Hogyan kell felkészülni az FSB által a személyes adatokra vonatkozó tervezett ellenőrzésére? Az FSTEC és az Oroszország FSB FSB-jétől és az FSB-től származó információk védelmének osztályozása és az információk titkosítási védelme.

A fő feladata az információ védelmére tárolása során, feldolgozása és továbbítása kommunikációs csatornákon keresztül és különböző hordozók, megoldható SKZI, a következők: 1.

Titoktartás (titoktartás) biztosítása. 2.

Az információ integritásának biztosítása. 3.

Az információ hitelességének megerősítése (dokumentumok). A feladatok megoldásához a következő igények

folyamatok: 1.

Információs biztonsági funkciók végrehajtása, beleértve:

titkosítás / dekódolás; EDS létrehozása / ellenőrzése; Az Imitava létrehozása / ellenőrzése. 2.

A KZI működésének feltétele és kezelése (a rendszerben):

Állapotfigyelés: A KZZ-alapok teljesítményének megsértésének megsértésének észlelése és nyilvántartása, NSD kísérletek, kompromisszumos kulcsok esetén;

funkciómenedzsment: A felsorolt \u200b\u200beltérések esetén a KZI-alapok rendes működésétől származó intézkedések megtétele. 3.

A KZI-alapok fenntartása: kulcsfontosságú irányítás megvalósítása;

a hálózat új előfizetőinek és / vagy a nyugdíjas előfizetők kivételével kapcsolatos eljárások végrehajtása; az SPZI azonosított hiányosságainak megszüntetése; Az SPJ szoftver új verzióinak üzembe helyezése;

a technikai felszerelések korszerűsítése és cseréje SPI a fejlettebb és / vagy olyan pénzeszközök cseréjéhez, amelyek erőforrását fejlesztették ki.

A kulcsfontosságú menedzsment a kriptográfiai információvédelem egyik legfontosabb funkciója, és a következő alapfunkciók végrehajtása:

kulcsfontosságú generáció: Meghatározza a kulcsok vagy pár párok generálásának mechanizmust a kriptográfiai tulajdonságaik garanciájával;

a kulcsok elosztása: meghatározza a mechanizmust, amellyel a kulcsok biztonságosak és biztonságosan szállítják az előfizetőknek;

megtakarítási kulcsok: Meghatározza a kulcsokat, amellyel a kulcsok biztonságosak és biztonságosan mentésre kerülnek további felhasználásra;

kulcsfontosságú helyreállítás: Meghatározza a kulcsok visszanyerésének mechanizmust (új kulcs cseréje);

a kulcsok megsemmisítése: meghatározza azt a mechanizmust, amelyre a kulcsok megbízható megsemmisítése;

key Archive: Az a mechanizmus, amelyben a kulcsok megbízhatóan fenntarthatók további közjegyzői helyreállításukhoz a konfliktushelyzetekben.

Általánosságban elmondható, hogy megvalósítani kell a kriptográfiai információk védelmének felsorolt \u200b\u200bfunkcióit, meg kell teremteni a KZI, a Szolgáltató személyzet, a helyiség, az irodai berendezések tényleges eszközeit, különböző dokumentációt (műszaki, szabályozási és szabályozási) stb.

Mint már említettük, a hitelesített KZI tanúsított információk használata szükséges az információvédelem megszerzéséhez.

Jelenleg a legnépszerűbb a bizalmas információk védelmének kérdése. A probléma megoldásához, égisze alatt FAPSI, amely funkcionálisan teljes komplex kriptográfiai a bizalmas információk védelmének fejlesztésére, mely lehetővé teszi, hogy megoldja a felsorolt \u200b\u200bfeladatok információk védelmére a legkülönbözőbb alkalmazások és az alkalmazás feltételeit.

Ez a komplexum a "Verba" (az aszimmetrikus kulcsok rendszere) és a "Verba-O" (szimmetrikus kulcsok rendszere) alapja. Ezek a Criptra képek adat titkosítási eljárásokat biztosítanak a GOST 28147-89 "információs feldolgozó rendszer követelményeinek megfelelően.

