كيف تستعد لفحص FSB مجدول على البيانات الشخصية؟ استخدام SKZI المعتمد - وجهة نظر FSB وسائل الحماية المشفرة للمعلومات FSB.

يستخدم وسائل التشفيرموضوع الحماية (SKZI) مثير للجدل وزلق للغاية. علاوة على ذلك ، يتمتع مشغل PD بهذا الحق ، في حالة وجود تهديدات عاجلة ، في استخدام أدوات حماية المعلومات المشفرة لضمان الحماية. ومع ذلك ، ليس من الواضح دائمًا كيفية استخدام هذا الحق. والآن يجعل FSB الحياة أسهل ، تم نشر وثيقة من التوصيات المنهجية التي تنطبق على كل من IS الحكومية وجميع مشغلي PD الآخرين. دعنا نلقي نظرة فاحصة على هذه الوثيقة.

وهذا ما حدث ، نشره مركز FSB الثامن وصف التوصيات في تطوير الإجراءات القانونية التنظيمية لحماية البيانات الشخصية. في الوقت نفسه ، يوصى باستخدام نفس المستند بواسطة مشغلي ISPD عند تطوير نماذج التهديد الخاصة.

إذن ما الذي يفكر فيه FSB حول كيفية ومكان تطبيق نظام حماية المعلومات المشفرة؟

من المهم أن هذا المستندنشرت فقط على موقع FSB ،ليس لديه تسجيلفي وزارة العدل ولا يحمل توقيع أي شخصو- أي أهميتها القانونية وملزمة يبقى فقط في إطار التوصيات... من المهم أن تتذكر هذا.

دعونا نلقي نظرة في الداخل ، ديباجة الوثيقة تنص على التوصيات "بالنسبة للهيئات التنفيذية الفيدرالية ... هيئات الدولة الأخرى ... التي ... تتبنى إجراءات قانونية معيارية تحدد التهديدات لأمن البيانات الشخصية ذات الصلة عند معالجة البيانات الشخصية في نظم المعلوماتآه البيانات الشخصية (المشار إليها فيما يلي - ISPDN) ، التي يتم استغلالها في تنفيذ الأنشطة ذات الصلة "... أولئك. ترد إشارة صريحة إلى نظم المعلومات الحكومية.

ومع ذلك ، في نفس الوقت ، فإن هذه القواعد نفسها "من المستحسن أيضًا الاسترشاد في تطوير نماذج التهديد الخاصةمشغلي أنظمة معلومات البيانات الشخصية الذين اتخذوا قرارًا بشأن استخدام الأموال الحماية المشفرة للمعلومات(يشار إليها فيما بعد - CIPF) لضمان أمن البيانات الشخصية ". أولئك. يصبح المستند في هذه الحالة عالميًا لجميع المستخدمين.

متى يكون من الضروري استخدام CIPF؟

يعد استخدام أدوات حماية المعلومات المشفرة لضمان أمان البيانات الشخصية أمرًا ضروريًا في الحالات التالية:

1. إذا كانت البيانات الشخصية خاضعة لحماية التشفير وفقًا للقانون الاتحاد الروسي;
2. إذا كانت هناك تهديدات في نظام المعلومات لا يمكن تحييدها إلا بمساعدة أدوات حماية المعلومات المشفرة.

1. نقل البيانات الشخصية عبر قنوات الاتصال غير المحمية من اعتراض المعلومات المنقولة من خلالها من قبل المتعدي أو من التأثيرات غير المصرح بها على هذه المعلومات (على سبيل المثال ، عند نقل البيانات الشخصية عبر المعلومات العامة وشبكات الاتصالات) ؛
2. تخزين البيانات الشخصية على وسائط التخزين ، دخول غير مرخصالتي من جانب الجاني لا يمكن استبعاده باستخدام طرق وأساليب غير مشفرة.

وهذا هو المكان الذي وصلنا إليه. إذا كانت النقطة الثانية منطقية بدرجة كافية أيضًا ، فإن النقطة الأولى ليست واضحة جدًا. الحقيقة هي أنه وفقًا للإصدار الحالي من قانون "البيانات الشخصية" الاسم واللقب واسم الأبهي بالفعل بيانات شخصية. وفقًا لذلك ، فإن أي مراسلات أو تسجيل على الموقع (مع مراعاة مقدار البيانات المطلوبة الآن للتسجيل) يقع رسميًا تحت هذا التعريف.

لكن كما يقولون ، لا توجد قواعد بدون استثناء. يوجد جدولين في نهاية المستند. هنا سطر واحد فقط الملحق رقم 1.

التهديد الحالي:

1.1 تنفيذ هجوم أثناء تواجدك داخل المنطقة الخاضعة للسيطرة.

مبرر الغياب (القائمة مختصرة قليلاً):

1. يتم إبلاغ الموظفين الذين يستخدمون ISPD ، ولكنهم ليسوا مستخدمين لـ ISPD ، بقواعد العمل في ISPD والمسؤولية عن عدم الامتثال لقواعد ضمان أمن المعلومات ؛
2. يتم إطلاع مستخدمي CIPF على قواعد العمل في ISPD ، وقواعد العمل مع CIPF والمسؤولية عن عدم مراعاة قواعد أمن المعلومات ؛
3. تم تجهيز المباني التي يقع فيها SKZI بأبواب مدخل بأقفال ، مما يضمن قفل أبواب المبنى بشكل دائم وفتحها فقط للمرور المصرح به ؛
4. تمت الموافقة على قواعد الوصول إلى المباني التي يوجد بها مركز المراقبة الدولية أثناء ساعات العمل وغير ساعات العمل ، وكذلك في حالات الطوارئ ؛
5. تمت الموافقة على قائمة الأشخاص الذين لديهم الحق في الوصول إلى المباني التي يوجد بها نظام حماية المعلومات المشفرة ؛
6. أن يتم تحديد ومراقبة وصول المستخدم إلى الموارد المحمية ؛
7. تسجيل وحساب إجراءات المستخدم مع PD ؛

8. على AWP والخوادم التي تم تثبيت أدوات حماية معلومات التشفير عليها:

   يتم استخدام وسائل معتمدة لحماية المعلومات من الوصول غير المصرح به ؛
9. يتم استخدام وسائل الحماية المعتمدة المضادة للفيروسات.

وهذا يعني أنه إذا تم إبلاغ المستخدمين بالقواعد والمسؤوليات ، وتم تطبيق تدابير الحماية ، فحينئذٍ يتضح أنه لا يوجد ما يدعو للقلق.

• لضمان أمن البيانات الشخصية أثناء معالجتها في ISPD ، يجب استخدام أدوات حماية المعلومات المشفرة التي اجتازت إجراء تقييم المطابقة بالطريقة المحددة.

صحيح ، أسفله مباشرة يقول أنه يمكن العثور على قائمة بأجهزة حماية التشفير المعتمدة على موقع FSB CLSP. قيل أكثر من مرة أن تقييم المطابقة ليس شهادة.

• في حالة عدم وجود إجراء لتقييم امتثال نظام حماية المعلومات المشفرة بالطريقة المحددة ... في مرحلة التصميم الأولي أو مشروع (رسم تقني) ، مطور نظام المعلومات بمشاركة يعد المشغل (الشخص المرخص له) والمطور المحتمل لنظام حماية المعلومات المشفرة تبريرًا لجدوى تطوير نوع جديد من نظام حماية المعلومات المشفرة ويحدد متطلبات خصائصه الوظيفية.

هذه حقا أخبار جيدة. الحقيقة انه شهادةالعملية طويلة جدًا - تصل إلى ستة أشهر أو أكثر. غالبًا ما يستخدم العملاء أحدث أنظمة التشغيل التي لا يدعمها الإصدار المعتمد. وفقًا لهذا المستند ، يمكن للعملاء استخدام المنتجات التي هي في طور الاعتماد.

