Konfiguracja sprzętu i oprogramowania

Dom Grafika
Grafika

Jak przygotować się do zaplanowanej kontroli danych osobowych przez FSB? Skzi. npa

Główne zadania ochrony informacji podczas ich przechowywania, przetwarzania i przesyłania kanałami komunikacyjnymi i na różnych nośnikach, rozwiązywane przy pomocy CIPF, to: 1.

Zapewnienie tajności (poufności) informacji. 2.

Zapewnienie integralności informacji. 3.

Uwierzytelnianie informacji (dokumentów). Aby rozwiązać te problemy, konieczne jest wdrożenie następujących

procesy: 1.

Wdrożenie rzeczywistych funkcji bezpieczeństwa informacji, w tym:

szyfrowanie/deszyfrowanie; tworzenie/weryfikacja EDS; tworzenie/testowanie próbnych wstawek. 2.

Monitorowanie stanu i zarządzanie funkcjonowaniem środków KPI (w systemie):

kontrola statusu: wykrywanie i rejestracja przypadków naruszenia funkcjonalności środków KPI, prób nieautoryzowanego dostępu, przypadków włamania się na klucze;

zarządzanie wydajnością: podejmowanie działań w przypadku wymienionych odchyleń od normalne funkcjonowanie fundusze CCI. 3.

Prowadzenie utrzymania obiektów KZI: wdrożenie zarządzania kluczami;

wykonanie procedur związanych z przyłączaniem nowych abonentów sieci i/lub wykluczeniem abonentów przechodzących na emeryturę; eliminacja zidentyfikowanych niedociągnięć CIPF; wdrażanie nowych wersji oprogramowanie CIPF;

modernizacja i wymiana środki techniczne CIPF na bardziej zaawansowane i / lub wymianę środków, których zasoby zostały wyczerpane.

Zarządzanie kluczami to jedna z najważniejszych funkcji ochrona kryptograficzna informacyjne i polega na realizacji następujących głównych funkcji:

generowanie kluczy: definiuje mechanizm generowania kluczy lub par kluczy z gwarancją ich właściwości kryptograficznych;

dystrybucja kluczy: określa mechanizm, za pomocą którego klucze są niezawodnie i bezpiecznie dostarczane do subskrybentów;

przechowywanie kluczy: określa mechanizm, dzięki któremu klucze są bezpiecznie i bezpiecznie przechowywane do wykorzystania w przyszłości;

Odzyskiwanie klucza: określa mechanizm odzyskiwania jednego z kluczy (wymiana na nowy klucz);

niszczenie klucza: określa mechanizm bezpiecznego niszczenia przestarzałych kluczy;

archiwum kluczy: mechanizm, dzięki któremu klucze mogą być bezpiecznie przechowywane w celu późniejszego odzyskania poświadczonego notarialnie w sytuacjach konfliktowych.

Ogólnie rzecz biorąc, w celu realizacji wymienionych funkcji ochrony informacji kryptograficznej konieczne jest stworzenie systemu ochrony informacji kryptograficznej, który łączy w sobie same narzędzia CIP, personel serwisowy, lokale, wyposażenie biurowe, różną dokumentację (techniczną, regulacyjną) itp. .

Jak już wspomniano, w celu uzyskania gwarancji ochrony informacji konieczne jest korzystanie z certyfikowanych środków KPI.

Obecnie najbardziej rozpowszechniona jest kwestia ochrony informacji poufnych. Aby rozwiązać ten problem, pod auspicjami FAPSI opracowano funkcjonalnie kompletny zestaw ochrony kryptograficznej informacji poufnych, który pozwala rozwiązać wymienione zadania ochrony informacji dla szerokiej gamy zastosowań i warunków użytkowania.

Kompleks ten oparty jest na rdzeniach kryptograficznych „Verba” (system kluczy asymetrycznych) i „Verba-O” (system kluczy symetrycznych). Te rdzenie kryptograficzne zapewniają procedury szyfrowania danych zgodnie z wymaganiami GOST 28147-89 „Systemy przetwarzania informacji.

Ochrona kryptograficzna” oraz podpis cyfrowy zgodnie z wymaganiami GOST R34.10-94 „Technologia informacyjna. Kryptograficzna ochrona informacji. Procedury opracowywania i weryfikacji elektronicznego podpisu cyfrowego w oparciu o asymetryczny algorytm kryptograficzny.”

Środki zawarte w kompleksie CIPF pozwalają chronić dokumenty elektroniczne i przepływ informacji przy użyciu certyfikowanych mechanizmów szyfrowania oraz podpis elektroniczny praktycznie we wszystkich nowoczesnych technologiach informatycznych, w tym pozwalają na: wykorzystanie CIPF w trybie offline;

bezpieczna wymiana informacji w trybie off-line; bezpieczna wymiana informacji w trybie on-line; chronione heterogeniczne, tj. mieszana wymiana informacji.

Aby rozwiązać systemowe problemy związane z wykorzystaniem narzędzi do ochrony informacji kryptograficznych, pod kierownictwem DA Starovoitova opracowano złożoną technologię ochrony informacji kryptograficznych Vityaz, która zapewnia ochronę danych kryptograficznych we wszystkich częściach systemu jednocześnie: nie tylko w kanałach komunikacyjnych i węzłów systemowych, ale także bezpośrednio na stanowiskach pracy użytkowników w procesie tworzenia dokumentu, gdy sam dokument jest chroniony. Ponadto w ramach ogólnej technologii Vityaz przewidziano uproszczoną technologię, łatwo dostępną dla użytkowników, umożliwiającą osadzanie licencjonowanych narzędzi ochrony informacji kryptograficznej w różnych stosowane systemy, co sprawia, że ​​zastosowanie tych CIPF jest bardzo szerokie.