Védelmi kriptográfiai "és digitális aláírás a GOST P34.10-94" információs technológia követelményeinek megfelelően. Kriptográfiai információvédelem. Elektronikus digitális aláírás fejlesztésére és ellenőrzésére szolgáló eljárások az aszimmetrikus kriptográfiai algoritmus alapján. "

Az SPJ-komplexumban szereplő pénzeszközök lehetővé teszik az elektronikus dokumentumok és információáramlások védelmét a minősített titkosítási és elektronikus aláírási mechanizmusok használatával szinte minden modern információs technológiában, beleértve a SKZI offline használatát;

védett információcsere off-line módban; Védett információcsere on-line módban; Védett heterogén, vagyis Vegyes, információs csere.

Megoldani szisztémás alkalmazása SCJOs vezetése alatt DA Starovoitov, a technológia integrált titkosítási információ védelmére „Vityaz” került kifejlesztésre, amely kriptográfiai adatvédelmi egyszerre minden alkatrész a rendszer: nem csak a kommunikációs csatornákat és a rendszer Csomópontok, de közvetlenül a felhasználói munkahelyeken is a dokumentum létrehozásának folyamatában, amikor maga a dokumentum védett. Ezen kívül keretében az általános technológia „Vityaz” biztosít egyszerűsített, könnyen hozzáférhető technológia a beágyazott technológia engedéllyel SPJU különböző alkalmazási rendszerek, ami egy nagyon széles körű alkalmazása ezen SCJ.

Az alábbiakban az egyes felsorolt \u200b\u200bmódok eszközei és védelmi módszereinek leírása.

SCJW Offline használatával.

A SKZI-vel való autonóm munkában a következő típusú kriptográfiai információk védelme megvalósítható: biztonságos dokumentum létrehozása; Fájlvédelem;

biztonságos fájlrendszer létrehozása; Biztonságos logikai lemez létrehozása. A felhasználó kérésére a következő típusú kriptográfiai védelem (fájlok) megvalósítható:

a dokumentum (fájl) titkosítása, amely a dokumentum tárolásánál (fájl) tárolása során nem érhető el, és ha kommunikációs csatornákon keresztül vagy figyelmen kívül hagyja;

az imitaving fejlesztése, amely biztosítja a dokumentum integritásának ellenőrzését (fájl);

az EDS képződése, amely biztosítja a dokumentum integritásának (fájl) integritásának ellenőrzését és a dokumentum által aláírt személy hitelesítését (fájl).

Ennek eredményeképpen a védett dokumentum (fájl) titkosított fájlká válik, ha szükséges, az EDS. Az információs feldolgozási folyamat megszervezésétől függően bemutatható és elkülöníthető a feliratkozott fájlból. Ezután ez a fájl egy floppy lemezen vagy más fuvarozóban jeleníthető meg, a szállításhoz a figyelmen kívül hagyáshoz, vagy bármely rendelkezésre álló e-mailhez szállítható, például az interneten.

Ennek megfelelően kézhezvételét követően titkosított fájlt e-mailben vagy az egyik, vagy a másik szállító, a keresetek kriptográfiai védelmet készülnek fordított sorrendben (dekódolás, ellenőrzése imitava, ellenőrzi a EDS).

A következő hitelesített pénzeszközök használhatók az autonóm munka elvégzésére a skzu:

szövegszerkesztő "Lexicon Verba", amelyet az SPI "VERBA-O" és SKZI "VERBA" alapján hajtottak végre;

szoftver komplex Skusi "Autonóm Munkahely", amelyet az SPI "VERBA" és a "VERBA -O" alapján hajtottak végre a Windows 95/98 / NT-re;

cryptographic Disk Driver PTS "DiskGuard".

Védett szövegszerkesztő "Lexicon Veda".

A "Lexicon Veda" rendszer egy teljes funkcionalitású szövegszerkesztő, amely támogatja a dokumentum titkosítási és elektronikus digitális aláírását. A dokumentumok védelme érdekében a "Verba" és a "Verba-O" kriptográfiai rendszereket használja. A termék egyedisége az, hogy a titkosítási funkciók és a szöveg aláírása egyszerűen szerepel a modern szövegszerkesztő funkcióiban. A dokumentum titkosítása és aláírása ebben az esetben egyszerűen a dokumentummal való együttműködés során egyszerűen átalakul.

Ugyanakkor a lexikon-Willb rendszer egy szokásos szövegszerkesztőnek tűnik. A szöveges formázási funkciók tartalmazzák a dokumentum betűkészleteinek teljes konfigurációját és a dokumentum bekezdéseit; Táblázatok és listák; láblécek, lábjegyzetek, énekel; A stílusok és sok más funkció használata olyan szövegszerkesztő, amely megfelel a modern követelményeknek. A Lexicon Verba lehetővé teszi a dokumentumok létrehozását és szerkesztését a lexikon formátumokban, RTF, Word 6/95/97, MS Write.