تنص الوثيقة على ما يلي:

عند استخدام قنوات (خطوط) اتصال يستحيل من خلالها اعتراض المعلومات المحمية المنقولة من خلالها و (أو) التي يستحيل فيها تنفيذ تأثيرات غير مصرح بها على هذه المعلومات ، في الوصف العام لنظم المعلومات ، من الضروري يشير:

1. وصف لأساليب وطرق حماية هذه القنوات من الوصول غير المصرح به إليها ؛
2. استنتاجات تستند إلى نتائج دراسات أمن قنوات الاتصال (خطوط) هذه من الوصول غير المصرح به إلى المعلومات المحمية المنقولة من خلالها من قبل منظمة يحق لها إجراء مثل هذه الدراسات ، مع الإشارة إلى الوثيقة التي تحتوي على هذه الاستنتاجات.

الخصائص الأمنية (السرية ، والسلامة ، والتوافر ، والمصداقية) التي يجب ضمانها للبيانات الشخصية المعالجة ؛

قنوات (خطوط) الاتصال المستخدمة في كل نظام فرعي أو في نظام المعلومات ككل ، بما في ذلك أنظمة الكابلاتوتدابير لتقييد الوصول غير المصرح به إلى المعلومات المحمية المنقولة عبر قنوات (خطوط) الاتصال هذه ، مع الإشارة إلى قنوات (خطوط) الاتصال التي يستحيل فيها الوصول غير المصرح به إلى المعلومات المحمية المنقولة من خلالها ، والتدابير المتخذة لضمان هذه الجودة ؛

ناقلات المعلومات المحمية المستخدمة في كل نظام فرعي لنظام المعلومات أو في نظام المعلومات ككل (باستثناء قنوات الاتصال (الخطوط)).

تعليقات ...

أليكسي ، مساء الخير!
في رد المركز الثامن ، لم يتم الإشارة إلى أي شيء حول الحاجة إلى استخدام أجهزة حماية معلومات التشفير المعتمدة. لكن هناك "توصيات منهجية ..." تمت الموافقة عليها من قبل قيادة المركز الثامن لـ FSB لروسيا بتاريخ 2015/3/31 برقم 149/7/2 / 6-432 ، حيث توجد مثل هذه الفقرة في جزء ثان:

لضمان أمن البيانات الشخصية أثناء معالجتها في ISPD ، يجب استخدام أدوات حماية المعلومات المشفرة التي اجتازت إجراء تقييم المطابقة بالطريقة المحددة. يتم نشر قائمة CIPFs المعتمدة من قبل FSB of Russia على الموقع الرسمي لمركز الترخيص ، وإصدار الشهادات وحماية أسرار الدولة لـ FSB في روسيا (www.clsz.fsb.ru). معلومة اضافيةيوصى بالحصول على معلومات حول أدوات حماية المعلومات المحددة مباشرة من مطوري أو مصنعي هذه الأدوات ، وإذا لزم الأمر ، من المنظمات المتخصصة التي أجرت دراسات حالة لهذه الأدوات ؛

لماذا لا يعد هذا مطلبًا لاستخدام أدوات حماية المعلومات المشفرة المعتمدة؟

هناك أمر من FSB لروسيا بتاريخ 10 يوليو 2014 برقم 378 ، حيث تنص الفقرة الفرعية "د" من الفقرة 5 على ما يلي: "استخدام حماية المعلومات يعني اجتياز إجراءات تقييم الامتثال لمتطلبات التشريع الاتحاد الروسي في مجال أمن المعلومات ، في الحالة التي يكون فيها استخدام هذه الوسائل ضروريًا لتحييد التهديدات الحالية ".

الأمر المربك بعض الشيء هو "عندما يكون استخدام مثل هذه الوسائل ضروريًا لتحييد التهديدات العاجلة". لكن كل هذه الحاجة يجب وصفها في نموذج الدخيل.

ولكن في هذه الحالة ، مرة أخرى في القسم 3 من "التوصيات المنهجية ..." لعام 2015 ، يُذكر أنه "عند استخدام قنوات الاتصال (الخطوط) التي يستحيل من خلالها اعتراض المعلومات المحمية المنقولة من خلالها و (أو) التي يستحيل فيها تنفيذ إجراءات غير مصرح بها لهذه المعلومات ، في الوصف العام لنظم المعلومات ، من الضروري الإشارة إلى:
- وصف لأساليب وطرق حماية هذه القنوات من الوصول غير المصرح به إليها ؛
- استنتاجات تستند إلى نتائج دراسات أمن قنوات (خطوط) الاتصال هذه من الوصول غير المصرح به إلى المعلومات المحمية المنقولة من خلالها من قبل منظمة مخولة إجراء مثل هذه الدراسات ، مع الإشارة إلى الوثيقة التي تحتوي على هذه الاستنتاجات ".

أعني كل هذا - نعم ، ليست هناك حاجة لاستخدام أدوات حماية البيانات المشفرة دائمًا وفي كل مكان مع ضمان أمان معالجة PD. لكن لهذا تحتاج إلى تشكيل نموذج للجاني ، حيث يتم وصف كل هذا وإثباته. لقد كتبت عن حالتين عندما تحتاج إلى استخدامهما. لكن حقيقة أنه لضمان سلامة معالجة PD من خلال قنوات الاتصال المفتوحة ، أو إذا تجاوزت معالجة PD هذه حدود المنطقة الخاضعة للرقابة ، يمكنك استخدام أدوات حماية معلومات التشفير غير المعتمدة - الأمر ليس بهذه البساطة. وقد يحدث أنه من الأسهل استخدام أدوات حماية المعلومات المشفرة المعتمدة والامتثال لجميع متطلبات تشغيلها وتخزينها بدلاً من استخدام أدوات غير مصدق عليها ومعاقبتها مع منظم ، عند رؤية مثل هذا الموقف ، سيحاول جاهدًا أن يطغى عليه. أنف.

تعليقات غير معروفة ...

الحالة التي يكون فيها استخدام مثل هذه الوسائل ضروريًا لتحييد التهديدات الحالية: متطلب الأمر الصادر عن FSTEC لروسيا رقم 17 بتاريخ 11 فبراير 2013 (متطلبات الدولة والبلديات. ISPDn) ،

البند 11. لضمان حماية المعلومات الواردة في نظام المعلومات ، يتم استخدام أدوات أمن المعلومات التي اجتازت تقييم المطابقة في شكل شهادة إلزامية للامتثال لمتطلبات أمن المعلومات وفقًا للمادة 5 من القانون الاتحادي الصادر في 27 ديسمبر ، 2002 رقم 184-FZ "بشأن التنظيم الفني".

تعليقات أليكسي لوكاتسكي ...

Proximo: توصيات FSB غير مشروعة. يعتبر الأمر 378 شرعيًا ، ولكن يجب النظر إليه في سياق جميع التشريعات ، وهو ينص على أن تفاصيل تقييم المطابقة تحددها الحكومة أو الرئيس. لم يصدر أي من NPA ولا الآخر ر

تعليقات أليكسي لوكاتسكي ...

أنطون: في الولاية ، يتم تحديد شرط الشهادة بموجب القانون ، فالأمر السابع عشر يكررها ببساطة. ونحن نتحدث عن PD

تعليقات غير معروفة ...

أليكسي لوكاتسكي: توصيات FSB غير مشروعة "ما مدى شرعية الوثيقة؟ أعني الوثيقة بتاريخ 05.19.2015 رقم 149/7/2 / 6-432 (http://www.fsb.ru/fsb/science/single.htm! ٪ 3D10437608٪ 40fsbResearchart.html) ، ولكن ليس بخصوص المستند بتاريخ 02.21.2008 رقم 149 / 54-144.

كما قدم متخصص آخر طلبًا سابقًا إلى FSB حول موضوع مشابه ، وقيل له إنه لا ينبغي استخدام "منهجية ..." و "توصيات ..." من FSB من عام 2008 إذا كنت تتحدث عن هذه الوثائق . لكن مرة أخرى ، لم يتم إلغاء هذه الوثائق رسميًا. وسواء كانت هذه الوثائق شرعية أم لا ، على ما أعتقد ، سيتم تحديدها من قبل مفتشي FSB الموجودين بالفعل في الموقع أثناء التفتيش.

ينص القانون على ضرورة حماية البيانات الشخصية. تحدد اللوائح من الحكومة ، FSB ، FSTEC بالضبط كيفية حمايتهم. تقول وكالة الأمن القومي من FSB: "استخدم واحدة معتمدة. إذا كنت لا تريد واحدة ، أثبت أنه يمكنك استخدامها. ويرجى إرفاق رأي في هذا من شركة لديها ترخيص لإصدار مثل هذه الاستنتاجات." شيء من هذا القبيل...