Poniżej znajduje się opis środków i metod ochrony dla każdego z wymienionych trybów.

Korzystanie z CIPF w trybie offline.

Podczas pracy autonomicznej z CIPF można wdrożyć następujące rodzaje ochrony informacji kryptograficznych: tworzenie chronionego dokumentu; ochrona plików;

stworzenie chronionego system plików; tworzenie bezpiecznego dysku logicznego. Na życzenie użytkownika można wdrożyć następujące rodzaje ochrony kryptograficznej dokumentów (plików):

zaszyfrowanie dokumentu (pliku), przez co jego treść jest niedostępna zarówno podczas przechowywania dokumentu (pliku), jak i przy jego przekazywaniu kanałami komunikacji lub kurierem;

opracowanie imitatora wstawki, który zapewnia kontrolę nad integralnością dokumentu (pliku);

utworzenie EDS, który zapewnia kontrolę integralności dokumentu (pliku) oraz uwierzytelnienie osoby podpisującej dokument (plik).

W rezultacie chroniony dokument (plik) zamienia się w zaszyfrowany plik zawierający, jeśli to konieczne, EDS. Podpis cyfrowy, w zależności od organizacji procesu przetwarzania informacji, może być również reprezentowany przez plik odrębny od podpisanego dokumentu. Ponadto plik ten można wyprowadzić na dyskietkę lub inny nośnik w celu dostarczenia kurierem lub wysłać za pośrednictwem dowolnego dostępnego e-mail, na przykład przez Internet.

W związku z tym, po otrzymaniu zaszyfrowanego pliku pocztą elektroniczną lub na takim lub innym nośniku, wykonywane działania ochrony kryptograficznej są wykonywane w odwrotnej kolejności (odszyfrowanie, weryfikacja imitacji wstawiania, weryfikacja podpisu cyfrowego).

Do realizacji żywotność baterii Następujące certyfikowane środki mogą być używane z CIPF:

edytor tekstu „Lexicon-Verba”, realizowany na bazie CIPF „Verba-O” i CIPF „Verba”;

kompleks oprogramowania CIPF "Autonomiczny" Miejsce pracy”, realizowany w oparciu o CIPF „Verba” i „Verba-O” dla Windows 95/98/NT;

sterownik dysku kryptograficznego PTS "DiskGuard".

Chroniony Edytor tekstu„Leksykon Verba”.

System Lexicon-Verba to w pełni funkcjonalny edytor tekstu z obsługą szyfrowania dokumentów i elektronicznego podpisu cyfrowego. Do ochrony dokumentów wykorzystuje systemy kryptograficzne Verba i Verba-O. Wyjątkowość tego produktu polega na tym, że funkcje szyfrowania i podpisywania tekstu są po prostu włączone w funkcje nowoczesnego Edytor tekstu. Szyfrowanie i podpisywanie dokumentu w tym przypadku zamienia się ze specjalnych procesów w zwykłe standardowe czynności podczas pracy z dokumentem.

Jednocześnie system Lexicon-Verba wygląda jak zwykły edytor tekstu. Opcje formatowania tekstu obejmują pełna personalizacja czcionki i akapity dokumentu; tabele i listy; stopki, przypisy, paski boczne; wykorzystanie stylów i wielu innych funkcji edytora tekstu spełniającego współczesne wymagania. "Lexicon-Verba" umożliwia tworzenie i edycję dokumentów w formatach Lexicon, RTF, MS Word 6/95/97, MS Write.

Autonomiczne miejsce pracy.

„Autonomiczne miejsce pracy” CIPF jest zaimplementowane w oparciu o CIPF „Verba” i „Verba-O” dla Windows 95/98/NT i umożliwia użytkownikowi wykonywanie następujących funkcji w trybie interaktywnym:

szyfrowanie / deszyfrowanie plików na kluczach; szyfrowanie / deszyfrowanie plików hasłem; mocowanie/usuwanie/sprawdzanie Podpisy cyfrowe(EDS) w aktach;

sprawdzanie zaszyfrowanych plików;

naklejanie EDS + szyfrowanie (w jednej akcji) plików; odszyfrowanie + usunięcie EDS (w jednej akcji) pod plikami;

obliczanie pliku skrótu.

CIPF „Autonomiczne miejsce pracy” wskazane jest do wykorzystania w codziennej pracy pracowników, którzy muszą zapewnić:

przekazywanie informacji poufnych do w formie elektronicznej ręcznie lub kurierem;

przesyłanie poufnych informacji przez sieć publiczną, w tym Internet;

ochrona przed nieuprawnionym dostępem do informacji poufnych na komputery osobiste pracowników.

Wymagania dotyczące bezpieczeństwa informacji w projektowaniu systemów informatycznych wskazują na cechy charakteryzujące stosowane środki ochrony informacji. Określają je różne akty regulatorów w zakresie świadczenia bezpieczeństwo informacji, w szczególności - FSTEC i FSB Rosji. To, jakie istnieją klasy bezpieczeństwa, rodzaje i rodzaje narzędzi ochronnych, a także gdzie można dowiedzieć się więcej na ten temat, znajduje odzwierciedlenie w artykule.

Wstęp

Kwestie zapewnienia bezpieczeństwa informacji są dziś przedmiotem szczególnej uwagi, ponieważ technologie wprowadzane wszędzie bez bezpieczeństwa informacji stają się źródłem nowych poważnych problemów.

