale celor mai înalte organisme guvernamentale ale Federației Ruse; dezvoltarea, producția, testarea certificării, implementarea, operarea sistemelor închise și a complexelor de telecomunicații ale organismelor guvernamentale ale entităților constitutive ale Federației Ruse, organelor centrale ale federale ramura executiva, organizații, întreprinderi, bănci și alte instituții situate pe teritoriul Federației Ruse, indiferent de apartenența lor departamentală și formele de proprietate (denumite în continuare sisteme închise și complexe de telecomunicații) destinate transmiterii de informații care constituie un secret de stat sau alt secret de stat protejat de lege; efectuarea de teste de certificare, implementarea și operarea instrumentelor de criptare, a sistemelor închise și a complexelor de telecomunicații destinate prelucrării informațiilor care nu conțin informații constitutive de secret de stat sau alt secret protejat legal în timpul prelucrării, stocării și transmiterii acestora prin canale de comunicații, precum și prestarea de servicii în criptarea în câmp a acestor informații

Instrumentele de criptare includ: instrumente hardware, software și hardware-software care implementează algoritmi criptografici pentru conversia informațiilor, asigurând securitatea informațiilor în timpul procesării, stocării și transmiterii acesteia prin canale de comunicație, inclusiv tehnologia de criptare; hardware, software și mijloace hardware-software de protecție împotriva accesului neautorizat la informații în timpul procesării și stocării acesteia, care implementează algoritmi criptografici pentru conversia informațiilor; implementarea de algoritmi criptografici pentru conversia informațiilor, mijloace hardware, software și hardware-software de protecție împotriva impunerii de informații false, inclusiv mijloace de protecție împotriva imitației și „semnătură digitală”; hardware, hardware-software și software pentru producerea documentelor cheie pentru instrumente de criptare, indiferent de tipul de purtător de informații cheie.

LA sisteme închise iar complexele de telecomunicații includ sisteme și complexe de telecomunicații care asigură protecția informațiilor folosind instrumente de criptare, echipamente securizate și măsuri organizatorice.

În plus, sunt supuse licenței următoarele tipuri de activități: operarea instrumentelor de criptare și/sau a instrumentelor de semnătură digitală, precum și a instrumentelor de criptare pentru protejarea plăților electronice folosind carduri de credit din plastic și carduri inteligente; Furnizare de servicii de protecție a informațiilor (criptare); Instalare, instalare, reglare de instrumente de criptare și/sau instrumente de semnătură digitală, instrumente de criptare pentru protejarea plăților electronice folosind carduri de credit din plastic și carduri inteligente; dezvoltarea de instrumente de criptare și/sau instrumente de semnătură digitală, instrumente de criptare pentru a proteja plățile electronice folosind carduri de credit din plastic și carduri inteligente

Procedura de certificare a CIPF este stabilită de Sistemul de certificare pentru instrumentele de protecție a informațiilor criptografice ROSS.R11.0001.030001 din Standardul de stat rus.

Standardizarea algoritmilor de transformare criptografică include cercetarea cuprinzătoare și publicarea sub formă de standarde a elementelor procedurilor criptografice cu scopul de a utiliza transformări puternice din punct de vedere criptografic de către dezvoltatorii CIPF, asigurând posibilitatea de funcționare în comun a diferitelor CIPF, precum și capacitatea de a testa. și să verifice conformitatea implementării CIPF cu algoritmul specificat de standard. În Rusia au fost adoptate următoarele standarde: algoritmul de transformare criptografică 28147-89, algoritmii de hashing, de fixare și de verificare a semnăturii digitale R34.10.94 și R34.11.94. Dintre standardele străine, sunt cunoscuți și utilizați pe scară largă algoritmii de criptare DES, RC2, RC4, algoritmii de hashing MD2, MD4 și MD5 și algoritmii de aplicare și verificare a semnăturilor digitale DSS și RSA.