تعليقات أليكسي لوكاتسكي ...

1. أي توصية هي توصية وليست شرطًا إلزاميًا.
2. لا علاقة لدليل 2015 بمشغلي PD - فهو يشير إلى الدول التي تكتب نماذج تهديد للمؤسسات التابعة (مع مراعاة البند 1).
3. لا يملك FSB الحق في إجراء فحوصات على المشغلين التجاريين لـ PD ، وبالنسبة للدول ، فإن مسألة استخدام أدوات حماية معلومات التشفير غير المعتمدة لا تستحق العناء - فهم ملزمون بتطبيق حلول معتمدة ، بغض النظر عن وجود PD - هذه هي متطلبات FZ-149.
4. تنص اللوائح الداخلية على كيفية الحماية ولا بأس بذلك. لكنهم لا يستطيعون تحديد شكل تقييم وسائل الحماية - لا يمكن القيام بذلك إلا عن طريق RLA للحكومة أو الرئيس. FSB غير مخول للقيام بذلك

تعليقات غير معروفة ...

وفقًا للائحة 1119:

4. يتم تنفيذ اختيار وسائل حماية المعلومات لنظام حماية البيانات الشخصية من قبل المشغل وفقًا للإجراءات القانونية التنظيمية المعتمدة الخدمة الفيدراليةأمن الاتحاد الروسي والخدمة الفيدرالية للرقابة الفنية والصادرات طبقًا للجزء 4 من المادة 19 من القانون الفيدرالي "بشأن البيانات الشخصية".
13. y. استخدام أدوات حماية المعلومات التي اجتازت إجراءات تقييم الامتثال لمتطلبات تشريعات الاتحاد الروسي في مجال أمن المعلومات ، في الحالة التي يكون فيها استخدام هذه الأدوات ضروريًا لتحييد التهديدات الحالية.

كيف يمكن تبرير عدم ملاءمة التهديد عند نقل البيانات الشخصية عبر قنوات مشغل الاتصالات؟

أولئك. إن لم يكن SKZI ، إذن على ما يبدو ،
- الوصول إلى المحطة و رقيقة العملاء، ولكن في نفس الوقت ، بيانات نظام أمن المعلومات الخاص بالمحطة
يجب أن يكون الوصول معتمدًا.
- حماية القنوات من قبل مشغل الاتصالات ، مسؤولية مشغل الاتصالات (المزود).

تعليقات أليكسي لوكاتسكي ...

المشغل يحدد عدم الصلة ولا أحد مطلوب لهذا الغرض

رقم التسجيل 33620

وفقًا للجزء 4 من المادة 19 من القانون الاتحادي الصادر في 27 يوليو 2006 N 152-FZ "بشأن البيانات الشخصية" 1 انا اطلب:

الموافقة على التكوين المرفق ومحتوى التدابير التنظيمية والتقنية لضمان أمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية باستخدام أدوات حماية المعلومات المشفرة اللازمة للوفاء بالمتطلبات التي وضعتها حكومة الاتحاد الروسي لحماية البيانات الشخصية لكل مستوى من مستويات الأمان.

المخرج أ. بورتنيكوف

1 التشريعات المجمعة للاتحاد الروسي ، 2006 ، العدد 31 (الجزء الأول) ، المادة. 3451 ؛ 2009 ، العدد 48 ، الفن. 5716 ؛ رقم 52 (الجزء الأول) ، الفن. 6439 ؛ 2010 ، العدد 27 ، الفن. 3407 ؛ 31 ، الفن. 4173 ، ق. 4196 ؛ 49 ، الفن. 6409 ؛ رقم 52 (الجزء الأول) ، الفن. 6974 ؛ 2011 ، العدد 23 ، الفن. 3263 ؛ 31 ، الفن. 4701 ؛ 2013 ، العدد 14 ، الفن. 1651 ؛ 30 (الجزء الأول) ، الفن. 4038.

تطبيق

تكوين ومحتوى التدابير التنظيمية والتقنية لضمان أمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية باستخدام وسائل الحماية المشفرة للمعلومات اللازمة للوفاء بالمتطلبات التي وضعتها حكومة الاتحاد الروسي لحماية البيانات الشخصية لكل مستوى من مستويات الأمان

1. أحكام عامة

1. تحدد هذه الوثيقة تكوين ومحتوى التدابير التنظيمية والتقنية لضمان أمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية (المشار إليها فيما يلي باسم نظام المعلومات) باستخدام وسائل حماية المعلومات المشفرة (المشار إليها فيما يلي باسم CIPF ) اللازمة للوفاء بالمتطلبات التي وضعتها حكومة الاتحاد الروسي لحماية البيانات الشخصية لكل مستوى من مستويات الأمان.

2. هذا المستند مخصص للمشغلين الذين يستخدمون أدوات حماية المعلومات المشفرة لضمان أمن البيانات الشخصية أثناء معالجتها في أنظمة المعلومات.

3. تطبيق التدابير التنظيمية والفنية المحددة في هذه الوثيقة يقدمها المشغل ، مع مراعاة متطلبات المستندات التشغيلية لأجهزة حماية المعلومات المشفرة ، المستخدمة لضمان أمن البيانات الشخصية عند معالجتها في أنظمة المعلومات.

4. يجب أن يتم تشغيل CIPF وفقًا لوثائق CIPF والمتطلبات المحددة في هذه الوثيقة ، وكذلك وفقًا للإجراءات القانونية التنظيمية الأخرى التي تنظم العلاقات في المجال ذي الصلة.

ثانيًا. تكوين ومحتوى التدابير التنظيمية والتقنية اللازمة للوفاء بالمتطلبات التي وضعتها حكومة الاتحاد الروسي لحماية البيانات الشخصية لـ 4 مستويات أمان

5. وفقًا للمادة 13 من متطلبات حماية البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية ، التي وافقت عليها حكومة الاتحاد الروسي بتاريخ 1 تشرين الثاني (نوفمبر) 2012 N1119 1 (يُشار إليها فيما بعد - متطلبات حماية البيانات الشخصية ) ، لضمان 4 مستويات من الحماية الشخصية عند معالجة البيانات في أنظمة المعلومات ، يجب استيفاء المتطلبات التالية:

أ) تنظيم نظام لضمان أمن المباني التي يوجد بها نظام المعلومات ، ومنع إمكانية الدخول أو الإقامة غير المنضبط في هذه المباني للأشخاص الذين ليس لديهم الحق في الوصول إلى هذه المباني ؛

ب) ضمان سلامة ناقلات البيانات الشخصية ؛

ج) موافقة رئيس المشغل على الوثيقة التي تحدد قائمة الأشخاص الذين يكون وصولهم إلى البيانات الشخصية التي تتم معالجتها في نظام المعلومات ضروريًا لهم لأداء واجباتهم الرسمية (العمالية) ؛

د) استخدام أدوات أمن المعلومات التي اجتازت إجراءات تقييم الامتثال لمتطلبات تشريعات الاتحاد الروسي في مجال أمن المعلومات ، في حالة ضرورة استخدام هذه الوسائل لتحييد التهديدات الحالية.

6. للوفاء بالمتطلبات المحددة في الفقرة الفرعية "أ" من الفقرة 5 من هذه الوثيقة ، من الضروري ضمان وجود نظام يمنع إمكانية الاختراق غير المنضبط أو البقاء في المباني التي توجد بها أدوات حماية المعلومات المشفرة المستخدمة ، وهو نظام التشفير أدوات حماية البيانات و (أو) ناقلات المعلومات الرئيسية والمصادقة وكلمة المرور الخاصة بأداة حماية المعلومات المشفرة (المشار إليها فيما يلي باسم المباني) ، الأشخاص الذين ليس لديهم الحق في الوصول إلى المبنى ، والذي يتحقق من خلال:

أ) تجهيز المبنى بأبواب المداخل بالأقفال ، والتأكد من أن أبواب المبنى مغلقة بشكل دائم وفتح فقط للدخول المصرح به ، وكذلك إغلاق المبنى في نهاية يوم العمل أو تجهيز المبنى بالمناسبات. الأجهزة التقنيةالإشارة إلى فتح غير مصرح به للمباني ؛

ب) الموافقة على قواعد الدخول إلى المبنى أثناء ساعات العمل وغير ساعات العمل ، وكذلك في حالات الطوارئ ؛

ج) الموافقة على قائمة الأشخاص المخولين بدخول المقر.