FSB Rosji donosi o powadze sytuacji: kwota szkód wyrządzonych przez cyberprzestępców w ciągu kilku lat na całym świecie wahała się od 300 miliardów do 1 biliona dolarów. Według informacji Prokuratora Generalnego Federacji Rosyjskiej tylko w pierwszym półroczu 2017 r. liczba przestępstw z zakresu wysokich technologii w Rosji wzrosła sześciokrotnie, łączna kwota szkód przekroczyła 18 mln USD. w atakach ukierunkowanych w sektorze przemysłowym w 2017 r. odnotowano na całym świecie. W szczególności w Rosji wzrost liczby ataków w porównaniu z 2016 r. wyniósł 22%.

Technologie informacyjne zaczęto wykorzystywać jako broń do celów wojskowo-politycznych, terrorystycznych, do ingerowania w wewnętrzne sprawy suwerennych państw, a także do popełniania innych przestępstw. Federacja Rosyjska opowiada się za stworzeniem międzynarodowego systemu bezpieczeństwa informacji.

Na terytorium Federacja Rosyjska właściciele informacji i operatorzy systemów informatycznych zobowiązani są do blokowania prób nieuprawnionego dostępu do informacji, a także do bieżącego monitorowania stanu bezpieczeństwa infrastruktury informatycznej. Jednocześnie ochrona informacji jest zapewniona poprzez zastosowanie różnych środków, w tym technicznych.

Narzędzia bezpieczeństwa informacji lub IPS zapewniają ochronę informacji w systemy informacyjne, reprezentujący zasadniczo zbiór informacji przechowywanych w bazach danych, Technologie informacyjne, zapewniające jego przetwarzanie oraz środki techniczne.

Nowoczesne systemy informatyczne charakteryzują się wykorzystaniem różnych platform sprzętowych i programowych, terytorialnym rozmieszczeniem komponentów, a także interakcją z otwartymi sieciami transmisji danych.

Jak chronić informacje w takich warunkach? Odpowiednie wymagania są ustalane przez upoważnione organy, w szczególności FSTEC i FSB Rosji. W ramach artykułu postaramy się odzwierciedlić główne podejścia do klasyfikacji systemów bezpieczeństwa informacji z uwzględnieniem wymagań tych regulatorów. Inne sposoby opisu klasyfikacji obiektów bezpieczeństwa informacji, odzwierciedlone w dokumentach regulacyjnych departamentów rosyjskich, a także organizacji i agencji zagranicznych, wykraczają poza zakres tego artykułu i nie są dalej rozważane.

Artykuł może być przydatny dla początkujących w dziedzinie bezpieczeństwa informacji jako źródło uporządkowanych informacji o metodach klasyfikacji informacji dotyczących bezpieczeństwa informacji w oparciu o wymagania FSTEC Rosji (w większym stopniu) i krótko FSB Rosji .

Strukturą, która określa procedurę i koordynuje działania w zakresie dostarczania niekryptograficznych metod bezpieczeństwa informacji, jest FSTEC Rosji (dawniej Państwowa Komisja Techniczna przy Prezydencie Federacji Rosyjskiej, Państwowa Komisja Techniczna).

Gdyby czytelnik musiał zobaczyć państwowy rejestr certyfikowanych narzędzi bezpieczeństwa informacji, który jest tworzony przez FSTEC Rosji, z pewnością zwrócił uwagę na obecność w opisowej części celu zabezpieczenia informacji takich fraz jak „klasa RD SVT”, „poziom braku NDV” itp. (Rysunek 1).

Rysunek 1. Fragment rejestru certyfikowanych obiektów ochrony informacji

Klasyfikacja kryptograficznych środków ochrony informacji

FSB Rosji definiuje następujące klasy kryptograficznych narzędzi bezpieczeństwa informacji: KS1, KS2, KS3, KB i KA.

Do głównych cech SZI klasy KS1 należy ich odporność na ataki przeprowadzane spoza kontrolowanej strefy. Oznacza to, że tworzenie metod ataków, ich przygotowanie i implementacja odbywa się bez udziału specjalistów z zakresu rozwoju i analizy kryptograficznych narzędzi bezpieczeństwa informacji. Zakłada się, że informacje o systemie, w którym wykorzystywane są te narzędzia bezpieczeństwa informacji, można uzyskać z otwartych źródeł.

Jeżeli kryptograficzny IPS może wytrzymać ataki blokowane za pomocą klasy CS1, a także przeprowadzane w strefie kontrolowanej, to taki IPS odpowiada klasie CS2. Jednocześnie zakłada się np., że w trakcie przygotowywania ataku mogą stać się dostępne informacje o fizycznych środkach ochrony systemów informatycznych, udostępnieniu strefy kontrolowanej itp.

Jeśli możliwe jest odparcie ataków w obecności dostęp fizyczny do funduszy Informatyka z zainstalowanym zabezpieczeniem informacji kryptograficznej oznacza, że ​​środki te odpowiadają klasie KS3.

Jeżeli system bezpieczeństwa informacji kryptograficznej oparł się atakom, które stworzyli specjaliści w dziedzinie rozwoju i analizy tych narzędzi, w tym ośrodki badawcze, możliwe było przeprowadzenie badania laboratoryjneśrodków ochrony, wtedy mówimy o zgodności z klasą KV.

Jeżeli w opracowywanie metod ataku zaangażowani byli specjaliści z zakresu wykorzystania oprogramowania systemu NDV, dostępna była odpowiednia dokumentacja projektowa i był dostęp do dowolnych elementów sprzętowych obiektów bezpieczeństwa informacji kryptograficznej, to narzędzia klasy KA mogą zapewnić ochronę przed takimi atakami.

