Аппараттық және бағдарламалық қамтамасыз етуді орнату

үй Графикалық өнер
Графикалық өнер

Жеке деректерді ФСБ жоспарлы тексеруіне қалай дайындалуға болады? Скзи. npa

Ақпаратты сақтау, өңдеу және беру кезінде CIPF көмегімен шешілетін байланыс арналары және әртүрлі тасымалдағыштарда қорғаудың негізгі міндеттері: 1.

Ақпараттың құпиялығын (конфиденциалдылығын) қамтамасыз ету. 2.

Ақпараттың тұтастығын қамтамасыз ету. 3.

Ақпараттың (құжаттардың) аутентификациясы. Бұл мәселелерді шешу үшін төмендегілерді жүзеге асыру қажет

процестер: 1.

Ақпаратты қорғаудың нақты функцияларын жүзеге асыру, оның ішінде:

шифрлау/шифрды шешу; ЭСҚ құру/тексеру; жалған кірістірулерді жасау/сынау. 2.

KPI құралдарының күйін бақылау және жұмыс істеуін басқару (жүйеде):

күйді бақылау: KPI құралдарының жұмыс қабілеттілігін бұзу жағдайларын, рұқсат етілмеген қол жеткізу әрекеттерін, кілттерді бұзу жағдайларын анықтау және тіркеу;

өнімділікті басқару: тізбеленген ауытқулар жағдайында шара қолдану қалыпты жұмыс істеуі CCI қорлары. 3.

KZI объектілеріне техникалық қызмет көрсетуді жүргізу: негізгі басқаруды жүзеге асыру;

жаңа желі абоненттерін қосуға және/немесе жұмыстан шыққан абоненттерді шығаруға байланысты рәсімдерді орындау; CIPF анықталған кемшіліктерді жою; жаңа нұсқаларды енгізу бағдарламалық қамтамасыз ету CIPF;

жаңғырту және ауыстыру техникалық құралдарРесурсы таусылған қаражатты неғұрлым жетілдірілген және/немесе ауыстыру үшін CIPF.

Негізгі басқару – ең маңызды функциялардың бірі криптографиялық қорғауақпарат және келесі негізгі функцияларды жүзеге асырудан тұрады:

кілттерді генерациялау: кілттерді немесе кілт жұптарын олардың криптографиялық сапаларының кепілдігімен генерациялау механизмін анықтайды;

кілттерді тарату: кілттердің абоненттерге сенімді және қауіпсіз жеткізілу механизмін анықтайды;

кілтті сақтау: кілттерді болашақта пайдалану үшін сенімді және қауіпсіз сақтау механизмін анықтайды;

кілтті қалпына келтіру: кілттердің бірін қалпына келтіру механизмін анықтайды (жаңа кілтпен ауыстыру);

кілтті жою: ескірген кілттерді сенімді түрде жою механизмін анықтайды;

кілт мұрағаты: жанжал жағдайында кейінірек нотариалды расталған қалпына келтіру үшін кілттерді қауіпсіз сақтауға болатын механизм.

Тұтастай алғанда, криптографиялық ақпаратты қорғаудың санамаланған функцияларын жүзеге асыру үшін КСИ-дің нақты құралдарын, қызмет көрсететін персоналды, үй-жайларды, ұйымдастыру техникасын, әртүрлі құжаттаманы (техникалық, нормативтік-құқықтық) біріктіретін ақпаратты криптографиялық қорғау жүйесін құру қажет. т.б.

Жоғарыда айтылғандай, ақпаратты қорғау кепілдіктерін алу үшін KPI сертификатталған құралдарын пайдалану қажет.

Қазіргі уақытта ең кең таралғаны - құпия ақпаратты қорғау мәселесі. Бұл мәселені шешу үшін FAPSI қолдауымен құпия ақпаратты криптографиялық қорғаудың функционалдық толық жиынтығы әзірленді, ол әртүрлі қолданбалар мен пайдалану шарттары үшін ақпаратты қорғаудың тізбеленген міндеттерін шешуге мүмкіндік береді.

Бұл кешен «Verba» (ассиметриялық кілттер жүйесі) және «Verba-O» (симметриялық кілттер жүйесі) криптографиялық өзектеріне негізделген. Бұл криптокорлар ГОСТ 28147-89 «Ақпаратты өңдеу жүйелері.

Криптографиялық қорғау» және цифрлық қолтаңба«Ақпараттық технология. Ақпаратты криптографиялық қорғау. Ассиметриялық криптографиялық алгоритм негізінде электрондық цифрлық қолтаңбаны әзірлеу және тексеру процедуралары» ГОСТ R34.10-94 талаптарына сәйкес.

CIPF кешеніне енгізілген қаражат сізді қорғауға мүмкіндік береді электрондық құжаттаржәне сертификатталған шифрлау механизмдерін пайдаланатын ақпарат ағындары және электрондық қолтаңбаіс жүзінде барлық заманауи ақпараттық технологияларда, соның ішінде мыналарды жүзеге асыруға мүмкіндік береді: офлайн режимінде CIPF пайдалану;

офлайн режимінде қауіпсіз ақпарат алмасу; on-line режимінде қауіпсіз ақпарат алмасу; қорғалған гетерогенді, яғни. аралас ақпарат алмасу.

Криптографиялық ақпаратты қорғау құралдарын қолданудың жүйелі мәселелерін шешу үшін Д.А.Старовойтовтың жетекшілігімен жүйенің барлық бөліктерінде бірден криптографиялық деректерді қорғауды қамтамасыз ететін Витяз кешенді криптографиялық ақпаратты қорғау технологиясы әзірленді: тек байланыс арналарында ғана емес. және жүйелік түйіндер, сонымен қатар құжаттың өзі қорғалған кезде құжатты жасау процесінде тікелей пайдаланушы жұмыс орындарында. Сонымен қатар, жалпы Vityaz технологиясы аясында лицензияланған криптографиялық ақпаратты қорғау құралдарын әртүрлі құрылғыларға енгізу үшін пайдаланушыларға оңай қол жетімді жеңілдетілген технология қарастырылған. қолданбалы жүйелер, бұл осы CIPF қолдану ауқымын өте кең етеді.

Төменде аталған режимдердің әрқайсысы үшін қорғау құралдары мен әдістерінің сипаттамасы берілген.

CIPF желіден тыс пайдалану.