7 - للوفاء بالشرط المحدد في الفقرة الفرعية "ب" من الفقرة 5 من هذه الوثيقة ، من الضروري:

أ) تخزين حاملات البيانات الشخصية للآلات القابلة للإزالة في خزائن (خزانات معدنية) مزودة بأقفال داخلية مع اثنين أو أكثر من المفاتيح المكررة والأجهزة لإغلاق ثقوب المفاتيح ، أو مجموعة أقفال... إذا تم تخزين البيانات الشخصية فقط على وسيط تخزين كمبيوتر قابل للإزالة في شكل مشفر باستخدام أدوات حماية المعلومات المشفرة ، فيُسمح بتخزين هذه الوسائط خارج الخزائن (الخزانات المعدنية) ؛

ب) إجراء محاسبة لكل مثيل على حدة لشركات نقل البيانات الشخصية للآلة ، والتي يتم تحقيقها من خلال الاحتفاظ بسجل لشركات نقل البيانات الشخصية باستخدام أرقام التسجيل (التسلسلية).

8 - للوفاء بالشرط المحدد في الفقرة الفرعية "ج" من الفقرة 5 من هذه الوثيقة ، من الضروري:

أ) تطوير واعتماد وثيقة تحدد قائمة الأشخاص الذين يكون وصولهم إلى البيانات الشخصية المعالجة في نظام المعلومات ضروريًا لأداء واجباتهم الرسمية (العمل) ؛

ب) تحديث وثيقة تحدد قائمة الأشخاص الذين يكون وصولهم إلى البيانات الشخصية المعالجة في نظام المعلومات ضروريًا لأداء واجباتهم الرسمية (العمل).

9. للوفاء بالمتطلبات المحددة في الفقرة الفرعية "د" من الفقرة 5 من هذه الوثيقة ، من الضروري لكل مستوى من مستويات حماية البيانات الشخصية استخدام نظام حماية المعلومات المشفرة من الفئة المناسبة ، مما يجعل من الممكن ضمان أمان البيانات الشخصية عند تنفيذ الإجراءات المستهدفة باستخدام الأجهزة و (أو) أدوات البرمجياتبهدف انتهاك أمن نظام حماية المعلومات المشفرة المحمي للبيانات الشخصية أو تهيئة الظروف لذلك (يشار إليه فيما بعد بالهجوم) ، والذي يتحقق من خلال:

أ) الحصول على بيانات أولية لتشكيل مجموعة من الافتراضات حول الاحتمالات التي يمكن استخدامها عند إنشاء الأساليب والتحضير للهجمات وتنفيذها ؛

ب) قيام رئيس المشغل بتشكيل مجموعة من الافتراضات والموافقة عليها حول الاحتمالات التي يمكن استخدامها عند إنشاء الأساليب والتحضير للهجمات وتنفيذها ، وتحديد على هذا الأساس ومراعاة نوع التهديدات الفعلية المطلوبة. فئة أدوات حماية المعلومات المشفرة ؛

ج) تستخدم لضمان المستوى المطلوب من أمان البيانات الشخصية أثناء معالجتها في نظام المعلومات لنظام حماية البيانات المشفرة من الفئة KC1 وما فوقها.

10. تُستخدم أجهزة الحماية المشفرة من فئة KS1 لتحييد الهجمات ، عند إنشاء الأساليب وإعدادها وتنفيذها ، يتم استخدام الفرص التالية:

أ) إنشاء أساليب وإعداد وتنفيذ الهجمات دون إشراك المتخصصين في تطوير وتحليل أدوات حماية المعلومات المشفرة ؛

ب) إنشاء أساليب وإعداد وتنفيذ الهجمات في مراحل مختلفة من دورة حياة CIPF 2 ؛

ج) تنفيذ هجوم من خارج الفضاء الذي يتم فيه التحكم في إقامة وأفعال الأشخاص و (أو) المركبات (يشار إليها فيما يلي بالمنطقة الخاضعة للسيطرة) 3 ؛

د) تنفيذ الهجمات التالية في مراحل التطوير (التحديث) والإنتاج والتخزين ونقل أجهزة الحماية المشفرة ومرحلة تشغيل نظام الحماية المشفرة (بدء التشغيل):

إجراء تغييرات غير مصرح بها في نظام حماية المعلومات المشفرة و (أو) في مكونات الأجهزة والبرامج ، جنبًا إلى جنب مع وظيفة نظام حماية المعلومات المشفرة بشكل طبيعي وإجمالي تمثل بيئة تشغيل نظام حماية المعلومات المشفرة (المشار إليها فيما يلي باسم SF ) ، والتي يمكن أن تؤثر على استيفاء متطلبات نظام حماية المعلومات المشفرة ، بما في ذلك استخدام البرامج الضارة ؛

إدخال تغييرات غير مصرح بها على وثائق أجهزة الحماية المشفرة ومكونات SF ؛

هـ) تنفيذ هجمات في مرحلة تشغيل أجهزة حماية المعلومات المشفرة على:

معلومات شخصية؛

معلومات المفتاح والمصادقة وكلمة المرور لنظام حماية المعلومات المشفرة ؛

مكونات البرامج CIPF ؛

مكونات أجهزة SKZI ؛

مكونات برنامج SF ، بما في ذلك برنامج BIOS ؛

مكونات الأجهزة SF ؛

البيانات المنقولة عبر قنوات الاتصال ؛

العناصر الأخرى التي يتم تثبيتها عند تكوين مجموعة من المقترحات حول الفرص التي يمكن استخدامها عند إنشاء الأساليب والتحضير للهجمات وتنفيذها ، مع مراعاة تقنيات المعلومات والأجهزة (المشار إليها فيما يلي - AS) المستخدمة في نظام المعلومات ، و البرمجيات(يشار إليه فيما بعد بالبرنامج) ؛

و) الحصول من المصادر المتاحة مجانًا (بما في ذلك شبكات المعلومات والاتصالات ، والوصول إليها الذي لا يقتصر على دائرة معينة من الأشخاص ، بما في ذلك شبكة المعلومات والاتصالات "الإنترنت") معلومات حول نظام المعلومات الذي يكون فيه نظام حماية المعلومات المشفرة تستخدم. في هذه الحالة ، يمكن الحصول على المعلومات التالية:

معلومات عامة حول نظام المعلومات الذي يتم فيه استخدام CIPF (الغرض ، التكوين ، المشغل ، الأشياء التي توجد بها موارد نظام المعلومات) ؛

معلومات حول تكنولوجيا المعلومات، قواعد البيانات ، AS ، البرمجيات المستخدمة في نظام المعلومات مع CIPF ، باستثناء المعلومات الواردة فقط في وثائق التصميم لتقنيات المعلومات ، قواعد البيانات ، AS ، البرمجيات المستخدمة في نظام المعلومات مع CIPF ؛

معلومات عامة حول المعلومات المحمية المستخدمة أثناء تشغيل نظام حماية المعلومات المشفرة ؛

معلومات حول قنوات الاتصال التي يتم من خلالها نقل البيانات الشخصية المحمية CIPF (المشار إليها فيما يلي باسم قناة الاتصال) ؛

يتم إرسال جميع البيانات الممكنة إلى شكل مفتوحمن خلال قنوات الاتصال غير المحمية من الوصول غير المصرح به إلى المعلومات من خلال التدابير التنظيمية والفنية ؛

معلومات حول جميع التدابير التنظيمية والتقنية التي تظهر في قنوات الاتصال غير المحمية من الوصول غير المصرح به إلى المعلومات ، وانتهاكات قواعد تشغيل نظام حماية المعلومات المشفرة و SF ؛

معلومات حول جميع التدابير التنظيمية والتقنية التي تظهر في قنوات الاتصال غير المحمية من الوصول غير المصرح به إلى المعلومات من خلال التدابير التنظيمية والتقنية ، والأعطال والفشل في مكونات الأجهزة لنظام الحماية التشفير و SF ؛