Autonóm munkahely.

Ski „autonóm Munkahely” végrehajtása alapján SKZi „Verba” és „Verba-O” Windows 95/98 / NT, és lehetővé teszi a felhasználó számára a párbeszédablakban hajtsa végre a következő feladatokat:

a kulcsok titkosítása / visszafejtése; Titkosítási / dekódolási fájlok jelszón; Az elektron-digitális aláírások (EDS) csökkentése / eltávolítása / ellenőrzése a fájlok alatt;

titkosított fájlok ellenőrzése;

eDP \u200b\u200bkeverés + titkosítás (egy művelet esetén) fájlok; dekódolás + EDS (egy művelet) eltávolítása a fájlok alatt;

a hash fájl kiszámítása.

Skusi "autonóm munkahely" ajánlatos az alkalmazottak napi munkájára, akiknek meg kell adniuk:

a bizalmas információk elektronikus formában történő továbbítása figyelmen kívül hagyásával vagy futárral;

bizalmas információk küldése a nyilvános hálózatról, beleértve az internetet is;

védelem a személyi számítógépes számítógépek bizalmas információhoz való jogosulatlan hozzáféréséhez.

Valery Konavsky
Vnipwti tudományos vezetője,
Tudományos tanácsadó OKB CAD

A véletlen számú művelet véletlenszerű számot ad. A nyílt szöveggel összehajtogatott véletlen szekvencia véletlenszerű kriptotextot ad. Minél jobb a gamma minősége, annál kevésbé esélye megfejteni a kriptotextot. Ha a gamma valóban véletlenszerű, akkor lehetetlen megfejteni a kriptotextot.

Cipher Vernama

A kriptográfiai információvédelem (SCJ) titkosítási eszközökre és elektronikus aláírásra (PEP) állítható.

A gamma továbbítása óriási tekercsek formájában nem volt nagyon kényelmes és elég drága. Ezért néha problémák merültek fel az újrafelhasználásával, és ezért a fontos információk szivárgásával.

Annak érdekében, hogy ne adjon egy lyukasztott tekercset drága csatornákba, feltalálta a hosszú gamma véletlenszerűen, de rövid kulcsból. Abban az időben, adjon át egy rövid véletlenszerű kulcsot, mint hosszú.

Tanúsított spzi.

A modern média megjelenésével a helyzet egyenesen megváltozott, és most nincs probléma a gamma gigabájtok készítésére és átadására - csak a DSC-k számára jó volt. A pszeudo-véletlen szekvencia (PSP) szoftvergenerátorai csak a kétségbeesésből származhatnak, hogy nincs jó fizikai generátor.

A kriptográfiai szabványok meghatározzák a műveletek szekvenciáit, amelyek lehetővé teszik, hogy megbízhatóan titkosított kültéri szöveget kapjunk egy jó kulcs alapján. Ugyanakkor a kulcsokat jó érzékelőkön kell elvégezni.

A szabályozó megállapítja a szabályokat, a vizsgálati laboratóriumok ellenőrzik, hogy a műveletek, kulcsok, valamint más folyamatok ezen folyamatainak hatásaira vonatkozó követelmények - ez az, hogy a tanúsított SCJI jelenik meg.

Titkosítás és elektronikus aláírás

A gammanak a következő tulajdonságokkal kell rendelkeznie:

• legyen valóban véletlenszerű, vagyis a fizikai, analóg, nem digitális folyamatok rovására;
• egybeesik a méretben meghatározott nyitott szöveggel, vagy meghaladja azt;
• alkalmazzon minden üzenetet csak egyszer, majd megsemmisítve.

Az ilyen titkosítást a Vernama Ciphernek nevezik - és ez az egyetlen titkosítás, amely abszolút kriptográfiai ellenállással rendelkezik. Nem szükséges bizonyítani a tartósságát most, mint 1945-ben K. Shannon. A gamma nagy hossza, a fizikai folyamatok és a garantált megsemmisítés alapján - itt a titkosítási viszonyok feltételei .