CIPF-пен автономды жұмыс істегенде криптографиялық ақпаратты қорғаудың келесі түрлерін жүзеге асыруға болады: қорғалған құжатты құру; файлдарды қорғау;

қорғалатынын құру файлдық жүйе; қауіпсіз логикалық дискіні құру. Пайдаланушының өтініші бойынша құжаттарды (файлдарды) криптографиялық қорғаудың келесі түрлері жүзеге асырылуы мүмкін:

құжатты (файлды) сақтау кезінде де, байланыс арналары немесе курьер арқылы жіберілген кезде де оның мазмұнына қолжетімсіз ететін құжатты (файлды) шифрлау;

құжаттың (файлдың) тұтастығын бақылауды қамтамасыз ететін кірістіру имитаторын әзірлеу;

құжаттың (файлдың) тұтастығын бақылауды және құжатқа (файлға) қол қойған тұлғаның түпнұсқалығын растауды қамтамасыз ететін ЭСҚ қалыптастыру.

Нәтижесінде қорғалған құжат (файл) қажет болған жағдайда ЭСҚ бар шифрланған файлға айналады. Ақпаратты өңдеу процесін ұйымдастыруға байланысты ЭЦҚ қол қойылған құжаттан бөлек файлмен де ұсынылуы мүмкін. Одан әрі бұл файлды курьер арқылы жеткізу үшін дискетке немесе басқа тасымалдаушыға шығаруға немесе кез келген қолжетімді арқылы жіберуге болады. электрондық пошта, мысалы, Интернет арқылы.

Тиісінше, шифрланған файлды электрондық пошта арқылы немесе сол немесе басқа тасымалдаушыда алған кезде орындалатын криптографиялық қорғау әрекеттері кері тәртіпте орындалады (шифрды шешу, имитация енгізуді тексеру, ЭЦҚ-ны тексеру).

Іске асыру үшін батареяның қызмет ету мерзіміКелесі сертификатталған құралдарды CIPF-мен бірге пайдалануға болады:

CIPF «Verba-O» және CIPF «Verba» негізінде жүзеге асырылатын «Lexicon-Verba» мәтіндік редакторы;

бағдарламалық кешен CIPF «Автономды жұмыс орны», Windows 95/98/NT үшін CIPF «Verba» және «Verba-O» негізінде жүзеге асырылған;

криптографиялық диск драйвері PTS «DiskGuard».

Қорғалған мәтіндік процессор«Лексика-Верба».

Lexicon-Verba жүйесі құжатты шифрлауды және электрондық цифрлық қолтаңбаны қолдайтын толық функционалды мәтіндік редактор болып табылады. Құжаттарды қорғау үшін ол Verba және Verba-O криптографиялық жүйелерін пайдаланады. Бұл өнімнің бірегейлігі шифрлау және мәтінге қол қою функцияларының заманауи құрылғылардың функцияларына жай ғана енгізілгендігінде. мәтіндік редактор. Бұл жағдайда құжатты шифрлау және қол қою құжатпен жұмыс істеу кезінде арнайы процестерден жай стандартты әрекеттерге айналады.

Сонымен қатар Lexicon-Verba жүйесі кәдімгі мәтіндік редакторға ұқсайды. Мәтінді пішімдеу опцияларын қамтиды толық теңшеуқұжаттың қаріптері мен абзацтары; кестелер мен тізімдер; төменгі деректемелер, ескертулер, бүйірлік жолақтар; стильдерді және заманауи талаптарға сай мәтіндік редактордың көптеген басқа мүмкіндіктерін пайдалану. «Lexicon-Verba» Lexicon, RTF, MS Word 6/95/97, MS Write форматтарында құжаттарды жасауға және өңдеуге мүмкіндік береді.

Автономды жұмыс орны.

«Автономды жұмыс орны» CIPF Windows 95/98/NT үшін «Verba» және «Verba-O» CIPF негізінде жүзеге асырылады және пайдаланушыға интерактивті режимде келесі функцияларды орындауға мүмкіндік береді:

кілттердегі файлдарды шифрлау/шифрын шешу; файлдарды парольмен шифрлау/шифрын шешу; бекіту/алып тастау/тексеру цифрлық қолтаңбалар(EDS) файлдар астында;

шифрланған файлдарды тексеру;

ЭСҚ бекіту + файлдарды шифрлау (бір әрекетте); шифрды шешу + файлдар астында ЭСҚ жою (бір әрекетте);

хэш файлын есептеу.

«Автономды жұмыс орны» CIPF мыналарды қамтамасыз ету қажет қызметкерлердің күнделікті жұмысында пайдаланған жөн:

құпия ақпаратты беру электронды форматтақолмен немесе курьермен;

жалпыға ортақ желі, оның ішінде Интернет арқылы құпия ақпаратты жіберу;

бойынша құпия ақпаратқа рұқсатсыз қол жеткізуден қорғау дербес компьютерлерқызметкерлер.

Ақпараттық жүйелерді жобалау кезінде ақпараттық қауіпсіздік талаптары қолданылатын ақпаратты қорғау құралдарын сипаттайтын белгілерді көрсетеді. Олар қамтамасыз ету саласындағы реттеушілердің әртүрлі актілерімен анықталады ақпараттық қауіпсіздік, атап айтқанда - FSTEC және Ресей ФСБ. Қандай қауіпсіздік сыныптары бар, қорғау құралдарының түрлері мен түрлері, сондай-ақ бұл туралы қайдан көбірек білуге ​​болады, мақалада көрсетілген.

Кіріспе

Бүгінгі күні ақпараттық қауіпсіздікті қамтамасыз ету мәселелері басты назарда, өйткені барлық жерде ақпараттық қауіпсіздіксіз енгізілген технологиялар жаңа күрделі мәселелердің көзіне айналуда.

Ресей ФСБ жағдайдың ауырлығы туралы хабарлайды: киберқылмыскерлердің дүние жүзінде бірнеше жыл ішінде келтірген шығыны 300 миллиард доллардан 1 триллион долларға дейін ауытқыған. Ресей Федерациясының Бас Прокуроры ұсынған ақпаратқа сәйкес, тек 2017 жылдың бірінші жартыжылдығында Ресейде жоғары технологиялар саласындағы қылмыстар саны алты есеге өсіп, жалпы шығын көлемі 18 миллион доллардан асты.Өсім. 2017 жылы өнеркәсіп секторындағы мақсатты шабуылдар бүкіл әлемде атап өтілді. Атап айтқанда, Ресейде 2016 жылмен салыстырғанда шабуылдар санының өсімі 22%-ды құрады.