المعلومات التي تم الحصول عليها نتيجة لتحليل أي إشارات من مكونات الأجهزة في CIPF و SF ؛

ز) التطبيق:

AS والبرمجيات المتوفرة مجانًا أو المستخدمة خارج المنطقة الخاضعة للرقابة ، بما في ذلك مكونات الأجهزة والبرامج الخاصة بـ CIPF و SF ؛

مكبرات صوت وبرامج مصممة خصيصًا ؛

ح) الاستخدام في مرحلة العملية كوسيلة للتحويل من موضوع إلى كائن (من كائن إلى موضوع) للهجوم من الإجراءات التي تم تنفيذها أثناء التحضير و (أو) للهجوم:

قنوات الاتصال غير المحمية من الوصول غير المصرح به إلى المعلومات من خلال التدابير التنظيمية والتقنية ؛

قنوات توزيع الإشارات المصاحبة لعمل CIP و SF ؛

ط) تنفيذ هجوم في مرحلة التشغيل من شبكات المعلومات والاتصالات ، التي لا يقتصر الوصول إليها على دائرة معينة من الأشخاص ، إذا كانت أنظمة المعلومات التي يستخدم فيها نظام حماية المعلومات المشفرة قادرة على الوصول إلى هذه الشبكات ؛

ي) الاستخدام في مرحلة تشغيل محطة الطاقة النووية والبرمجيات خارج المنطقة الخاضعة للرقابة من أدوات نظام المعلومات المستخدمة في مواقع تشغيل CIP (يشار إليها فيما بعد بالأدوات القياسية).

11. يتم استخدام CIPF من الفئة KS2 لتحييد الهجمات ، عند إنشاء الأساليب وإعداد وتنفيذ أي منها ، يتم استخدام القدرات المذكورة في الفقرة 10 من هذا المستند وإحدى القدرات الإضافية التالية على الأقل:

أ) تنفيذ هجوم أثناء تواجدك داخل المنطقة الخاضعة للسيطرة ؛

ب) تنفيذ هجمات في مرحلة تشغيل نظام حماية المعلومات المشفرة على العناصر التالية:

وثائق لأجهزة الحماية المشفرة ومكونات SF.

المباني التي تحتوي على مجموعة من البرمجيات و العناصر الفنيةأنظمة معالجة البيانات القادرة على العمل بشكل مستقل أو كجزء من أنظمة أخرى (يشار إليها فيما يلي باسم SVT) ، والتي يتم تنفيذ CIP و SF عليها ؛

ج) الحصول ، في إطار الصلاحيات الممنوحة ونتيجة الملاحظات ، على المعلومات التالية:

معلومات حول تدابير الحماية المادية للأشياء التي توجد بها موارد نظام المعلومات ؛

معلومات عن التدابير المتخذة لضمان المنطقة الخاضعة للرقابة من الأشياء التي توجد بها موارد نظام المعلومات ؛

معلومات عن تدابير تحديد الوصول إلى المباني التي يقع فيها SVT ، والتي يتم فيها تنفيذ SKZI و SF ؛

د) الاستخدام موارد الموظفينمقيد بالتدابير المطبقة في نظام المعلومات الذي يستخدم فيه نظام حماية المعلومات المشفرة ، والتي تهدف إلى منع وقمع الإجراءات غير المصرح بها.

12. تُستخدم أجهزة الحماية المشفرة من فئة KC3 لتحييد الهجمات ، عند إنشاء الأساليب وإعدادها وتنفيذها ، يتم استخدام القدرات المدرجة في الفقرتين 10 و 11 من هذا المستند وإحدى القدرات الإضافية التالية على الأقل:

أ) الوصول المادي إلى SVT ، حيث يتم تنفيذ أدوات حماية المعلومات المشفرة و SF ؛

ب) القدرة على الحصول على مكونات الأجهزة لنظام حماية المعلومات المشفرة و SF ، مقيدة بالتدابير المنفذة في نظام المعلومات الذي تستخدم فيه أداة حماية المعلومات المشفرة ، والتي تهدف إلى منع وقمع الإجراءات غير المصرح بها.

13. تُستخدم أدوات الحماية المشفرة للفئة KB لتحييد الهجمات ، عند إنشاء الأساليب وإعدادها وتنفيذها ، تُستخدم القدرات من الرقم المذكور في البنود 10-12 من هذا المستند وإحدى القدرات الإضافية التالية على الأقل:

أ) إنشاء طرق وإعداد وتنفيذ الهجمات بمشاركة متخصصين في مجال تحليل الإشارات المصاحبة لتشغيل أجهزة الحماية المشفرة وأنظمة الأمن ، وفي مجال استخدام القدرات غير الموثقة (غير المصرح بها) للبرامج التطبيقية تنفيذ الهجمات؛

ب) إجراء دراسات معملية لأجهزة حماية المعلومات المشفرة المستخدمة خارج المنطقة الخاضعة للرقابة ، والمقيدة بالتدابير المنفذة في نظام المعلومات الذي يستخدم فيه نظام حماية المعلومات المشفرة ، والتي تهدف إلى منع وقمع الإجراءات غير المصرح بها ؛

ج) القيام بالعمل على إنشاء طرق ووسائل للهجوم في مراكز الأبحاث المتخصصة في تطوير وتحليل أدوات حماية المعلومات المشفرة والأنظمة المالية ، بما في ذلك استخدام أكواد المصدر للبرنامج المطبق المتضمن في اتحاد الاتحاد ، والذي يستخدم بشكل مباشر يستدعي وظائف البرامج الخاصة بنظام حماية المعلومات المشفرة.

14- تُستخدم أجهزة الحماية المشفرة من فئة المركبات الفضائية لتحييد الهجمات ، عند إنشاء الأساليب وإعدادها وتنفيذها ، تُستخدم القدرات المدرجة في البنود 10-13 من هذه الوثيقة وإحدى القدرات الإضافية التالية على الأقل:

أ) إنشاء أساليب وإعداد وتنفيذ الهجمات بمشاركة متخصصين في مجال استخدام قدرات غير موثقة (غير معلنة) لبرامج النظام لتنفيذ الهجمات ؛

ب) القدرة على الحصول على المعلومات الواردة في وثائق التصميم الخاصة بمكونات الأجهزة والبرامج الخاصة بمجلس الاتحاد ؛

ج) القدرة على الحصول على جميع مكونات الأجهزة من CIPF و SF.

15. في عملية تكوين مجموعة من الافتراضات حول الإمكانيات التي يمكن استخدامها في إنشاء الأساليب والتحضير للهجمات وتنفيذها ، ميزات إضافيةغير المدرجة في البنود من 10 إلى 14 من هذا المستند لا تؤثر على إجراءات تحديد الفئة المطلوبة لأدوات حماية معلومات التشفير.

ثالثا. تكوين ومحتوى التدابير التنظيمية والتقنية اللازمة للوفاء بالمتطلبات التي وضعتها حكومة الاتحاد الروسي لحماية البيانات الشخصية للأمان من المستوى 3

16. وفقًا للبند 14 من متطلبات حماية البيانات الشخصية ، من أجل ضمان 3 مستويات من حماية البيانات الشخصية عند معالجتها في أنظمة المعلومات ، بالإضافة إلى استيفاء المتطلبات المنصوص عليها في البند 5 من هذه الوثيقة ، من الضروري استيفاء شرط تعيين مسؤول (موظف) مسؤول عن ضمان أمن البيانات الشخصية في نظام المعلومات.

17. للوفاء بالمتطلبات المحددة في الفقرة 16 من هذه الوثيقة ، من الضروري تعيين مشغل رسمي (موظف) يتمتع بالمهارات الكافية ليكون مسؤولاً عن ضمان أمن البيانات الشخصية في نظام المعلومات.