Klasyfikacja środków ochrony podpisu elektronicznego

Środki podpisu elektronicznego, w zależności od odporności na ataki, porównuje się zwykle z klasami: KS1, KS2, KS3, KB1, KB2 i KA1. Ta klasyfikacja jest podobna do tej omówionej powyżej w odniesieniu do kryptograficznego IPS.

wnioski

W artykule rozważono kilka sposobów klasyfikacji systemu bezpieczeństwa informacji w Rosji, które opierają się na: podstawa normatywna regulatorów w dziedzinie bezpieczeństwa informacji. Rozważane opcje klasyfikacji nie są wyczerpujące. Niemniej jednak mamy nadzieję, że przedstawione zestawienie informacji pozwoli początkującemu specjaliście w dziedzinie bezpieczeństwa informacji na szybką nawigację.

Komentowanie...

Aleksiej, dzień dobry!
W odpowiedzi 8. Centrum nic nie wskazuje na konieczność korzystania z certyfikowanych narzędzi do ochrony informacji kryptograficznej. Ale istnieją „Zalecenia metodyczne…” zatwierdzone przez kierownictwo 8. Centrum FSB Rosji z dnia 31 marca 2015 r. Nr 149/7/2/6-432, w którym taki akapit znajduje się w drugim część:

Aby zapewnić bezpieczeństwo danych osobowych podczas ich przetwarzania w ISPD, należy korzystać z CIPF, które przeszły procedurę oceny zgodności w określony sposób. Lista CIPF certyfikowanych przez FSB Rosji jest publikowana na oficjalnej stronie internetowej Centrum Licencjonowania, Certyfikacji i Ochrony tajemnica państwowa FSB Rosji (www.clsz.fsb.ru). Dodatkowe informacje na temat konkretne środki zaleca się uzyskanie ochrony informacji bezpośrednio od twórców lub producentów tych narzędzi oraz, w razie potrzeby, od wyspecjalizowanych organizacji, które przeprowadziły studia przypadków tych narzędzi;

Dlaczego nie jest to wymagane do korzystania z certyfikowanego CIPF?

Istnieje zarządzenie FSB Rosji z dnia 10 lipca 2014 r. Nr 378, w którym akapit „d” ust. 5 stanowi: „stosowanie narzędzi bezpieczeństwa informacji, które przeszły procedurę oceny zgodności z wymogami ustawodawstwa Federacji Rosyjskiej w zakresie bezpieczeństwa informacji, w przypadku gdy użycie takich narzędzi jest niezbędne do neutralizacji aktualnych zagrożeń."

Trochę mylące jest to, że „kiedy użycie takich środków jest konieczne do zneutralizowania rzeczywistych zagrożeń”. Ale całą tę konieczność należy opisać w modelu intruza.

Ale w tym przypadku ponownie w sekcji 3 „Zaleceń metodologicznych ...” z 2015 r. wskazano, że „Podczas korzystania z kanałów komunikacyjnych (linii), z których nie można przechwycić przesyłanych przez nie chronionych informacji i (lub ), w której niemożliwe jest dokonanie nieuprawnionych działań na tych informacjach, w ogólnym opisie systemów informatycznych należy wskazać:
- opis metod i środków ochrony tych kanałów przed nieuprawnionym dostępem do nich;
- wnioski na podstawie wyników badań bezpieczeństwa tych kanałów (linii) komunikacji przed nieuprawnionym dostępem do informacji chronionych przekazywanych za ich pośrednictwem przez organizację uprawnioną do prowadzenia takich badań, z odniesieniem do dokumentu zawierającego te wnioski.

Jestem za co – tak, nie ma potrzeby stosowania ochrony informacji kryptograficznej zawsze i wszędzie przy jednoczesnym zapewnieniu bezpieczeństwa przetwarzania danych osobowych. Ale do tego konieczne jest stworzenie modelu sprawcy, w którym wszystko to jest opisane i udowodnione. Napisałeś o dwóch przypadkach, kiedy musisz ich użyć. Ale fakt, że w celu zapewnienia bezpieczeństwa przetwarzania PD w otwartych kanałach komunikacyjnych lub jeśli przetwarzanie tych PD wykracza poza granice strefy kontrolowanej, można skorzystać z niecertyfikowanych narzędzi do ochrony informacji kryptograficznej – to nie jest takie proste. A może się zdarzyć, że łatwiej jest korzystać z certyfikowanych urządzeń do ochrony informacji kryptograficznej i spełniać wszystkie wymagania podczas ich eksploatacji i przechowywania, niż korzystać z niecertyfikowanych środków i tyłków z regulatorem, który widząc taką sytuację będzie się bardzo starał szturchać nos.

nieznane komentarze...

Przypadek, w którym użycie takich środków jest konieczne do zneutralizowania aktualnych zagrożeń: wymóg Rozporządzenia FSTEC Rosji nr 17 z dnia 11 lutego 2013 r. (wymagania dla państwowych i miejskich ISPD),

pkt 11. W celu zapewnienia ochrony informacji zawartych w systemie informatycznym stosuje się narzędzia bezpieczeństwa informacji, które przeszły ocenę zgodności w postaci obowiązkowej certyfikacji na zgodność z wymaganiami bezpieczeństwa informacji zgodnie z art. prawo federalne z dnia 27 grudnia 2002 r. Nr 184-FZ „O przepisach technicznych”.

Alexey Lukatsky komentuje...

Proximo: Zalecenia FSB są bezpodstawne. Rozkaz 378 jest zgodny z prawem, ale musi być rozpatrywany w kontekście całego ustawodawstwa i mówi, że cechy oceny zgodności są ustalane przez Rząd lub Prezydenta. Ani jedno, ani drugie takie NPA nie wydało t

Alexey Lukatsky komentuje...