Ақпараттық технологиялар әскери-саяси, лаңкестік мақсаттарда, егеменді мемлекеттердің ішкі істеріне араласу үшін, сондай-ақ басқа да қылмыстарды жасау үшін қару ретінде қолданыла бастады. Ресей Федерациясы ақпараттық қауіпсіздіктің халықаралық жүйесін құруды жақтайды.

Аумағында Ресей Федерациясыақпарат иелері мен ақпараттық жүйелер операторлары ақпаратқа рұқсатсыз қол жеткізу әрекеттеріне тосқауыл қоюға, сондай-ақ АТ-инфрақұрылымының қауіпсіздік жағдайын тұрақты негізде бақылауға міндетті. Бұл ретте ақпаратты қорғау әртүрлі, соның ішінде техникалық шараларды қабылдау арқылы қамтамасыз етіледі.

Ақпараттық қауіпсіздік құралдары немесе IPS ақпаратты қорғауды қамтамасыз етеді ақпараттық жүйелер, негізінен деректер қорында сақталған ақпарат жиынтығын білдіреді, ақпараттық технологиялар, оны өңдеу, техникалық құралдармен қамтамасыз ету.

Қазіргі ақпараттық жүйелер әртүрлі аппараттық және бағдарламалық платформаларды қолданумен, құрамдас бөліктердің аумақтық таралуымен, сондай-ақ мәліметтерді берудің ашық желілерімен өзара әрекеттесуімен сипатталады.

Мұндай жағдайларда ақпаратты қалай қорғауға болады? Тиісті талаптарды уәкілетті органдар, атап айтқанда, FSTEC және Ресейдің ФСБ қояды. Мақаланың аясында біз осы реттеушілердің талаптарын ескере отырып, ақпараттық қауіпсіздік объектілерін жіктеудің негізгі тәсілдерін көрсетуге тырысамыз. Ресейлік ведомстволардың, сондай-ақ шетелдік ұйымдар мен агенттіктердің нормативтік құжаттарында көрсетілген ақпаратты қорғау объектілерінің жіктелуін сипаттаудың басқа тәсілдері осы баптың шеңберінен шығады және одан әрі қарастырылмайды.

Мақала ақпараттық қауіпсіздік саласындағы жаңадан бастағандар үшін Ресейдің FSTEC (көбірек дәрежеде) және қысқаша айтқанда, Ресей ФСБ талаптарына негізделген ақпараттық қауіпсіздік ақпаратын жіктеу әдістері туралы құрылымдық ақпарат көзі ретінде пайдалы болуы мүмкін. .

Ақпараттық қауіпсіздіктің криптографиялық емес әдістерін қамтамасыз ету тәртібін анықтайтын және іс-әрекеттерін үйлестіретін құрылым Ресейдің FSTEC (бұрынғы РФ Президенті жанындағы Мемлекеттік техникалық комиссия, Мемлекеттік техникалық комиссия) болып табылады.

Егер оқырман Ресейдің FSTEC құрған сертификатталған ақпараттық қауіпсіздік құралдарының мемлекеттік тізілімін көруі керек болса, онда ол, әрине, ақпараттық қауіпсіздік құралының мақсатының сипаттама бөлігінде «сынып» сияқты тіркестердің болуына назар аударды. RD SVT», «NDV болмауының деңгейі» және т.б. (1-сурет) .

Сурет 1. Сертификатталған ақпаратты қорғау құралдарының тізілімінің фрагменті

Ақпаратты қорғаудың криптографиялық құралдарының классификациясы

Ресейдің ФСБ криптографиялық ақпаратты қорғау құралдарының келесі сыныптарын анықтайды: KS1, KS2, KS3, KB және KA.

KS1 SZI класының негізгі ерекшеліктеріне олардың басқарылатын аймақтан тыс жасалған шабуылдарға төтеп беру қабілеті жатады. Бұл шабуыл әдістерін жасау, оларды дайындау және енгізу криптографиялық ақпаратты қорғау құралдарын әзірлеу және талдау мамандарының қатысуынсыз жүзеге асырылатынын білдіреді. Ақпаратты қорғаудың осы құралдары қолданылатын жүйе туралы ақпаратты ашық көздерден алуға болады деп болжанады.

Егер криптографиялық IPS CS1 класы арқылы блокталған, сондай-ақ басқарылатын аймақ ішінде жүзеге асырылатын шабуылдарға төтеп бере алса, онда мұндай IPS CS2 класына сәйкес келеді. Сонымен бірге, мысалы, шабуылды дайындау кезінде ақпараттық жүйелерді қорғау, басқарылатын аймақты қамтамасыз ету және т.б. бойынша физикалық шаралар туралы ақпарат қолжетімді болуы мүмкін деп болжанады.

қатысуымен шабуылдарға қарсы тұру мүмкін болса физикалық қол жеткізуқорларға информатикаорнатылған криптографиялық ақпараттық қауіпсіздік мұндай құралдардың KS3 класына сәйкес келетінін білдіреді.

Егер криптографиялық ақпараттық қауіпсіздік жүйесі осы құралдарды әзірлеу және талдау саласындағы мамандар жасаған шабуылдарға қарсы тұрса, зерттеу орталықтарын қоса алғанда, зертханалық зерттеулерқорғау құралдары, содан кейін біз КВ класына сәйкестік туралы айтып отырмыз.

Егер шабуыл әдістерін әзірлеуге жүйелік бағдарламалық қамтамасыз етудің NDV қолдану саласындағы мамандар тартылса, сәйкес конструкторлық құжаттама бар болса және ақпаратты криптографиялық қорғау құралдарының кез келген аппараттық құрамдастарына қолжетімділік болса, онда КА класының құралдары мұндай шабуылдардан қорғауды қамтамасыз ете алады. .

Электрондық қолтаңбаны қорғау құралдарының классификациясы

Электрондық қолтаңба құралдары шабуылдарға қарсы тұру қабілетіне қарай әдетте келесі кластармен салыстырылады: KS1, KS2, KS3, KB1, KB2 және KA1. Бұл классификация криптографиялық IPS-ке қатысты жоғарыда қарастырылғанға ұқсас.