A titkosítás szükséges az információhoz való hozzáférés érdekében csak azok számára, akik képesek. Az EP-t egy személy akaratának javítása érdekében használják. És ha az SPJ-nek helyesen kell lennie a bizonyított környezetben, hogy a kriptográfiai átalakulások elvégzéséhez, akkor nem elegendő az elektronikus aláíráshoz. Meg kell tennie a rögzítést biztosító intézkedéseket ingyenes hajlandó ember. Ez az FZ-63-ra irányul, ezért az egyik legfontosabb követelménye a dokumentum megjelenítésének helyességének követelménye, amelyet a személy jelzi. Így a SKZI-vel szemben képzett SEP-hez képest vizualizációs eszközöket adnak hozzá. Természetesen a kriptográfiai algoritmusok összes szükséges ellenőrzését végzik.

Ennek vagy az EP rendszerének elemzése, általában így helyezi el a kérdést: "Lehetséges, hogy gyorsan választhat két különböző (értelmes) üzenetet, amely ugyanaz az EP-vel rendelkezik." A válasz itt általában negatív. Ha egy jó hash funkciót használnak, amelyre az ütközések hatékony keresési mechanizmusa nem található, az ilyen támadás szinte mindig kudarcra van ítélve. Mikhail Gruntovich (lásd 48. o.) Különböző kérdést vetett fel: "Lehetséges, hogy két üzenet, vegye fel az aláírási kulcsokat, hogy az EP egybeesik?". És kiderült, hogy rendkívül könnyű megtenni!

Támadás gruntovich

A meghatározott támadás végrehajtásának konkrét feltételeit (nagyon egyszerűsített változatban) kell tekinteni az el-gamal rendszer szerint aláírás példáján. Vera a rendszer ellenállásában a diszkrét logaritmáció feladata (hipotetikus) bonyolultságán alapul, de itt a támadás egyáltalán nem a diszkrét matematika feladata.

A sínek hardvernek kell lennie. A megfelelő minőségű fizikai dsh-t kell tartalmazniuk, és nemcsak az aláírási kulcsot, hanem az algoritmusok ellenállását érintő más kriptográfiai elemeket is tartalmazzák.

Bemutatjuk a következő jelölést:

• H - kriptográfiai hash funkció;
  Zn - beállított számok (0,1, ..., N - 1), N - Természetes szám;
  A (MOD P) - a maradék az egész szám megosztása természetes számonként p.

Az El Gamal aláírása ábrázolásának diagramja:

• egy egyszerű P szám van rögzítve, és g egy primitív elem mod P;
• a Personal Signature gomb minden X szám a ZP-től.

Aláírási üzenet kiszámítása M:

• a H \u003d H (M) kódot kiszámítják;
• a K véletlen szám kiválasztása, kölcsönösen egyszerű P - 1: 1< k < p - 1;
• r \u003d g k (mod p) kiszámításra kerül;
• s \u003d K -1 (H - XR) (MOD P - 1) kiszámításra kerül;
• az aláírás egy C \u003d (R, S) pár.

Most fontolja meg, hogy mit kell tennie a támadót a támadás végrehajtására. Hash kódokat kell létrehoznia:

• h 1 \u003d h (m 1), h 2 \u003d h (m 2)

és egybeesik az aláírások azonos véletlen számú K:

• s \u003d k -1 (h 1 - x 1 r) (mod P - 1) és
  S \u003d K -1 (H 2 - X 2R) (MOD P - 1).

És ez azt jelenti, hogy:

h 1 - X 1 R (MOD P - 1) \u003d H 2 - X 2 R (MOD P - 1).

A SKZI alkalmazása során fizetendő néhány szolgáltatás.
1. Ha az SPI dokumentációja meg van adva, amelyben az operációs rendszer használható, majd használja ezt a rendszert és szükséges. Ellenkező esetben, még akkor is, ha az SPI fog működni, akkor kutatást kell végeznie az ismert SCJ beágyazásának helyességével egy új környezetben. Ez könnyű (viszonylag) a hardver SCJ, de nagyon nehéz a szoftver.
2. Ha nincs bizonyított DSH a hardver skzi-ban, és nincsenek bizonyított önellenőrzés (és egyébként nem lehet az SCJ-ben, univerzális intelligens kártya chipeknél), majd figyeljen a beágyazásra és működésre vonatkozó dokumentumokra . Mivel valahol entrópiát kell hozzáadni, és a tesztelést meg kell tenni, kiderülhet, hogy ez az SCJ autonóm módon nem hosszú, például két-három napig használható. Ez nem mindig kényelmes.
3. Ha bármilyen tokenet felajánlja, és azt mondja, hogy a CC2-osztály tanúsítja, és a fentiek szerint nem hisznek. Valószínűleg a dokumentációnak van szüksége arra, hogy ezt a tokenet egy elektronikus zárral védett környezetben használja. Ennek nélkül az osztály nem lesz magasabb, mint a COP1.