18- للوفاء بالشرط المحدد في الفقرة الفرعية "د" من الفقرة 5 من هذه الوثيقة ، بدلاً من التدبير المنصوص عليه في الفقرة الفرعية "ج" من الفقرة 9 من هذه الوثيقة ، من الضروري استخدامه لضمان المستوى المطلوب من الأمن البيانات الشخصية أثناء معالجتها في نظام المعلومات:

رابعا. تكوين ومحتوى التدابير التنظيمية والتقنية اللازمة للوفاء بالمتطلبات التي وضعتها حكومة الاتحاد الروسي لحماية البيانات الشخصية للأمن من المستوى 2

19. وفقًا للبند 15 من متطلبات حماية البيانات الشخصية ، من أجل ضمان المستوى الثاني من حماية البيانات الشخصية أثناء معالجتها في نظم المعلومات ، بالإضافة إلى تلبية المتطلبات المنصوص عليها في الفقرتين 5 و 16 من هذا المستند ، من الضروري استيفاء شرط أن الوصول إلى محتوى سجل الرسائل الإلكترونية كان ممكنًا فقط للمسؤولين (الموظفين) من المشغل أو الشخص المخول الذي يحتاج إلى المعلومات الواردة في السجل المحدد لأداء مسؤولهم (العمل ) الواجبات.

20- للوفاء بالمتطلبات المحددة في البند 19 من هذه الوثيقة ، من الضروري:

أ) موافقة رئيس المشغل على قائمة الأشخاص المقبولين في محتوى السجل الإلكتروني للرسائل ، والحفاظ على القائمة المحددة محدثة ؛

ب) تزويد نظام المعلومات بوسائل آلية تسجل طلبات مستخدمي نظام المعلومات للحصول على البيانات الشخصية ، وكذلك حقائق توفير البيانات الشخصية لهذه الطلبات في السجل الإلكتروني للرسائل ؛

ج) تزويد نظام المعلومات بوسائل آلية تستبعد الوصول إلى محتوى سجل الرسائل الإلكترونية للأشخاص الذين لم يتم ذكرهم في قائمة الأشخاص المعتمدين من قبل رئيس المشغل والذين تم قبولهم في محتوى سجل الرسائل الإلكترونية ؛

د) ضمان المراقبة الدورية لقابلية تشغيل الوسائل الآلية المحددة في الفقرتين الفرعيتين "ب" و "ج" من هذه الفقرة (مرة واحدة على الأقل كل ستة أشهر).

21- للوفاء بالشرط المحدد في الفقرة الفرعية "د" من الفقرة 5 من هذه الوثيقة ، بدلاً من التدابير المنصوص عليها في الفقرة الفرعية "ج" من الفقرة 9 والفقرة 18 من هذه الوثيقة ، من الضروري استخدام لضمان المستوى المطلوب لحماية البيانات الشخصية أثناء معالجتها في نظام المعلومات:

CIPF من فئة KB وأعلى في الحالات التي تكون فيها التهديدات من النوع 2 ذات صلة بنظام المعلومات ؛

CIPF من الفئة КС1 وأعلى في الحالات التي تكون فيها التهديدات من 3 أنواع فعلية لنظام المعلومات.

تكوين ومحتوى التدابير التنظيمية والتقنية اللازمة للوفاء بالمتطلبات التي وضعتها حكومة الاتحاد الروسي لحماية البيانات الشخصية لمستوى أمان واحد

22. وفقًا للمادة 16 من متطلبات حماية البيانات الشخصية ، من أجل ضمان المستوى الأول من حماية البيانات الشخصية أثناء معالجتها في أنظمة المعلومات ، بالإضافة إلى تلبية المتطلبات المنصوص عليها في البنود 5 و 16 و 19 من هذه الوثيقة ، يجب استيفاء المتطلبات التالية:

أ) التسجيل التلقائي في سجل الأمان الإلكتروني للتغييرات في سلطة موظف المشغل للوصول إلى البيانات الشخصية الواردة في نظام المعلومات ؛

ب) إنشاء وحدة هيكلية منفصلة مسؤولة عن ضمان أمن البيانات الشخصية في نظام المعلومات ، أو إسناد وظائفها إلى إحدى الوحدات الهيكلية القائمة.

23 - للوفاء بالشرط المحدد في الفقرة الفرعية "أ" من الفقرة 22 من هذه الوثيقة ، من الضروري:

أ) تزويد نظام المعلومات بوسائل آلية تسمح بالتسجيل التلقائي في تغييرات سجل الأمان الإلكتروني في سلطة موظف المشغل للوصول إلى البيانات الشخصية الواردة في نظام المعلومات ؛

ب) انعكاس صلاحيات موظفي مشغل البيانات الشخصية في سجل الأمان الإلكتروني للوصول إلى البيانات الشخصية الواردة في نظام المعلومات. يجب أن تتوافق الصلاحيات المحددة مع الواجبات الرسمية لموظفي المشغل ؛

ج) تعيين المشغل لشخص مسؤول عن المراقبة الدورية لصيانة سجل الأمان الإلكتروني وامتثال سلطات موظفي المشغل لواجباتهم الرسمية (مرة واحدة على الأقل في الشهر).

24 - للوفاء بالشرط المحدد في الفقرة الفرعية "ب" من الفقرة 22 من هذه الوثيقة ، من الضروري:

أ) تحليل جدوى إنشاء وحدة هيكلية منفصلة مسؤولة عن ضمان أمن البيانات الشخصية في نظام المعلومات ؛

ب) إنشاء وحدة هيكلية منفصلة مسؤولة عن ضمان أمن البيانات الشخصية في نظام المعلومات ، أو إسناد وظائفها إلى إحدى الوحدات الهيكلية القائمة.

25 - للوفاء بالشرط المحدد في الفقرة الفرعية "أ" من الفقرة 5 من هذه الوثيقة ، لضمان المستوى الأول من الأمن ، من الضروري:

أ) تجهيز نوافذ المباني الواقعة في الطابقين الأول و (أو) الأخير من المباني ، وكذلك نوافذ المباني الواقعة بالقرب من ممرات الحريق والأماكن الأخرى التي يمكن للأشخاص غير المصرح لهم دخول المبنى منها ، بقضبان معدنية أو مصاريع أو أجهزة الإنذار ضد السرقة أو غيرها من الوسائل التي تمنع الاختراق غير المنضبط للأشخاص غير المصرح لهم بالدخول إلى المباني ؛

ب) تجهيز نوافذ وأبواب المباني التي توجد بها خوادم نظام المعلومات ، بقضبان معدنية ، وأجهزة إنذار ضد السرقة أو غيرها من الوسائل التي تمنع الدخول غير المنضبط للأشخاص غير المصرح لهم إلى المبنى.

26 - للوفاء بالشرط المحدد في الفقرة الفرعية "د" من الفقرة 5 من هذه الوثيقة ، بدلاً من التدابير المنصوص عليها في الفقرة الفرعية "ج" من الفقرة 9 ، الفقرتين 18 و 21 من هذه الوثيقة ، من الضروري استخدام لضمان المستوى المطلوب لحماية البيانات الشخصية أثناء معالجتها في نظام المعلومات:

SCZI من فئة المركبات الفضائية في الحالات التي تكون فيها التهديدات من النوع الأول فعلية لنظام المعلومات ؛

CIPF من فئة KB وأعلى في الحالات التي تكون فيها التهديدات من النوع 2 ذات صلة بنظام المعلومات.

1 التشريعات المجمعة للاتحاد الروسي ، 2012 ، العدد 45 ، 6257.

2 تشمل مراحل دورة حياة CIPF تطوير (تحديث) الوسائل المحددة ، وإنتاجها ، وتخزينها ، ونقلها ، والتشغيل (التكليف) ، والتشغيل.

3 قد تكون حدود المنطقة الخاضعة للرقابة هي محيط المنطقة المحمية للمؤسسة (المؤسسة) ، والهياكل المحيطة بالمبنى المحمي ، والجزء المحمي من المبنى ، والمباني المخصصة.

المهام الرئيسية لحماية المعلومات أثناء تخزينها ومعالجتها ونقلها من خلال قنوات الاتصال وعلى الوسائط المختلفة ، والتي يتم حلها بمساعدة أدوات حماية المعلومات المشفرة ، هي: 1.

ضمان سرية (سرية) المعلومات. 2.

ضمان سلامة المعلومات. 3.

تأكيد صحة المعلومات (الوثائق). لحل هذه المشاكل ، من الضروري تنفيذ ما يلي

العمليات: 1.