тұжырымдар

Мақалада Ресейдегі ақпараттық қауіпсіздік жүйесін жіктеудің кейбір жолдары қарастырылған, олар негізделген нормативтік базаақпараттық қауіпсіздік саласындағы реттеуші органдар. Қарастырылған жіктеу нұсқалары толық емес. Дегенмен, ұсынылған жиынтық ақпарат ақпараттық қауіпсіздік саласындағы жаңадан келген маманға жылдам шарлауға мүмкіндік береді деп үміттенеміз.

Пікір жазылуда...

Алексей, қайырлы күн!
8-ші орталықтың жауабында сертификатталған криптографиялық ақпаратты қорғау құралдарын пайдалану қажеттілігі туралы ештеңе көрсетілмеген. Бірақ Ресей ФСБ 8-ші орталығының басшылығымен 2015 жылғы 31 наурыздағы № 149/7/2/6-432 бекітілген «Әдістемелік ұсыныстар ...» бар, онда екінші тармақта осындай тармақ бар. бөлігі:

ISPD-де өңдеу кезінде дербес деректердің қауіпсіздігін қамтамасыз ету үшін белгіленген тәртіппен сәйкестікті бағалау рәсімінен өткен CIPF пайдаланылуы керек. Ресей ФСБ сертификатталған CIPF тізімі Лицензиялау, сертификаттау және қорғау орталығының ресми сайтында жарияланған. мемлекеттік құпияРесей ФСБ (www.clsz.fsb.ru). туралы қосымша ақпарат нақты құралдарақпаратты қорғауды тікелей осы құралдарды әзірлеушілерден немесе өндірушілерден, ал қажет болған жағдайда осы құралдардың жағдайлық зерттеулерін жүргізген мамандандырылған ұйымдардан алу ұсынылады;

Неліктен бұл сертификатталған CIPF пайдалану талабы емес?

Ресей ФСБ-ның 2014 жылғы 10 шілдедегі № 378 бұйрығы бар, онда 5-тармақтың «d» тармақшасында: «заңнама талаптарына сәйкестігін бағалау рәсімінен өткен ақпаратты қорғау құралдарын пайдалану. Ағымдағы қауіптерді бейтараптандыру үшін мұндай құралдарды пайдалану қажет болған жағдайда, ақпараттық қауіпсіздік саласындағы Ресей Федерациясының.

Бұл «нақты қауіптерді бейтараптандыру үшін мұндай құралдарды пайдалану қажет болғанда» аздап шатастырады. Бірақ бұл қажеттіліктің барлығын бұзушы үлгісінде сипаттау керек.

Бірақ бұл ретте, тағы да, 2015 жылғы «Әдістемелік ұсыныстардың...» 3-бөлімінде «Байланыс арналарын (линияларын) пайдалану кезінде олар арқылы берілетін және (немесе) қорғалатын ақпаратты ұстап алу мүмкін емес. ) осы ақпаратқа рұқсат етілмеген әрекеттерді жүзеге асыру мүмкін болмаған жағдайда, жалпы сипаттамаақпараттық жүйелер үшін мыналарды көрсету керек:
- осы арналарды оларға рұқсатсыз кіруден қорғау әдістері мен құралдарын сипаттау;
- осы қорытындыларды қамтитын құжатқа сілтеме жасай отырып, осындай зерттеулер жүргізуге құқығы бар ұйымның олар арқылы берілетін қорғалатын ақпаратқа рұқсатсыз қол жеткізуден осы байланыс арналарының (жолдарының) қауіпсіздігін зерттеу нәтижелері бойынша қорытындылар.

Мен мұның бәрі не үшін - иә, жеке деректерді өңдеу қауіпсіздігін қамтамасыз ету кезінде ақпаратты криптографиялық қорғауды әрқашан және барлық жерде пайдаланудың қажеті жоқ. Бірақ бұл үшін бұның барлығы сипатталған және дәлелденген тәртіп бұзушының үлгісін қалыптастыру қажет. Сіз оларды пайдалану қажет болған екі жағдай туралы жаздыңыз. Бірақ ашық байланыс арналары арқылы PD өңдеу қауіпсіздігін қамтамасыз ету үшін немесе егер бұл PD өңдеу басқарылатын аймақтың шекарасынан шығып кетсе, сертификатталмаған криптографиялық ақпаратты қорғау құралдарын пайдалануға болады - бұл оңай емес. Сертификатталған криптографиялық ақпаратты қорғау құралдарын пайдалану және оларды пайдалану және сақтау кезінде барлық талаптарды сақтау, мұндай жағдайды көріп, өте қатты тырысатын реттеушімен сертификатталмаған құралдар мен түйіспе бастарды пайдаланудан оңайырақ болуы мүмкін. мұрнын соғу.

белгісіз пікірлер...

Ағымдағы қауіптерді бейтараптандыру үшін мұндай құралдарды қолдану қажет болған жағдайда: Ресейдің FSTEC 2013 жылғы 11 ақпандағы № 17 бұйрығының талабы (мемлекеттік және муниципалды ISPD-ге қойылатын талаптар),

11-тармақ. Ақпараттық жүйеде қамтылған ақпаратты қорғауды қамтамасыз ету үшін 5-бапқа сәйкес ақпараттық қауіпсіздік талаптарына сәйкестігіне міндетті сертификаттау нысанында сәйкестікті бағалаудан өткен ақпаратты қорғау құралдары пайдаланылады. федералды заң 2002 жылғы 27 желтоқсандағы № 184-ФЗ «Техникалық реттеу туралы».

Алексей Лукацкий түсініктеме берді...

Проксимо: ФСБ ұсыныстары заңсыз. 378-бұйрық заңды, бірақ ол барлық заңнаманың контекстінде қарастырылуы тиіс және сәйкестікті бағалаудың ерекшеліктерін Үкімет немесе Президент белгілейтіні айтылған. Бір де, басқа да осындай NPA т шығарған жоқ

Алексей Лукацкий түсініктеме берді...

Антон: штатта сертификаттау талабы заңмен белгіленген, 17-ші бұйрық оларды жай ғана қайталайды. Біз PDN туралы айтып отырмыз

белгісіз пікірлер...