Amint látható az x 1 és x 2 kulcsok kiválasztásakor, úgy, hogy a fenti állapot elvégzésével az aláírások egybeesnek, annak ellenére, hogy az aláírt üzenetek eltérőek! Ne feledje, hogy az X 2 kiszámításához az ismert X 1 esetében a szükséges számítások minimálisak a diszkrét logaritmáció szubszenciális feladata.

Mindazonáltal nem minden olyan ijesztő. Az a tény, hogy a kapott eredmények nem diszkreditálják magát cryptustomy EP.. Lehetséges sebezhetőség, amikor helytelen alkalmazáseP mechanizmusok.

Ez a példa egyértelműen bemutatja a SCJ nem megfelelő végrehajtásából eredő sebezhetőségeket. A leírt támadás akkor lehetséges, ha a felhasználó ismeri az aláírási kulcsot, és megtalálja a véletlen számot.

Van egy radikális módja annak, hogy ellensúlyozzák az ilyen jellegű támadások - erre szükségem van egy eszköz, amelyben:

• az aláírás jele keletkezik;
• az aláírási ellenőrző kulcs kiszámítása;
• a nyilvános kulcsot exportálják, beleértve a tanúsítási központ tanúsítást;
• az aláírási kulcsot csak az eszközön belüli EP fejlesztésére használják, exportja lehetetlen! A közelmúltban az ilyen eszközöket egy nem célzott kulcsnak nevezték;
• a számítógépes környezetben soha nem jelenik meg a véletlen szám, amelyet a készülék belsejében történő alkalmazás után generálnak és megsemmisítenek.

Ez az, ami világos, hogy a SEP és SCJI változata, a berendezés formájában, megbízhatóbb. Ebben az esetben elegendő DSH minőséget lehet biztosítani, és az aláírási kulcs tárolásának megbízhatósága.

Titkosítás

Visszatérjünk most a titkosításhoz, és beszéljünk arról, mikor és miért kell alkalmazni mind az egyének, mind a jogi.

Kiemeljük az alapvető titkosítási típusokat, és ez az előfizető és a csatorna. A nevekből az előfizetői titkosítás esetén az előfizető először titkosítja az információkat (fájl, dokumentum), majd a zárt formában továbbítja azt a csatornára. Amikor csatornázás kriptográfiai módszerekkel, a csatorna védik, és az előfizető nem kell vigyázni információk titkosítására átadása előtt azt a csatornát. Ha a csatorna pontpont csatlakoztatás, a csatorna jeladó használata. Ha a csatorna nem vezeték, hanem az internetes típus aktív szerkezete, akkor nem minden szükséges titkosítani, de csak az adatok. Nem lehet torzítani a címeket, ellenkező esetben a csomagok egyszerűen nem fognak eljutni a címzetthez. A virtuális magánhálózatok (VPN) mechanizmusait itt használják. A leghíresebb protokollok - Ipsec és SSL. Majdnem minden rendelkezésre álló VPN eszköz végrehajtja az alábbi protokollok egyikét.

VPN.

Annak érdekében, hogy tudatosan választhassa ezt, vagy ez azt jelenti, meg kell értened, hogyan különböznek egymástól, és milyen nehézségekkel kell szembenézniük ezen alapok működése során. Ez az, amit legalábbis szem előtt kell tartanod:

• kriptográfiai csatorna védelmet kell használni, ha fennáll annak a veszélye, hogy a továbbított adatok annyira érdekes a törvénysértő, hogy csatlakozni fog a csatorna és a „hallgatni” minden csere. Természetesen meg kell kezdeni a csatornák védelmét, miután a belső hálózat biztonságosan védett, mivel a bennfentes általában olcsóbb, mint a csatorna támadása; 1 Mindkét protokoll - ezek a protokollok nem az ügyfelek, valamint a hálózatok közötti kölcsönhatásokat, így nehézségekbe ütköznek. Így a hálózati biztonsági menedzsment eszközök elengedhetetlenek - és elsősorban meg kell választani;
• a TCP / IP IPSec protokoll verem az IP-szinten működik, és az SSL a TCP szinten működik. Vagyis, ha az IPsec inkább védelmet nyújt a rendszer szintjén, akkor az SSL az alkalmazott. Mivel az IPSec jelentősen működik "az alábbiakban", ezáltal a "beágyaz" a védelem területén sokkal nagyobb számú protokoll, mint az SSL, amely természetesen jobb;
• a VPN használata esetén a fő feladat a kulcsok. A kulcsokat időben kell kiadni, változhat - egy szóval, ellenőrizni kell őket. Minden skzi saját rendszere van a kulcsok generálásához és kezeléséhez. Ha már rendelkezik kulcsszervező rendszerrel, továbbra is használja. Ne indítsa el az "Állatkert" - Nehéz még egy rendszert kísérni, és közel néhány - szinte hiányzó feladat;
• ha az Ön feladata az informatikai objektumok területén elosztott információk tevékenységéhez kapcsolódik, akkor használja a VPN-t. Ez csak azokra a tárgyakra vonatkozik, amelyek között az intenzív információs interakciót védett adatok végzik, ami érdekes lehet a jogsértő számára, hogy készen áll a "hallgatni" csatornákra. Ha minden nem olyan futás - próbálja meg korlátozni magát az előfizetői síeléshez.

Előfizető scycles

Ezeket nem jellemzik az algoritmusok (a szabványok által meghatározott) és a SiPlidies, amelyek lehetővé teszik ezeket a sürgősöket, és a végrehajtandó feltételeket. Kívánatos, hogy ezeket a pénzeszközöket kényelmesen alkalmazzák.

És ami a legfontosabb - emlékezzen a védelmi eszközök megfelelőségére. Nincs szükség drága sípályára, ahol teheti őket.

És mégs: Skusi és PPE, aki kielégíti az összes megvitatott követelményt, van. A Kv2 osztályig. Nem csak úgy hívom őket, hogy a cikk ne váljon reklámsá váljon.

Irodalom

1. Konavsky v.a. Számítógépes bűnözés. T. II. - M., 2008.
2. Yashchenko v.v. Bevezetés a titkosításhoz. Új matematikai tudományok. - M., 2001.

A titkosítási védelmi eszközök (SPJ) témája nagyon kétértelmű és csúszós. Így a PDN kezelőnek olyan joga van abban az esetben, ha az SPI-t a védelem biztosítása érdekében alkalmazza. Csak itt nem mindig világos, hogyan kell használni ezt a jogot. És az FSB megkönnyíti az életet, a dokumentumot megjelent módszertani ajánlásokat, amelyek az állami IS és az összes többi PD-szolgáltató számára alkalmazhatók. Tekintse meg ezt a dokumentumot részletesebben.

És így történt, az FSB 8. központja A PDN-ek védelmére vonatkozó szabályozási és jogi aktusok kidolgozására vonatkozó ajánlások leírása. Ugyanakkor javasoljuk, hogy a CDN üzemeltetőit a magánvesztés modellek fejlesztésében használják.

Szóval mit gondol az FSB hogyan és hol alkalmazni skzi?

Nagyon fontos, hogy ez a dokumentum csak az FSB honlapján jelenik meg,nincs regisztráció Az Igazságügyi Minisztériumban.nem hordoz egy rajzotés - vagyis jogi jelentősége és kötelezettsége csak az ajánlások keretein belül marad.. Ez fontos emlékezni.

Nézzünk be, a dokumentum preambulumában meghatározzuk, hogy az ajánlások "A szövetségi végrehajtó testületek ... más állami szervek ... amelyek ... szabályozási jogi aktusokat fogadnak el, amelyek meghatározzák a személyes adatok személyes adatainak feldolgozásában a személyes adatok feldolgozásában (a továbbiakban: ), a vonatkozó tevékenységek végrehajtása során ". Azok. Egyértelműen az állami információs rendszerek küldésére szolgál.

Ugyanakkor ugyanabban az időben ugyanazok a szabványok "azt is célszerű a fejlesztés irányába irányítani privát fenyegető modelleka személyes adatok információs rendszerei, amelyek döntést hoztak a pénzeszközök használatáról cryptographic Information Protection (a továbbiakban: SKZI) a személyes adatok biztonságának biztosítása érdekében. " Azok. A jelen ügyben szereplő dokumentum minden felhasználó számára egyetemessé válik.