Anton: w stanie wymóg certyfikacji jest ustanowiony przez prawo, 17. rząd po prostu je powtarza. A mówimy o PDN

nieznane komentarze...

Alexey Lukatsky: Nie. Zalecenia FSB są nielegalne „Jak bezprawne? Mówię o dokumencie z dnia 19.05.2015 nr %40fsbResearchart.html), ale nie o dokumencie z dnia 21 lutego 2008 r. nr 149/54- 144.

Inny specjalista również wcześniej zwrócił się do FSB z podobnym tematem i powiedziano mu, że „Metodologia…” i „Zalecenia…” FSB z 2008 r. nie powinny być używane, jeśli mowa o tych dokumentach . Ale znowu te dokumenty nie zostały oficjalnie anulowane. A te dokumenty są legalne lub nie, wierzę, że zadecydują już inspektorzy z FSB już podczas kontroli.

Prawo mówi, że musisz chronić PD. Regulaminy rządu, FSB, FSTEC określają dokładnie, w jaki sposób należy je chronić. NPA z FSB mówi: „Użyj certyfikatu. Jeśli nie chcesz certyfikatu, udowodnij, że możesz go używać. I proszę dołączyć do tego wniosek od firmy, która ma licencję na wydawanie takich wniosków”. Coś takiego...

Alexey Lukatsky komentuje...

1. Każde zalecenie jest zaleceniem, a nie wymogiem obowiązkowym.
2. Podręcznik z 2015 roku nie dotyczy operatorów PD – dotyczy stanów, które piszą modele zagrożeń dla podległych instytucji (z zastrzeżeniem pkt 1).
3. FSB nie ma prawa przeprowadzać kontroli komercyjnych operatorów PD, a dla rządów kwestia stosowania niecertyfikowanej ochrony informacji kryptograficznej nie jest tego warta – są oni zobowiązani do stosowania certyfikowanych rozwiązań, niezależnie od obecności PD – takie są wymagania FZ-149.
4. Regulamin mówi, jak chronić i to jest w porządku. Nie mogą jednak określić formy oceny środków zaradczych – może to zrobić tylko NPA Rządu lub Prezydenta. FSB nie jest do tego upoważniona

nieznane komentarze...

Zgodnie z rozporządzeniem 1119:

4. Wybór narzędzi bezpieczeństwa informacji dla systemu ochrony danych osobowych dokonywany jest przez operatora zgodnie z przyjętymi aktami prawnymi Służba Federalna Bezpieczeństwo Federacji Rosyjskiej i Federalna Służba Kontroli Technicznej i Eksportowej zgodnie z częścią 4 art. 19 ustawy federalnej „O danych osobowych”.
13.y. Korzystanie z narzędzi bezpieczeństwa informacji, które przeszły procedurę oceny zgodności z wymogami ustawodawstwa Federacji Rosyjskiej w zakresie bezpieczeństwa informacji, w przypadku gdy użycie takich narzędzi jest niezbędne do neutralizacji bieżących zagrożeń.

Jak uzasadnić nieistotność zagrożenia przy przekazywaniu PD kanałami operatora telekomunikacyjnego?

Tych. jeśli nie SKZI, to podobno
- dostęp do terminala i szczupli klienci, ale jednocześnie dane systemu bezpieczeństwa informacji terminala
dostęp musi być certyfikowany.
- ochrona kanałów przez operatora telekomunikacyjnego, odpowiedzialność po stronie operatora telekomunikacyjnego (dostawcy).

Alexey Lukatsky komentuje...

Nieistotność określa operator i nie potrzebuje do tego nikogo

Stosowanie kryptograficznych środków ochrony (CIPF) to bardzo niejednoznaczny i śliski temat. Operator PD ma jednak takie prawo, w przypadku wystąpienia rzeczywistych zagrożeń, zastosować CIPF w celu zapewnienia ochrony. Ale nie zawsze jest jasne, jak z tego prawa skorzystać. A teraz FSB ułatwia życie, opublikowano dokument wytyczne ma zastosowanie zarówno do stanowego IS, jak i do wszystkich innych operatorów PD. Przyjrzyjmy się bliżej temu dokumentowi.

I tak się stało, 8. Centrum FSB wysłało opisanie zaleceń w zakresie opracowywania aktów prawnych regulujących ochronę PD. Jednocześnie zaleca się, aby ten sam dokument był używany przez operatorów ISPD przy opracowywaniu poszczególnych modeli zagrożeń.


Co więc FSB myśli o tym, jak i gdzie zastosować CIPF?


To jest wystarczająco ważne, aby ten dokument publikowane tylko na stronie FSB,nie ma rejestracjiw Ministerstwie Sprawiedliwości oraznie nosi podpisuoraz- czyli jego znaczenie prawne i wiążące trzyma się wytycznych. Należy o tym pamiętać.


Zajrzyjmy do środka, preambuła dokumentu określa, że ​​zalecenia „dla federalnych władz wykonawczych … innych organów państwowych … które … przyjmują regulacyjne akty prawne określające zagrożenia dla bezpieczeństwa danych osobowych, istotne przy przetwarzaniu danych osobowych w systemach informatycznych danych osobowych (zwane dalej ISPD) obsługiwane w realizacji odpowiednich działań". Tych. wyraźne odniesienie do państwowych systemów informacyjnych.