Алексей Лукацкий: No ФСБ ұсыныстары заңсыз "Қандай заңсыз? Мен 19.05.2015 жылғы No %40fsbResearchart.html құжатын айтып отырмын), бірақ 2008 жылғы 21 ақпандағы № 149/54- құжат туралы емес. 144.

Тағы бір маман да осыған ұқсас тақырып бойынша ФСБ-ға өтініш жасаған және оған ФСБ 2008 жылғы «Әдістеме ...» және «Ұсыныстар ...» егер сіз осы құжаттар туралы айтатын болсаңыз, оны қолданбау керек деп айтты. . Бірақ тағы да бұл құжаттар ресми түрде жойылған жоқ. Бұл құжаттар заңды ма, жоқ па, менің ойымша, ФСБ инспекторлары тексеру кезінде шешіледі.

Заң ПД-ны қорғау керек дейді. Үкіметтің, ФСБ-ның, FSTEC-тің заңнамалық актілері оларды қалай қорғау керектігін нақты анықтайды. ФСБ-ның NPA-да: "Сертификатталған пайдаланыңыз. Егер сіз сертификатталғанын қаламасаңыз, оны пайдалана алатыныңызды дәлелдеңіз. Сондай-ақ, мұндай қорытындыларды беруге лицензиясы бар компанияның қорытындысын қоса беріңіз." Солай...

Алексей Лукацкий түсініктеме берді...

1. Кез келген ұсыныс міндетті талап емес, ұсыныс болып табылады.
2. 2015 жылғы нұсқаулық PD операторларына қатысты емес - ол ведомстволық бағынысты мекемелер үшін қауіп үлгілерін жазатын мемлекеттерге сілтеме жасайды (1-тармақты ескере отырып).
3. ФСБ PD коммерциялық операторларына тексеру жүргізуге құқығы жоқ, ал үкіметтер үшін сертификатталмаған криптографиялық ақпаратты қорғауды пайдалану мәселесі тұрмайды - олар PD бар-жоғына қарамастан сертификатталған шешімдерді қолдануы керек - бұл ФЗ-149 талаптары.
4. Ережеде қалай қорғау керектігі айтылған және бұл жақсы. Бірақ олар қорғау құралдарын бағалау нысанын анықтай алмайды - мұны тек Үкіметтің немесе Президенттің НПА жасай алады. ФСБ мұны істеуге рұқсат бермейді

белгісіз пікірлер...

1119 ережеге сәйкес:

4. Дербес деректерді қорғау жүйесін ақпаратты қорғау құралдарын таңдауды оператор қабылданған нормативтік құқықтық актілерге сәйкес жүзеге асырады. Федералдық қызметРесей Федерациясының қауіпсіздігі және «Жеке деректер туралы» Федералдық заңның 19-бабының 4-бөлігіне сәйкес Техникалық және экспорттық бақылау федералды қызметі.
13.ж. Ағымдағы қатерлерді бейтараптандыру үшін мұндай құралдарды пайдалану қажет болған жағдайда, Ресей Федерациясының ақпараттық қауіпсіздік саласындағы заңнамасының талаптарына сәйкестігін бағалау рәсімінен өткен ақпараттық қауіпсіздік құралдарын пайдалану.

Байланыс операторының арналары арқылы PD жіберу кезінде қауіптің маңызды еместігін қалай негіздеуге болады?

Анау. СКЗИ болмаса, онда шамасы
- терминалға кіру және жұқа клиенттер, бірақ сонымен бірге терминалдың ақпараттық қауіпсіздік жүйесінің деректері
қол жеткізу сертификатталған болуы керек.
- байланыс операторының арналарды қорғауы, байланыс операторы (провайдер) алдындағы жауапкершілік.

Алексей Лукацкий түсініктеме берді...

Сәйкессіздікті оператор анықтайды және ол бұл үшін ешкімді қажет етпейді

Криптографиялық қорғау құралдарын (CIPF) пайдалану өте түсініксіз және тайғақ тақырып. Дегенмен, PD операторының нақты қауіптер туындаған жағдайда қорғауды қамтамасыз ету үшін CIPF қолдануға құқығы бар. Бірақ бұл құқықты қалай пайдалану керектігі әрқашан анық бола бермейді. Ал қазір ФСБ өмірді жеңілдетеді, құжат жарияланды нұсқаулармемлекеттік АЖ үшін де, барлық басқа PD операторлары үшін де қолданылады. Осы құжатты толығырақ қарастырайық.

Міне, осылай болды, деп хабарлады ФСБ 8-ші орталығы ҚБ қорғау бойынша нормативтік құқықтық актілерді әзірлеу саласындағы ұсыныстарды сипаттай отырып. Сонымен қатар, дәл осы құжатты ISPD операторлары нақты қауіп үлгілерін әзірлеу кезінде пайдалану ұсынылады.


Сонымен, ФСБ CIPF қалай және қайда қолдану керектігі туралы не ойлайды?


Бұл жеткілікті маңызды бұл құжаттек ФСБ сайтында жарияланған,тіркеуі жоқӘділет министрлігінде жәнеқолы жоқжәне- яғни оның заңдық мәні мен міндеттілігі нұсқаулардың шегінде қалады. Мұны есте сақтау маңызды.


Ішіне үңілейік, құжаттың кіріспесінде бұл ұсыныстар анықталған «Федералдық атқарушы билік органдары үшін ... басқа мемлекеттік органдар ... бұл ... дербес деректердің ақпараттық жүйелерінде (бұдан әрі - ISPD) жеке деректерді өңдеу кезінде өзекті болып табылатын жеке деректердің қауіпсіздігіне қатерлерді анықтайтын нормативтік құқықтық актілерді қабылдайды. тиісті іс-шараларды жүзеге асыруда жұмыс істейді». Анау. мемлекеттік ақпараттық жүйелерге нақты сілтеме жасалады.



Алайда, сонымен бірге, дәл осы нормалар «, сондай-ақ әзірлеуді басшылыққа алған жөн жеке қауіп үлгілеріқаражатты пайдалану туралы шешім қабылдаған дербес деректердің ақпараттық жүйелерінің операторлары криптографиялық ақпаратты қорғау(бұдан әрі - CIPF) жеке деректердің қауіпсіздігін қамтамасыз ету үшін». Анау. бұл жағдайда құжат барлық пайдаланушылар үшін әмбебап болады.