تنفيذ وظائف حماية المعلومات الفعلية ، بما في ذلك:

التشفير فك التشفير؛ إنشاء / التحقق من EDS ؛ إنشاء / التحقق من إدراج التقليد. 2.

مراقبة الدولة وإدارة عمل KZI (في النظام):

رقابة الدولة: الكشف عن حالات تعطل مرافق KZZ وتسجيلها ، ومحاولات الوصول غير المصرح به ، وحالات المفاتيح المخترقة ؛

إدارة العمليات: اتخاذ التدابير في حالة الانحرافات المدرجة عن التشغيل الطبيعي لمنشآت KZZ. 3.

صيانة مرافق KZZ: تنفيذ الإدارة الرئيسية ؛

تنفيذ الإجراءات المتعلقة بتوصيل المشتركين الجدد في الشبكة و / أو استبعاد المشتركين الذين تم إسقاطهم ؛ القضاء على أوجه القصور التي تم تحديدها في CIPF ؛ تقديم إصدارات جديدة من برامج حماية المعلومات المشفرة ؛

التحديث والاستبدال الوسائل التقنية CIPF لمزيد من التقدم و / أو استبدال الأموال ، التي استنفد مواردها.

تعد إدارة المفاتيح من أهم وظائف حماية المعلومات المشفرة وتتمثل في تنفيذ الوظائف الرئيسية التالية:

توليد المفاتيح: يحدد آلية لتوليد المفاتيح أو أزواج المفاتيح مع ضمان صفاتها المشفرة ؛

توزيع المفاتيح: يحدد الآلية التي يتم من خلالها تسليم المفاتيح بشكل موثوق وآمن إلى المشتركين ؛

تخزين المفاتيح: يحدد الآلية التي يتم من خلالها تخزين المفاتيح بأمان وأمان لاستخدامها في المستقبل ؛

استعادة المفتاح: يحدد آلية استعادة أحد المفاتيح (الاستبدال بمفتاح جديد) ؛

تدمير المفاتيح: يحدد الآلية التي يتم من خلالها تدمير المفاتيح القديمة بشكل موثوق ؛

أرشيف المفاتيح: آلية يمكن من خلالها تخزين المفاتيح بأمان لاستعادتها الموثقة في حالات النزاع.

بشكل عام ، لتنفيذ الوظائف المدرجة لحماية المعلومات المشفرة ، من الضروري إنشاء نظام حماية تشفير للمعلومات ، يجمع بين الوسائل الفعلية لـ KZI وموظفي الخدمة والمباني والمعدات المكتبية والوثائق المختلفة (التقنية والتنظيمية والإداري) ، إلخ.

كما لوحظ بالفعل ، من أجل الحصول على ضمانات لحماية المعلومات ، من الضروري استخدام أدوات KZZ المعتمدة.

حاليا ، القضية الأكثر انتشارا هي حماية المعلومات السرية. لحل هذه المشكلة ، تحت رعاية FAPSI ، تم تطوير مجمع كامل وظيفيًا لحماية التشفير للمعلومات السرية ، والذي يسمح بحل المهام المدرجة لحماية المعلومات لمجموعة متنوعة من التطبيقات وشروط الاستخدام.

يعتمد هذا المركب على نواة التشفير "Verba" (نظام المفتاح غير المتماثل) و "Verba-O" (نظام المفتاح المتماثل). توفر هذه النوى المشفرة إجراءات تشفير البيانات وفقًا لمتطلبات GOST 28147-89 "أنظمة معالجة المعلومات.

حماية التشفير "والتوقيعات الرقمية وفقًا لمتطلبات GOST R34.10-94" تكنولوجيا المعلومات. حماية المعلومات المشفرة. إجراءات إنشاء والتحقق من التوقيع الرقمي الإلكتروني بناءً على خوارزمية تشفير غير متماثلة ".

الوسائل المضمنة في مجمع CIPF تسمح بحماية المستندات الإلكترونية و تدفق المعلوماتباستخدام آليات التشفير المعتمدة و التوقيع الإلكترونيعمليا في جميع تقنيات المعلومات الحديثة ، بما في ذلك السماح بتنفيذ: استخدام أدوات حماية المعلومات المشفرة في وضع غير متصل بالشبكة ؛

تبادل آمن للمعلومات في وضع عدم الاتصال ؛ تبادل آمن للمعلومات عبر الإنترنت ؛ غير المتجانسة المحمية ، أي تبادل المعلومات المختلط.

لحل المشكلات المنهجية لاستخدام أجهزة حماية المعلومات المشفرة تحت قيادة DA في عملية إنشاء مستند ، عندما يكون المستند نفسه محميًا. علاوة على ذلك ، في الداخل التكنولوجيا العامةيوفر "Vityaz" تقنية مبسطة يمكن الوصول إليها بسهولة للمستخدمين لتضمين أدوات حماية معلومات التشفير المرخصة في العديد من الأنظمة التطبيقية، مما يجعل مجموعة واسعة جدًا من استخدامات CIPF.

فيما يلي وصف لوسائل وطرق الحماية لكل من الأوضاع المدرجة.

استخدام أدوات حماية المعلومات المشفرة في وضع عدم الاتصال.

أثناء العمل المستقل باستخدام أدوات حماية البيانات المشفرة ، يمكن تنفيذ الأنواع التالية من حماية المعلومات المشفرة: إنشاء مستند آمن ؛ حماية الملفات

إنشاء ملف نظام الملفات؛ إنشاء ملف محرك أقراص منطقي... بناءً على طلب المستخدم ، يمكن تنفيذ الأنواع التالية من الحماية المشفرة للمستندات (الملفات):

تشفير مستند (ملف) ، مما يجعل محتواه غير ممكن الوصول إليه أثناء تخزين المستند (الملف) وأثناء نقله عبر قنوات الاتصال أو عن طريق البريد ؛

تطوير ملحق مقلد ، والذي يضمن التحكم في سلامة الوثيقة (الملف) ؛

تشكيل EDS ، والذي يضمن التحكم في سلامة الوثيقة (الملف) ومصادقة الشخص الذي وقع على الوثيقة (الملف).

نتيجة لذلك ، يتحول المستند المحمي (الملف) إلى ملف مشفر يحتوي ، إذا لزم الأمر ، على EDS. يمكن تقديم EDS ، اعتمادًا على تنظيم عملية معالجة المعلومات ، كملف منفصل عن المستند الموقع. علاوة على ذلك ، يمكن عرض هذا الملف على قرص مرن أو وسيط آخر ، لتسليمه عن طريق البريد ، أو إرساله إلى أي قرص متاح البريد الإلكتروني، على سبيل المثال على الإنترنت.

وفقًا لذلك ، عند استلام ملف مشفر عن طريق البريد الإلكتروني أو على وسيط معين ، يتم تنفيذ الإجراءات التي تم تنفيذها لحماية التشفير بترتيب عكسي (فك التشفير ، والتحقق من إدراج التقليد ، والتحقق من EDS).

لتنفيذ العمل المستقليمكن استخدام الوسائل المعتمدة التالية مع أدوات حماية المعلومات المشفرة:

محرر النصوص "Leksikon-Verba" ، الذي تم تنفيذه على أساس CIPF "Verba-O" و CIPF "Verba" ؛

مجمع البرامج الخاص بـ CIPF "مكان العمل المستقل" ، الذي تم تنفيذه على أساس CIPF "Verba" و "Verba-O" لنظام التشغيل Windows 95/98 / NT ؛

برنامج تشغيل قرص التشفير PTS "DiskGuard".

معالج كلمات محمي "Lexicon-Verba".

نظام "Lexicon-Verba" هو محرر نصوص كامل الميزات مع دعم لتشفير المستندات والتوقيعات الرقمية الإلكترونية. لحماية الوثائق ، فإنه يستخدم أنظمة التشفير "Verba" و "Verba-O". يكمن تفرد هذا المنتج في حقيقة أن وظائف التشفير وتوقيع النص مدرجة ببساطة في الوظائف الحديثة محرر النص... في هذه الحالة ، يتحول تشفير المستند وتوقيعه من العمليات الخاصة إلى إجراءات قياسية عند التعامل مع المستند.