Cadrul legislativ pentru securitatea informatiei

Conceptele de bază, cerințele, metodele și instrumentele pentru proiectarea și evaluarea unui sistem de securitate a informațiilor pentru sistemele informaționale (SI) sunt reflectate în următoarele documente fundamentale:

„Cartea portocalie” a Centrului Național de Securitate Informatică

„Criterii armonizate ale țărilor europene (ITSEC)”;

Conceptul de protecție împotriva activităților ilegale ale Comisiei de stat sub președintele Federației Ruse.

Conceptul de securitate a informațiilor

Conceptul de securitate al sistemului în curs de dezvoltare este „un set de legi, reguli și norme de comportament care determină modul în care o organizație prelucrează, protejează și distribuie informațiile, în special, regulile determină în ce cazuri utilizatorul are dreptul de a opera cu anumite cu cât sistemul este mai fiabil, cu atât mai strict și conceptul de securitate ar trebui să fie mai divers În funcție de conceptul formulat, pot fi selectate mecanisme specifice pentru a asigura securitatea sistemului. inclusiv analiza posibilelor amenințări și selectarea contramăsurilor.”

Potrivit Orange Book, conceptul de securitate al sistemului în curs de dezvoltare ar trebui să includă următoarele elemente:

Controlul accesului aleatoriu;

Securitatea reutilizarii obiectelor;

Etichete de securitate;

Control de acces forțat.

Să luăm în considerare conținutul elementelor enumerate.

Controlul accesului aleatoriu este o metodă de restricționare a accesului la obiecte, bazată pe luarea în considerare a identității subiectului sau grupului căruia îi aparține subiectul. Arbitrarul controlului constă în faptul că o persoană (de obicei, proprietarul unui obiect) poate, la propria discreție, să acorde sau să ia altor subiecți drepturi de acces la obiect.

Principalul avantaj al controlului accesului aleator este flexibilitatea, principalele dezavantaje sunt dispersarea controlului și complexitatea controlului centralizat, precum și izolarea drepturilor de acces de date, ceea ce vă permite să copiați informații secrete în fișiere publice.

Securitatea reutilizarii obiectelor este un plus important la controalele de acces în practică, protejând împotriva recuperării accidentale sau intenționate a informațiilor sensibile din gunoi. Siguranța la reutilizare trebuie să fie garantată pentru zone RAM(în special, pentru buffere cu imagini de ecran, parole decriptate etc.), pentru blocuri de discuri și medii magnetice în general.

Etichetele de securitate sunt asociate cu subiecte și obiecte pentru a impune controlul accesului. Eticheta subiectului descrie credibilitatea acestuia, eticheta obiectului descrie gradul de confidențialitate al informațiilor pe care le conține. Potrivit Orange Book, etichetele de securitate constau din două părți - un nivel de securitate și o listă de categorii. Problema principala Problema care trebuie abordată cu etichetele este asigurarea integrității acestora. În primul rând, nu ar trebui să existe subiecte sau obiecte neetichetate, altfel vor exista găuri ușor de exploatat în securitatea etichetată. În al doilea rând, în timpul oricăror operațiuni cu date, etichetele trebuie să rămână corecte. Un mijloc de a asigura integritatea etichetelor de securitate este separarea dispozitivelor în dispozitive cu mai multe niveluri și cu un singur nivel. Dispozitivele cu mai multe niveluri pot stoca informații cu diferite niveluri de secretizare (mai precis, situate într-o anumită gamă de niveluri). Un dispozitiv cu un singur nivel poate fi considerat un caz degenerat al unui dispozitiv cu mai multe niveluri, în care intervalul permis constă dintr-un singur nivel. Cunoscând nivelul dispozitivului, sistemul poate decide dacă este permis să scrie informații cu o anumită etichetă pe acesta.

Controlul forțat al accesului se bazează pe potrivirea etichetelor de securitate ale subiectului și ale obiectului. Această metodă de control al accesului se numește forțat, deoarece nu depinde de voința subiecților (chiar administratorii de sistem). Controlul forțat al accesului vine în mai multe variante sisteme de operareși DBMS, caracterizate prin măsuri de securitate sporite.