SKZI қолдану қашан қажет?


Жеке деректердің қауіпсіздігін қамтамасыз ету үшін CIPF пайдалану келесі жағдайларда қажет:

  1. егер жеке деректер Ресей Федерациясының заңнамасына сәйкес криптографиялық қорғауға жататын болса;
  2. ақпараттық жүйеде тек CIPF көмегімен бейтараптандыруға болатын қауіптер болған жағдайда.
    3.

  1. құқық бұзушының олар арқылы берілетін ақпаратты ұстап алуынан немесе осы ақпаратқа рұқсат етілмеген әсер етуден қорғалмаған байланыс арналары бойынша дербес деректерді беру (мысалы, жеке деректерді жалпыға қолжетімді ақпарат және телекоммуникация желілері арқылы беру кезінде);
  2. жеке деректерді сақтау құралдарында сақтау, рұқсатсыз кірукриптографиялық емес әдістер мен әдістерді қолдану арқылы құқық бұзушыны алып тастауға болмайды.

Міне, біз келдік. Егер екінші нүкте де әбден қисынды болса, онда біріншісі соншалықты айқын емес. Өйткені, «Дербес деректер туралы» заңның қазіргі редакциясына сәйкес аты, тегі және әкесінің атықазірдің өзінде жеке деректер болып табылады. Тиісінше, сайттағы кез келген хат алмасу немесе тіркеу (тіркеу кезінде қазіргі уақытта қанша деректер қажет екенін ескере отырып) ресми түрде осы анықтамаға жатады.



Бірақ, олар айтқандай, ерекшеліксіз ережелер жоқ. Құжаттың соңында екі кесте бар. Мұнда бір ғана сызық бар №1 қолданбалар.



Ағымдағы қауіп:

1.1. бақыланатын аймақта шабуыл жасау.

Қатыспау себебі (тізім сәл қысқартылған):

  1. ISPD пайдаланушылары болып табылатын, бірақ CIPF пайдаланушылары болып табылмайтын қызметкерлер АЖҚҚ-да жұмыс істеу ережелері және ақпараттық қауіпсіздікті қамтамасыз ету ережелерін сақтамағаны үшін жауапкершілік туралы хабардар етіледі;
  2. CIPF пайдаланушылары ISPD-де жұмыс істеу ережелері, CIPF-пен жұмыс істеу ережелері және ақпараттық қауіпсіздікті қамтамасыз ету ережелерін сақтамағаны үшін жауапкершілік туралы хабардар етіледі;
  3. криптографиялық ақпаратты қорғау жүйесі орналасқан үй-жайлар үй-жайлардың есіктерінің тұрақты құлыпталуын және тек рұқсат етілген өту үшін ашылуын қамтамасыз ететін құлыптары бар кіру есіктерімен жабдықталады;
  4. АЖО орналасқан үй-жайларға жұмыс және жұмыстан тыс уақытта, сондай-ақ төтенше жағдайларда кіру қағидаларын бекітті;
  5. CIPF орналасқан үй-жайға кіруге құқығы бар тұлғалардың тізімі бекітілді;
  6. пайдаланушылардың қорғалатын ресурстарға қол жеткізуін саралау және бақылау;
  7. пайдаланушы әрекеттерін ПД-мен тіркеу және есепке алу;

  8. CIPF орнатылған жұмыс станциялары мен серверлерінде:

    ақпаратты рұқсатсыз кіруден қорғаудың сертификатталған құралдары пайдаланылады;
  9. сертификатталған антивирустық қорғау құралдары қолданылады.

Яғни, пайдаланушыларға ережелер мен жауапкершіліктер туралы хабардар етіліп, қорғаныс шаралары қолданылса, алаңдайтын ештеңе жоқ екені белгілі болды.



  • ISPD-де өңдеу кезінде дербес деректердің қауіпсіздігін қамтамасыз ету үшін белгіленген тәртіппен сәйкестікті бағалау рәсімінен өткен CIPF пайдаланылуы керек.

Рас, бұл сертификатталған криптографиялық ақпаратты қорғау құралдарының тізімін TsLSZ FSB веб-сайтында табуға болатыны сәл төмен дейді. Сәйкестікті бағалау сертификаттау емес екендігі бірнеше рет айтылды.


  • белгіленген тәртіппен өткен CIPF сәйкестікті бағалау рәсімдері болмаған жағдайда ... алдын ала жобалау немесе жобалық (эскиздік-техникалық) жобалау сатысында оператордың (уәкілетті тұлғаның) қатысуымен ақпараттық жүйені әзірлеуші және ұсынылған CIPF әзірлеушісі CIPF жаңа түрін әзірлеудің мақсаттылығының негіздемесін дайындайды және оның функционалдық қасиеттеріне қойылатын талаптарды анықтайды.

Бұл шынымен қуантады. Істің мәні мұнда сертификаттаупроцесс өте ұзақ - алты айға дейін немесе одан да көп. Көбінесе тұтынушылар қолдау көрсетілмейтін соңғы операциялық жүйелерді пайдаланады сертификатталған нұсқасы. Бұл құжатқа сәйкес, тұтынушылар сертификаттау процесінде тұрған өнімдерді пайдалана алады.



Құжатта былай делінген:

Олар арқылы берiлетiн қорғалатын ақпаратты ұстап алу мүмкiн емес және (немесе) осы ақпарат бойынша рұқсат етiлмеген әрекеттердi жүзеге асыру мүмкiн болмайтын байланыс арналарын (желiлерiн) пайдаланған кезде ақпараттық жүйелердiң жалпы сипаттамасында мыналар қажет: көрсету:

  1. осы арналарды оларға рұқсатсыз кіруден қорғау әдістері мен құралдарын сипаттау;
  2. осы қорытындыларды қамтитын құжатқа сілтеме жасай отырып, осындай зерттеулер жүргізуге құқығы бар ұйымның олар арқылы берілетін қорғалатын ақпаратқа рұқсатсыз қол жеткізуден осы байланыс арналарының (жолдарының) қауіпсіздігін зерттеу нәтижелері бойынша қорытындылар.
    3.