Mikor kell használni a síelést?

A SCJI használatával a személyes adatok biztonságának biztosítása a következő esetekben:

1. ha a személyes adatok az Orosz Föderáció jogszabályai szerint kriptográfiai védelem alá tartoznak;
2. ha az információs rendszerben olyan fenyegetések merülnek fel, amelyek csak SCJ segítségével semlegesíthetők.

1. a személyes adatok átruházása a kommunikációs csatornákra, amelyek nem védik a rájuk továbbított információk meghozatalától, vagy ezen információk jogosulatlan hatásaitól (például a személyes adatok átadása az információs és telekommunikációs hálózatokról a közös használatra vonatkozó információkat);
2. a személyes adatok tárolása a médiainformációkról, illetéktelen hozzáférés, amelyhez a behatoló nem zárható ki nem tipográfiai módszerekkel és módszerekkel.

És mit jöttünk. Ha a második tétel ugyanolyan logikus, akkor az első nem annyira nyilvánvaló. Az a tény, hogy a törvény jelenlegi változata szerint "a személyes adatokon" név, vezetéknév és középső név Már személyes adatok. Ennek megfelelően minden olyan levelezést vagy Regisztráció a helyszínen (figyelembe véve, hogy mennyi adat van szükség a regisztráció során) nem tartoznak a hivatalosan erre meghatározás.

De amint azt mondják, kivétel nélkül nincs szabály. A dokumentum végén két táblázat található. Csak egy sort adunk Függelékek száma 1..

Tényleges fenyegetés:

1.1. Támadás, miközben megtalálja az ellenőrzött zónában.

A távollét indoklása (a lista kissé csökken):

1. a felhasználók által érintett alkalmazottak, de nem az SCJI felhasználói által nem tájékoztatják a PM munkaterületét és felelősségét az információbiztonsági szabályok be nem tartásáért;
2. a SKZZI felhasználók tájékoztatást kapnak a Kódex munkájáról, az SCJ-vel való együttműködésre és az információbiztonság biztosítására vonatkozó szabályok be nem tartásának szabályairól;
3. azok a szobák, ahol a SKZI található, zárakkal ellátott ajtókkal van felszerelve, biztosítva a helyiségek ajtajának állandó lezárását a kastélyon \u200b\u200bés a nyílások csak egy szankcionált átadásra;
4. jóváhagyta a helyiségekhez való hozzáférés szabályait, ahol az SPJ-ek a munkavégzésben és a munkaidőben, valamint a vészhelyzetekben találhatók;
5. jóváhagyta azokat a személyeket, akik jogosultak a helyiségek eléréséhez, ahol a SKZI található;
6. a védett forrásokhoz való felhasználói hozzáférés megkülönböztetése és ellenőrzése;
7. a PDN-vel való felhasználói műveletek nyilvántartása és elszámolása;

8. az AWP és a szerverek, amelyeken SCJI telepítve van:

   hitelesített eszközök a jogosulatlan hozzáféréssel kapcsolatos információk védelme;
9. hitelesített vírusvédelmi eszközöket használnak.

Vagyis, ha a felhasználókat tájékoztatják a szabályokról és felelősségekről, és a védelmi intézkedéseket alkalmazzák, kiderül, és aggódik amiatt.

• a személyes adatok biztonságának biztosítása érdekében a feldolgozás során a síelést az előírt módon kell alkalmazni, amely az előírt módon átadott, a megfelelés értékelési eljárása.

Igaz, egy kicsit későbbi azt állítja, hogy a tanúsított SPJ-ek listája megtalálható a TSLS FSB weboldalán. Az a tény, hogy a megfelelőség értékelése nem tanúsítás, ismételten elmondták.

• az SPJU betartásának az előírt módon történő értékelésének hiányában ... egy külső vetítés vagy vázlat (Sketting-technikai) projekt szakaszában az információs rendszer fejlesztője az üzemeltető részvételével (engedélyezett) személy), és az állítólagos SCJO fejlesztő előkészíti az új típusú SCJ típusának kialakításának alapját, és meghatározza a funkcionális tulajdonságainak követelményeit.