في هذه الحالة ، يبدو نظام "Lexicon-Verba" كمحرر نصوص عادي. وتشمل قدرات تنسيق النص التخصيص الكاملالخطوط والفقرات من الوثيقة ؛ الجداول والقوائم. الرؤوس والتذييلات والحواشي والأشرطة الجانبية ؛ استخدام الأنماط والعديد من الوظائف الأخرى لمحرر النصوص المسؤول المتطلبات الحديثة... يتيح لك "Lexicon-Verba" إنشاء المستندات وتحريرها بتنسيقات Lexicon و RTF و MS Word 6/95/97 و MS Write.

مكان عمل مستقل.

يتم تنفيذ "مكان العمل المستقل" CIPF على أساس CIPF "Verba" و "Verba-O" لنظام التشغيل Windows 95/98 / NT ويسمح للمستخدم بأداء الوظائف التالية في وضع تفاعلي:

تشفير / فك تشفير الملفات على المفاتيح ؛ تشفير / فك تشفير الملفات بكلمة مرور ؛ إلحاق / إزالة / فحص التوقيعات الرقمية الإلكترونية (EDS) تحت الملفات ؛

فحص الملفات المشفرة

إلحاق EDS + تشفير (في إجراء واحد) للملفات ؛ فك التشفير + إزالة EDS (في إجراء واحد) تحت الملفات ؛

حساب ملف تجزئة.

يُنصح باستخدام "مكان العمل المستقل" CIPF في العمل اليومي للموظفين الذين يحتاجون إلى توفير:

نقل المعلومات السرية إلى في شكل إلكترونيعن طريق البريد السريع أو البريد السريع ؛

إرسال معلومات سرية عبر الشبكة العامة ، بما في ذلك الإنترنت ؛

الحماية ضد الوصول غير المصرح به إلى المعلومات السرية في حواسيب شخصيةالموظفين.

كما تبين الممارسة ، فإن القليل من المنظمات تتذكر وتسترشد بأمر FAPSI (الذي خلفه قانون FSB لروسيا) الصادر في 13 يونيو 2001 N 152 "الوصول المحدود ، والذي لا يحتوي على معلومات تشكل سراً من أسرار الدولة".

لكن التعليمات إلزامية عند استخدام أدوات حماية المعلومات المشفرة المعتمدة لضمان أمن المعلومات وصول محدود(خاضعة للحماية وفقًا لتشريعات الاتحاد الروسي).وهذا هو PD ، جميع أنواع الأسرار ، GIS ، NPCs ، CII المستقبلية.

من عام 2008 إلى عام 2012 ، كان الاسترخاء في شكل "المتطلبات النموذجية لتنظيم وتشغيل التشفير (التشفير) يعني المصممة لحماية المعلومات التي لا تحتوي على معلومات تشكل سرًا للدولة إذا تم استخدامها لضمان أمان البيانات الشخصية أثناء معالجتها في أنظمة المعلومات الخاصة بالبيانات الشخصية "، التي تمت الموافقة عليها من قبل قيادة المركز الثامن لـ FSB لروسيا في 21 فبراير 2008 رقم 149/6 / 6-622. ولكن بعد إصدار قانون RF رقم 1119 ، فقدت هذه الوثيقة أهميتها وأعلن FSB في روسيا أنه كان من الضروري الاسترشاد بالتعليمات.

في إطار الدولة. الرقابة على تنفيذ أحكام هذه التعليمات هي عدد كبير من الانتهاكات.

هناك العديد من الأسئلة حول تطبيق التعليمات ، لأنها كتبت في تلك الأيام عندما تم استخدام أدوات حماية معلومات التشفير المعتمدة في مؤسسات نادرة في نسخ واحدة. الآن ، عندما سرت. أصبح علم التشفير في كل مكان ، مما يجعل من الصعب اتباع التعليمات حرفيًا.

أود أن ألفت انتباهكم على الفور إلى حقيقة أن التعليمات جنبًا إلى جنب مع 99-FZ تعطي نتائج لا لبس فيها حول الحاجة إلى الحصول على ترخيص من FSB في روسيا أو إبرام اتفاق مع المرخص له:

المادة 12 99-منطقة حرة: "1. وفقًا لهذا القانون الاتحادي ، تخضع الأنواع التالية من الأنشطة للترخيص:

1) ... أداء العمل ... في مجال تشفير المعلومات ، اعمال صيانةالتشفير (التشفير) يعني ، أنظمة المعلومات وأنظمة الاتصالات السلكية واللاسلكية المحمية باستخدام وسائل التشفير (التشفير) (باستثناء الحالة التي يتم فيها صيانة وسائل التشفير (التشفير) وأنظمة المعلومات وأنظمة الاتصالات المحمية باستخدام وسائل التشفير (التشفير) والتي يتم تنفيذها لتلبية احتياجاتها. الاحتياجات الخاصة كيان قانونيأو رجل أعمال فردي) ؛ "

قرار حكومة RF رقم 313. ملحق اللائحة: "قائمة الأعمال المنجزة والخدمات المقدمة التي تشكل الأنشطة المرخصة فيما يتعلق بالتشفير (التشفير) تعني

12. يعني التثبيت والتثبيت (التثبيت) وتعديل التشفير (التشفير) ، باستثناء وسائل التشفير (التشفير) لحماية البيانات المالية ، والتي تم تطويرها للاستخدام كجزء من معدات تسجيل النقديةمصدقة من قبل دائرة الأمن الفيدرالية في الاتحاد الروسي.

13. تركيب وتركيب (تركيب) وتعديل أنظمة المعلومات المحمية بوسائل التشفير (التشفير).

14. تركيب وتركيب (تركيب) وتعديل أنظمة الاتصالات المحمية بوسائل التشفير (التشفير).

15. التجميع والتثبيت (التثبيت) وتعديل وسائل إنتاج الوثائق الرئيسية.

20- العمل على صيانة وسائل التشفير (التشفير) المنصوص عليها في الوثائق التقنية والتشغيلية لهذه الوسائل ( باستثناء الحالة، إذا تم تنفيذ العمل المحدد لضمان الاحتياجات الخاصةكيان قانوني أو رجل أعمال فردي).

28- إنتاج وتوزيع الوثائق الرئيسية و (أو) المعلومات الأساسية الأولية لإعداد الوثائق الرئيسية باستخدام الأجهزة والبرمجيات والبرمجيات والأجهزة والنظم والمجمعات لإنتاج وتوزيع الوثائق الرئيسية لوسائل التشفير (التشفير) ".

لكن التعليمات تحتوي على متطلبات أكثر صرامة.

تعليمات FAPSI رقم 152: “ 4. أمن تخزين ومعالجة ونقل المعلومات السرية من خلال قنوات الاتصال باستخدام أدوات حماية المعلومات المشفرة ، والتي لا يملك مالكوها تراخيص FAPSI ، وينظم المرخص لهم FAPSI ويضمنون ... على أساس عقود تقديم الخدمات لـ الحماية المشفرة للمعلومات السرية.

6. من أجل تطوير وتنفيذ تدابير لتنظيم وضمان أمن تخزين ومعالجة ونقل المعلومات السرية باستخدام CIPF ، ينشئ المرخص له FAPSI هيئة أو أكثر لحماية التشفير ... "

الاستنتاج الرئيسيالتالي: منظمة بدون ترخيص FSB لا يمكنها تنظيم العمل بشكل مستقل على التشغيل الصحيح لنظام حماية المعلومات المشفرة. للقيام بذلك ، يجب على المنظمة بالتأكيد الاتصال بالمرخص له ، وإبرام عقد خدمة معه. يمتلك المرخص له FSB OKZI في الهيكل ، والذي ينظم العمل الأمني ​​في مؤسسة العميل ويراقب تنفيذها (وأحيانًا يقوم بذلك بنفسه).

ملاحظة: لدي أيضًا الكثير من الأسئلة المتعلقة بتطبيق النقاط الفردية للتعليمات ، والأكثر إثارة للاهتمام الذي طرحته على المنظم وفي المقالة التالية سأشارك المعلومات الأكثر إثارة للاهتمام ...

من المثير للاهتمام أيضًا معرفة الصعوبات التي واجهتها أنت أو زملائك أو على العكس من ذلك ، كانت تجربة استخدامك إيجابية.