  • өңделетін дербес деректер үшін қамтамасыз етілуі тиіс қауіпсіздік сипаттамалары (құпиялылық, тұтастық, қолжетімділік, түпнұсқалық);
  • оның ішінде әрбір ішкі жүйеде немесе тұтастай ақпараттық жүйеде қолданылатын байланыс арналары (линиялары). кабельдік жүйелер, және олар арқылы берілетін қорғалатын ақпаратқа рұқсатсыз қол жеткізу мүмкін болмайтын байланыс арналарын (жолдарын) көрсете отырып, осы байланыс арналары (линиялары) арқылы берілетін қорғалатын ақпаратқа рұқсатсыз қол жеткізуді шектеу шаралары және осы сапаны қамтамасыз ету бойынша іске асырылатын шаралар;
  • ақпараттық жүйенің әрбір ішкі жүйесінде немесе тұтастай алғанда ақпараттық жүйеде (байланыс арналарын (жолдарын) қоспағанда) пайдаланылатын қорғалатын ақпаратты тасымалдаушылар.

    • Дегенмен, мұнда көптеген нюанстар бар: шифрлау құралдарын есепке алу және сақтау, CIPF-ке қол жеткізу, оларды пайдалану ережелері заң талаптарына қатаң сәйкес жүзеге асырылуы керек.

    Ресей Федерациясының Әкімшілік құқық бұзушылық туралы кодексінің 13.12-бабына сәйкес ақпаратты қорғау ережелерін бұзу бірқатар санкцияларға әкелуі мүмкін: лауазымды адамдар мен ұйымдарға айыппұл салу, сондай-ақ криптоқорғау құралдарының өздерін тәркілеу. Нәтижесі электронды есептілікті жібере алмау немесе деректер алмасу жүйесінде мекеме жұмысын блоктау болуы мүмкін.

    Пайдалануды үнемі бақылау шифрлау құралдарыДербес деректердің қауіпсіздігін қамтамасыз ету үшін пайдаланылатын (бұдан әрі – ЖТ) келесі нормативтік құқықтық актілердің талаптары негізінде жүзеге асырылады:

    • «Жеке деректер туралы» 2006 жылғы 27 шілдедегі № 152-ФЗ Федералдық заңы;
    • Ресей ФСБ 2014 жылғы 10 шілдедегі No 378 бұйрығы;
    • 2001 жылғы 13 маусымдағы N 152 FAPSI нұсқауы;
    • және басқа да бірқатар нормативтік құжаттар.

    Жылға арналған ФСБ тексеру жоспары Ресей Федерациясы Бас прокуратурасының ресми сайтында жарияланған. Мұнда кез келген ұйым өзінің СТН немесе ОГРН бойынша ағымдағы жылы алдағы тексерулер, олардың ұзақтығы мен мерзімі туралы біле алады.

    ФСБ тексеруіне дайындалу үшін бірқатар ұйымдастыру шараларын жүргізу, CIPF-пен жұмыс істеуге қатысты құжаттарды әзірлеу және бекіту қажет.

    Келесі сұрақтарға жауап беру аудитке дайындықты ұйымдастыруға және не істеу керектігіне назар аударуға көмектеседі:

    1. Ұйымда ақпаратты криптографиялық қорғау құралдары бар ма? Оларды алудың құжаттары бар ма, есепке алу жүргізіле ме? CIPF-ті иеліктен шығаруға және пайдалануға беру қандай құжаттармен реттеледі?
    2. Кәсіпорынның қандай бөлімшесі CIPF-мен жұмыс істеуге жауапты, атап айтқанда: CIPF пайдалану мүмкіндігі туралы қорытындылар жасау, оларға берілген сертификаттардың шарттарына сәйкес қолданылатын CIPF-тің жұмыс істеуі мен қауіпсіздігін қамтамасыз ету шараларын әзірлеу, тармақталған есепке алу пайдаланылған ҚАЖҚ, олар бойынша жедел-техникалық құжаттама, Құпия ақпараттың қызмет көрсетілетін ұстаушыларын есепке алу, КІЖҚ пайдалану шарттарын сақтауды бақылау, ҚАЖҚ пайдалану шарттарын бұзу фактілері бойынша тергеу және қорытындылар жасау, әзірлеу. құпия ақпаратты криптографиялық қорғауды ұйымдастыру схемасы?
    3. Жоғарыда көрсетілген бөлімнің құрылуы қандай құжаттармен реттеледі және осы бөлімнің құрамындағы әрекеттерді орындауға жауапты тұлғалар қандай құжаттармен тағайындалады?
    4. CIPF есепке алу және сақтау бойынша нормативтік құқықтық актілер әзірленді ме?
    5. CIPF бухгалтерлік журналдарының нысандары бекітілді ме, олар қалай жүргізіледі?
    6. CIPF-пен жұмыс істеу ережелерін бұзған жағдайда жауапты тұлғалар шеңбері мен жауапкершілік анықталды ма?
    7. СЗКИ-ге кіруді сақтау және қамтамасыз ету қалай жүзеге асырылады?

    Барлық құжаттарды ұйымның басшысы немесе уәкілетті тұлғасы бекітуі керек, құпиялылық талап етілмейді, алайда құжаттар тек ұйым қызметкерлері мен инспекторларға арналған болуы керек.

    ФСБ тексерулері кезінде клиенттерді қолдау тәжірибесі бізге реттеуші орган назар аударатын ең типтік блоктарды анықтауға мүмкіндік берді.

    1. Дербес деректерді қорғау бойынша ұйымдастыру шараларының жүйесін ұйымдастыру

    Не тексеріледі

    		 Кеңес

    Дербес деректердің ақпараттық жүйелеріндегі CIPF қолдану саласы;

    Криптографиялық қорғауды ұйымдастыру бойынша ведомстволық құжаттардың және бұйрықтардың болуы

    		 Криптографиялық ақпаратты қорғауды ұйымдастыру бойынша ведомстволық құжаттар мен бұйрықтар Ақпаратты өңдеу және беру үшін CIPF міндетті пайдалануды анықтайтын құжаттарға сілтеме жасау қажет. Жеке деректерді қорғауға қатысты мемлекеттік жүйелербұл FSTEC-тің 17 және 21 бұйрықтары

    2. Ақпаратты криптографиялық қорғау шараларының жүйесін ұйымдастыру

    3. Рұқсаттар және пайдалану құжаттамасы

    Не тексеріледі

    		 Қандай құжаттар ұсынылуы керек Кеңес

    Дербес деректердің ақпараттық жүйелерінде CIPF пайдалану үшін қажетті лицензиялардың болуы;