Jednocześnie jednak te same normy „wskazane jest również kierowanie się rozwojem” prywatne modele zagrożeń operatorzy systemów informatycznych danych osobowych, którzy podjęli decyzję o wykorzystaniu środków, ochrona informacji kryptograficznych(zwana dalej CIPF) w celu zapewnienia bezpieczeństwa danych osobowych”. Tych. dokument w tym przypadku staje się uniwersalny dla wszystkich użytkowników.



Kiedy należy używać SKZI?


Skorzystanie z CIPF w celu zapewnienia bezpieczeństwa danych osobowych jest niezbędne w następujących przypadkach:

  1. jeżeli dane osobowe podlegają ochronie kryptograficznej zgodnie z ustawodawstwem Federacji Rosyjskiej;
  2. jeśli istnieją zagrożenia w systemie informatycznym, które można zneutralizować tylko przy pomocy CIPF.
    3.

  1. przekazywanie danych osobowych kanałami komunikacyjnymi, które nie są chronione przed przechwyceniem przez przestępcę informacji przesyłanych za jego pośrednictwem lub przed nieuprawnionym wpływem na te informacje (na przykład podczas przesyłania danych osobowych przez publiczne sieci informacyjne i telekomunikacyjne);
  2. przechowywanie danych osobowych na nośnikach pamięci, nieautoryzowany dostęp do których sprawca nie może zostać wykluczony za pomocą metod i metod niekryptograficznych.

I tu właśnie przychodzimy. Jeśli drugi punkt jest również całkiem logiczny, to pierwszy nie jest tak oczywisty. Faktem jest, że zgodnie z aktualną wersją ustawy „O danych osobowych” imię, nazwisko i patronim są już danymi osobowymi. W związku z tym wszelka korespondencja lub rejestracja na stronie (biorąc pod uwagę, ile danych jest obecnie wymaganych podczas rejestracji) formalnie mieści się w tej definicji.



Ale, jak mówią, nie ma zasad bez wyjątków. Na końcu dokumentu znajdują się dwie tabele. Oto tylko jedna linia Aplikacje #1.



Aktualne zagrożenie:

1.1. przeprowadzanie ataku będąc w strefie kontrolowanej.

Powód nieobecności (lista jest nieco skrócona):

  1. pracownicy będący użytkownikami ISPD, ale nie będący użytkownikami CIPF, są informowani o zasadach pracy w ISPD i odpowiedzialności za nieprzestrzeganie zasad zapewnienia bezpieczeństwa informacji;
  2. Użytkownicy CIPF są informowani o zasadach pracy w ISPD, zasadach pracy z CIPF oraz odpowiedzialności za nieprzestrzeganie zasad zapewnienia bezpieczeństwa informacji;
  3. pomieszczenia, w których znajduje się system ochrony informacji kryptograficznej, wyposażone są w drzwi wejściowe z zamkami, zapewniające, że drzwi lokalu są trwale zamknięte i otwierane tylko dla upoważnionego przejścia;
  4. zatwierdziła zasady dostępu do pomieszczeń, w których znajduje się CIPF, w godzinach pracy i poza godzinami pracy, a także w sytuacjach awaryjnych;
  5. zatwierdzono wykaz osób uprawnionych do wstępu do pomieszczeń, w których znajduje się CIPF;
  6. różnicowanie i kontrola dostępu użytkowników do chronionych zasobów;
  7. rejestracja i rozliczanie działań użytkownika z PD;

  8. na stacjach roboczych i serwerach, na których zainstalowany jest CIPF:

    stosowane są certyfikowane środki ochrony informacji przed nieuprawnionym dostępem;
  9. wykorzystywane są certyfikowane narzędzia ochrony antywirusowej.

Oznacza to, że jeśli użytkownicy są informowani o zasadach i obowiązkach oraz stosowane są środki ochrony, to okazuje się, że nie ma się czym martwić.



  • w celu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w ISPD należy korzystać z CIPF, które przeszły procedurę oceny zgodności w określony sposób.

To prawda, nieco niżej mówi, że listę certyfikowanych narzędzi do ochrony informacji kryptograficznych można znaleźć na stronie internetowej TsLSZ FSB. Wielokrotnie mówiono o tym, że ocena zgodności nie jest certyfikacją.


  • w przypadku braku procedur oceny zgodności CIPF, które przeszły zgodnie z ustaloną procedurą … na etapie projektu wstępnego lub wstępnego (szkicowo-technicznego) projektu, twórca systemu informatycznego z udziałem operatora (osoby upoważnionej) a proponowany deweloper CIPF przygotowuje uzasadnienie celowości opracowania nowego typu CIPF i określa wymagania dotyczące jego właściwości funkcjonalnych.

To naprawdę się podoba. Fakt jest taki orzecznictwo proces jest bardzo długi - do sześciu miesięcy lub dłużej. Często klienci korzystają z najnowszych nieobsługiwanych systemów operacyjnych wersja certyfikowana. Zgodnie z tym dokumentem klienci mogą korzystać z produktów, które są w trakcie certyfikacji.



W dokumencie stwierdza się, że:

W przypadku korzystania z kanałów (linii) komunikacji, z których nie można przechwycić przesyłanych za ich pośrednictwem informacji chronionych i (lub) w których niemożliwe jest dokonywanie na tych informacjach nieuprawnionych działań, w ogólnym opisie systemów informatycznych należy wskazać:

  1. opis metod i środków ochrony tych kanałów przed nieuprawnionym dostępem do nich;
  2. wnioski na podstawie wyników badań bezpieczeństwa tych kanałów (linii) komunikacji przed nieuprawnionym dostępem do informacji chronionych przekazywanych za ich pośrednictwem przez organizację uprawnioną do prowadzenia takich badań, z odniesieniem do dokumentu zawierającego te wnioski.
    3.