    Қолданылатын CIPF үшін сәйкестік сертификаттарының болуы;

    CIPF үшін операциялық құжаттаманың болуы (формалар, пайдалану ережелері, оператор нұсқаулығы және т.б.);

    CIPF есебін жүргізу тәртібі, олар үшін пайдалану және техникалық құжаттама

    Қолданылатын CIPF лицензиялары мен сертификаттары;

    CIPF үшін операциялық құжаттама

    Қандай құжаттарды айтасыз:

    1) бағдарламалық қамтамасыз ету лицензиялары,

    2) заңды түрде алынған осы лицензиялар үшін тарату жинақтарының болуы;

    4. Қызмет көрсетуші персоналға қойылатын талаптар

    Не тексеріледі

    		 Қандай құжаттар ұсынылуы керек Кеңес

    CIPF-мен жұмыс істеуге жіберілген тұлғаларды есепке алу тәртібі;

    CIPF жауапты пайдаланушыларының функционалдық міндеттерінің болуы;

    штаттық бірлікті персоналмен толықтыру және оның ақпаратты криптографиялық қорғауды ұйымдастыру мәселелерін шешу үшін жеткіліктілігі;

    CIPF қолданатын тұлғаларды оқыту процесін ұйымдастыру

    бекітілген тізімдер;

    Қызметкерлердің функционалдық міндеттерін растайтын құжаттар;

    Криптографиялық құралдарды пайдаланушыларды тіркеу журналы;

    Қызметкерлерді оқытуды аяқтағанын растайтын құжаттар

    Сізде келесі құжаттар болуы керек:

    1) CIPF-мен жұмыс істеу нұсқаулары,

    2) ішкі өкімдермен СИПФ-мен жұмыс істеуге жауапты адамдарды тағайындау

    5. CIPF жұмысы

    Не тексеріледі

    		 Қандай құжаттар ұсынылуы керек Кеңес

    Іске қосудың дұрыстығын тексеру;

    СИПФ техникалық жағдайын бағалау;

    Мерзімдерді сақтау және толықтық Техникалық қызмет көрсету;

    CIPF пайдалану ережелерінің және олармен негізгі құжаттармен жұмыс істеу тәртібінің сақталуын тексеру

    КІЖҚ пайдалануға беру актілері;

    CIPF көшірмелерін есепке алу журналы;

    Негізгі мәліметтері бар тасымалдаушыларды тіркеу және беру журналы

    Келесі құжаттарды әзірлеу қажет:

    1) CIPF орнату актілері,

    2) бухгалтерлік есеп журналдарының нысандарын бекіту туралы бұйрық

    6. Ұйымдастырушылық шаралар

    Не тексеріледі

    		 Қандай құжаттар ұсынылуы керек Кеңес

    Ақпаратты криптографиялық қорғау құралдары орнатылған немесе оларға арналған негізгі құжаттар сақталатын үй-жайларда орналастыруға, арнайы жабдыққа, қауіпсіздікке және режимді ұйымдастыруға қойылатын талаптарды орындау;

    CIPF сақтау режимінің және негізгі құжаттаманың талаптарға сәйкестігі;

    Операторды криптокілттермен қамтамасыз ету дәрежесін бағалау және оларды жеткізуді ұйымдастыру;

    CIPF жарамды кілттері бұзылған жағдайда байланысты қалпына келтіру нұсқауларының болуын тексеру

    CIPF үшін операциялық құжаттама;

    CIPF орнату және олар үшін негізгі құжаттарды сақтау үшін бөлінген үй-жайлар;

    Жарамды CIPF кілттері бұзылған жағдайда нұсқаулар

    1) 152 FAPSI нұсқаулығы талаптарын орындау. Нақты шарттарға байланысты ол күзетшілерді орнатуды, терезелерге перделерді орнатуды, сейфті сатып алуды және т.б.

    2) CIPF-мен жұмыс істеу нұсқаулары

    Жоғарыда аталған талаптардың барлығы ФСБ тексерулерін жүргізу туралы ережеден туындайды. Нақты іс-шаралар ФАПСИ 2001 жылғы 13 маусымдағы № 152 бұйрығына сәйкес жүзеге асырылады.

    Талаптардың кем дегенде бір бөлігін сақтау барлық реттеуші процедураларды айыппұлсыз өту ықтималдығын айтарлықтай арттырады. Тұтастай алғанда, талаптарда артықшылық жоқ, барлық әрекеттер шынымен маңызды және ұйымның мүддесін қорғауға бағытталған.

    Никита Ярков, SKB Kontur лицензиялау тобының жетекшісі, Kontur-Safety жобасы

    Мақала ұнады ма? Достарыңызбен бөлісіңіз!
    Twitter
    басып шығару
    Бұл мақала пайдалы болды ма?
    Иә
    Жоқ
    Пікіріңізге рахмет!
    Бірдеңе дұрыс болмады және сіздің дауысыңыз есептелмеді.
    Рақмет сізге. Сіздің хабарламаңыз жіберілді
    Мәтіннен қате таптыңыз ба?
    Оны таңдаңыз, басыңыз Ctrl+Enterжәне біз оны түзетеміз!
    Қатысты кеңестер
    Экранның ажыратымдылығын қалай анықтауға және өзгертуге болады (сурет тым үлкен) Кеңейтім 4 3
    Экранның ажыратымдылығын қалай анықтауға және өзгертуге болады (сурет тым үлкен) Кеңейтім 4 3
    «Электрондық қала» - Жеке кабинет Электрондық қалалық жеке кабинетті тіркеу
    «Электрондық қала» - Жеке кабинет Электрондық қалалық жеке кабинетті тіркеу
    Қандай браузерлер WebRTC-ті қолдайды Яндекс-те веб-сайттарды қалай өшіруге болады
    Қандай браузерлер WebRTC-ті қолдайды Яндекс-те веб-сайттарды қалай өшіруге болады
    whatsapp онлайн тегін қызметі
    whatsapp онлайн тегін қызметі
    Vipip - Автосерфинг жасап, машинада ақша табыңыз
    Vipip - Автосерфинг жасап, машинада ақша табыңыз
    Контактіден бейне мен музыканы жүктеп алуға арналған бағдарламалар
    Контактіден бейне мен музыканы жүктеп алуға арналған бағдарламалар