  • cechy bezpieczeństwa (poufność, integralność, dostępność, autentyczność), które muszą być zapewnione dla przetwarzanych danych osobowych;
  • kanały komunikacyjne (linie) wykorzystywane w każdym podsystemie lub w systemie informacyjnym jako całości, w tym: systemy kablowe, oraz środki ograniczające nieuprawniony dostęp do informacji chronionych przesyłanych tymi kanałami (liniami) komunikacji, ze wskazaniem kanałów (linii) komunikacji, w których nieuprawniony dostęp do informacji chronionych przesyłanych za ich pośrednictwem jest niemożliwy, oraz środki wdrożone w celu zapewnienia tej jakości;
  • nośniki informacji chronionej wykorzystywane w każdym podsystemie systemu informatycznego lub w systemie informatycznym jako całości (z wyjątkiem kanałów (linii) komunikacji).

    • Jest tu jednak wiele niuansów: księgowanie i przechowywanie narzędzi szyfrujących, dostęp do CIPF, zasady ich używania muszą być prowadzone w ścisłej zgodności z wymogami prawa.

    Naruszenie zasad ochrony informacji, zgodnie z art. 13.12 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej, może pociągać za sobą szereg sankcji: grzywny dla urzędników i organizacji, a także konfiskatę samych narzędzi kryptoochrony. Skutkiem może być brak możliwości przesyłania raportów elektronicznych lub zablokowanie pracy instytucji w systemie wymiany danych.

    Regularne monitorowanie użytkowania narzędzia szyfrujące służące do zapewnienia bezpieczeństwa danych osobowych (zwane dalej PD) odbywa się w oparciu o wymagania następujących przepisów:

    • Ustawa federalna z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych”;
    • Zarządzenie FSB Rosji z dnia 10 lipca 2014 r. Nr 378;
    • Instrukcja FAPSI nr 152 z dnia 13 czerwca 2001 r.;
    • oraz szereg innych dokumentów regulacyjnych.

    Plan kontroli FSB na dany rok jest publikowany na oficjalnej stronie internetowej Prokuratury Generalnej Federacji Rosyjskiej. Tutaj każda organizacja poprzez swój NIP lub OGRN może dowiedzieć się o nadchodzących kontrolach w bieżącym roku, czasie ich trwania i okresie.

    W celu przygotowania się do kontroli FSB konieczne jest przeprowadzenie szeregu czynności organizacyjnych, opracowanie i zatwierdzenie dokumentów związanych z pracą z CIPF.

    Odpowiedzi na poniższe pytania pomogą zorganizować przygotowanie audytu i skoncentrują się na tym, co należy zrobić:

    1. Czy organizacja posiada środki kryptograficznej ochrony informacji? Czy są jakieś dokumenty do ich pozyskania, czy prowadzona jest ewidencja? Jakie dokumenty regulują przekazywanie CIPF do alienacji i wykorzystania?
    2. Który dział w przedsiębiorstwie jest odpowiedzialny za współpracę z CIPF, a mianowicie: sporządzanie wniosków dotyczących możliwości korzystania z CIPF, opracowywanie środków zapewniających funkcjonowanie i bezpieczeństwo stosowanego CIPF zgodnie z warunkami wydanych im certyfikatów, księgowość z wyszczególnieniem pozycji stosowanych CIPF, dokumentacji operacyjnej i technicznej dla nich, Księgowanie obsługiwanych posiadaczy informacji poufnych, kontrola przestrzegania warunków korzystania z CIPF, badanie i sporządzanie wniosków w sprawie faktów naruszenia warunków korzystania z CIPF, opracowywanie schematu organizacji kryptograficznej ochrony informacji poufnych?
    3. Jakie dokumenty regulują tworzenie wskazanego powyżej działu, a jakie dokumenty wyznaczają osoby odpowiedzialne za wykonywanie czynności w ramach tego działu?
    4. Czy opracowano przepisy dotyczące księgowania i przechowywania CIPF?
    5. Czy zostały zatwierdzone formularze dzienników księgowych CIPF i jak są prowadzone?
    6. Czy ustalono krąg osób odpowiedzialnych i odpowiedzialności w przypadku naruszenia zasad współpracy z CIPF?
    7. Jak wygląda przechowywanie i udostępnianie SZKI?

    Wszystkie dokumenty muszą być zatwierdzone przez kierownika lub upoważnioną osobę organizacji, tajność nie jest wymagana, jednak dokumenty powinny być przeznaczone wyłącznie dla pracowników organizacji i inspektorów.

    Doświadczenie we wspieraniu klientów podczas kontroli FSB pozwoliło nam zidentyfikować najbardziej typowe bloki, na które zwraca uwagę regulator.

    1. Organizacja systemu organizacyjnych środków ochrony danych osobowych”

    Co jest sprawdzane

    		 Rada

    Zakres CIPF w systemach informatycznych danych osobowych;

    Dostępność dokumentów wydziałowych i zleceń dotyczących organizacji ochrony kryptograficznej

    		 Dokumenty resortowe i zarządzenia dotyczące organizacji ochrony informacji kryptograficznej Niezbędne jest odwołanie się do dokumentów, które określają obowiązkowe stosowanie CIPF do przetwarzania i przekazywania informacji. W zakresie ochrony danych osobowych w systemy rządowe są to 17 i 21 Zakonów FSTEC

    2. Organizacja systemu środków ochrony informacji kryptograficznej

    3. Zezwolenia i dokumentacja operacyjna

    Co jest sprawdzane

    		 Jakie dokumenty należy dostarczyć Rada

    Dostępność niezbędnych licencji na korzystanie z CIPF w systemach informatycznych danych osobowych;

    Dostępność certyfikatów zgodności dla używanego CIPF;

    Dostępność dokumentacji operacyjnej dla CIPF (formularze, regulaminy, instrukcja obsługi itp.);

    Procedura rozliczania CIPF, dokumentacji operacyjnej i technicznej dla nich

    Licencje i certyfikaty na używane CIPF;

    Dokumentacja operacyjna dla CIPF

    Jakie dokumenty masz na myśli:

    1) licencje na oprogramowanie,

    2) dostępność zestawów dystrybucyjnych dla tych licencji uzyskanych legalnie,

    4. Wymagania dla personelu serwisowego

    Co jest sprawdzane

    		 Jakie dokumenty należy dostarczyć Rada

    Procedura rozliczania osób przyjętych do pracy w CIPF;

    Dostępność funkcjonalnych obowiązków odpowiedzialnych użytkowników CIPF;

    Obsadzanie etatowych stanowisk personelem i jego wystarczalność do rozwiązywania problemów organizacji ochrony informacji kryptograficznej;

    Organizacja procesu szkoleniowego dla osób korzystających z CIPF

    zatwierdzone listy;

    Dokumenty potwierdzające obowiązki funkcjonalne pracowników;

    Dziennik rejestracji użytkowników środków kryptograficznych;

    Dokumenty potwierdzające odbycie szkolenia pracowników

    Musisz posiadać następujące dokumenty:

    1) instrukcja pracy z CIPF,

    2) powołanie przez zarządzenia wewnętrzne osób odpowiedzialnych za współpracę z CIPF

    5. Funkcjonowanie CIPF

    Co jest sprawdzane

    		 Jakie dokumenty należy dostarczyć Rada

    Sprawdzenie poprawności uruchomienia;

    Ocena stanu technicznego CIPF;

    Przestrzeganie terminów i kompletność Utrzymanie;

    Sprawdzenie przestrzegania zasad korzystania z CIPF oraz procedury obsługi kluczowych dla nich dokumentów

    Akty uruchomienia CIPF;

    Dziennik księgowania kopii CIPF;

    Dziennik rejestracji i wydawania przewoźników z kluczowymi informacjami

    Należy opracować następujące dokumenty:

    1) akty instalacji CIPF,

    2) nakazać zatwierdzenie formularzy dzienników księgowych”

    6. Ustalenia organizacyjne

    Co jest sprawdzane

    		 Jakie dokumenty należy dostarczyć Rada

    Spełnienie wymagań dotyczących umieszczenia, specjalnego wyposażenia, bezpieczeństwa i organizacji reżimu w pomieszczeniach, w których zainstalowane są narzędzia do ochrony informacji kryptograficznych lub przechowywane są dla nich kluczowe dokumenty;

    Zgodność trybu przechowywania CIPF i kluczowej dokumentacji z wymaganiami;

    Ocena stopnia udostępnienia operatorowi kluczy kryptograficznych i organizacji ich dostarczenia;

    Sprawdzanie dostępności instrukcji przywracania komunikacji w przypadku ujawnienia ważnych kluczy do CIPF

    Dokumentacja operacyjna dla CIPF;

    Pomieszczenia przeznaczone pod instalację CIPF i przechowywanie dla nich kluczowych dokumentów;

    Instrukcje w przypadku kompromitacji ważnych kluczy CIPF

    1) Spełnienie wymagań Instrukcji 152 FAPSI. W zależności od konkretnych warunków może wymagać zamontowania ochroniarzy, zamontowania zasłon w oknach, zakupu sejfu itp.

    2) Instrukcja pracy z CIPF

    Wszystkie powyższe wymagania wynikają z Regulaminu przeprowadzania inspekcji FSB. Konkretne działania realizowane są zgodnie z Zarządzeniem FAPSI z dnia 13 czerwca 2001 nr 152.

    Spełnienie przynajmniej części wymagań znacznie zwiększy prawdopodobieństwo przejścia wszystkich procedur regulacyjnych bez kary. Ogólnie w wymaganiach nie ma redundancji, wszystkie działania są naprawdę ważne i działają na rzecz ochrony interesów organizacji.

    Nikita Jarkow, Kierownik Zespołu Licencjonowania w SKB Kontur, projekt Kontur-Safety

    Podobał Ci się artykuł? Podziel się z przyjaciółmi!
    Świergot
    wydrukować
    Czy ten artykuł był pomocny?
    tak
    Nie
    Dziekuję za odpowiedź!
    Coś poszło nie tak i Twój głos nie został policzony.
    Dziękuję Ci. Twoja wiadomość została wysłana
    Znalazłeś błąd w tekście?
    Wybierz, kliknij Ctrl+Enter a my to naprawimy!
    Powiązane wskazówki
    Ustawianie opcji konwersji
    Ustawianie opcji konwersji
    Jak konwertować pliki FLAC na MP3, AAC, WMA, WAV itp.
    Jak konwertować pliki FLAC na MP3, AAC, WMA, WAV itp.
    rozszerzenie wps. Jak otworzyć plik .WPS? Inne przyczyny problemów z otwieraniem plików WPS
    rozszerzenie wps. Jak otworzyć plik .WPS? Inne przyczyny problemów z otwieraniem plików WPS
    Jak przekonwertować plik VOB do AVI
    Jak przekonwertować plik VOB do AVI
    Jak zmienić format obrazu Konwerter narzędzi z png na bmp
    Jak zmienić format obrazu Konwerter narzędzi z png na bmp
    Konwertuj DOC na EPUB
    Konwertuj DOC na EPUB