Ez tényleg boldoggá teszi. A tény az, hogy tanúsítvány A folyamat nagyon hosszú - hat hónapig és így tovább. Gyakran az ügyfelek használják a legújabb operációs rendszert, amelyet nem támogat egy hitelesített verzió. Ennek a dokumentumnak megfelelően az ügyfelek a tanúsítás folyamata során felhasználhatják a termékeket.

A dokumentum azt jelzi, hogy:

A kommunikációs csatornák (vonalak) használatakor, amely nem lehetséges az általuk továbbított védett információk elfogása és (vagy), amelyben az illetéktelen hatásokat nem lehet végrehajtani, az információs rendszerek általános leírásával meg kell jelölni:

1. a csatornák védelmére szolgáló módszerek és módszerek leírása az illetéktelen hozzáférésektől;
2. következtetések Az eredmények szerint a kutatás a biztonság ezen csatornák (vonalak) kommunikációs illetéktelen hozzáférést a védett információkat továbbított őket, egy olyan szervezet, amely a jogot, hogy ezeket a tanulmányokat, hivatkozással a dokumentum, amely tartalmazza ezeket a következtetéseket.

biztonsági jellemzők (titkosság, integritás, elérhetőség, hitelesség), amelyet meg kell adni a feldolgozott személyes adatok számára;

az egyes alrendszerben vagy az információs rendszerben a kommunikáció teljes csatornájaként (vonalak), beleértve a kábelrendszereket is, valamint az e kapcsolatok (vonalak) által továbbított védett információkhoz való jogosulatlan hozzáférés korlátozására irányuló intézkedéseket, amelyek a kommunikációs csatornákat (vonalakat) jelzik, amelyben az lehetetlen jogosulatlan hozzáférést biztosítani a velük továbbított védett információkhoz, és végrehajtották a minőségi intézkedés biztosítása érdekében;

az információs rendszer minden alrendszerében vagy az információs rendszer egészében használt védett információk médiája (a linkcsatornák (vonalak) kivételével.

Az információs rendszerek tervezésében szereplő információk biztonsági követelményeiben a jellemzők jelzik az alkalmazott eszközöket az információvédelemhez. Ezeket az információbiztonság, különösen az Oroszország FSTEC és FSB területén különböző szabályozóiban azonosítják. A védett osztályok, a védelem típusai és típusai, valamint hol lehet többet megtudni erről, tükröződnek a cikkben.

Bevezetés

Ma információbiztonsági kérdések tárgyát figyelmet, mivel általánosan megvalósított technológiai anélkül, hogy az információs biztonság forrása lesz az új súlyos problémákat.

A helyzet súlyosságát az Oroszország FSB jelentette: A betolakodók által a világ több éve által okozott kár összege 300 milliárd dollárt jelentett. Az Orosz Föderáció Prisecterier által szolgáltatott információk szerint csak 2017 első félévében Oroszországban a high-tech bűncselekmények száma hatszor nőtt, a teljes kár meghaladta a 18 millió dollárt. Az ipari célzott támadások növekedése Az ágazat 2017-ben világszerte van jelölve. Különösen Oroszországban a 2016-ra vonatkozó támadások számának növekedése 22% volt.

Az információs technológiák katonai politikai, terrorista célú fegyverként kezdték őket, a szuverén államok belső ügyeinek beavatkozását, valamint más bűncselekmények elkövetését. Az Orosz Föderáció támogatja a nemzetközi információbiztonsági rendszer létrehozását.

Az Orosz Föderáció területén az információs tulajdonosok és az információs rendszerüzemeltetők kötelesek blokkolni az információhoz való jogosultsághoz való jogosultságokat, valamint ellenőrizniük kell az informatikai infrastruktúra biztonsági állapotának állandó alapját. Ugyanakkor az információk védelmét különböző intézkedések elfogadásával biztosítják, beleértve a műszaki is.

Az információs védelmi eszközök, vagy a QI biztosítja az információs rendszerek információinak védelmét, valójában, amelyek az információ adatbázisaiban, az információs technológiák adatbázisaiban, amelyek biztosítják a feldolgozását és a technikai eszközöket.

A korszerű információs rendszerek, a használata a különböző hardver és szoftver platform jellemez, területi eloszlása \u200b\u200baz alkatrészek, valamint interakció nyílt adatátviteli hálózatok.

Hogyan lehet megvédeni az információkat ilyen körülmények között? A releváns követelményeket az engedélyezett testületek, különösen az FSTEC és az Oroszország FSB kiszabják. A cikk részeként megpróbáljuk tükrözni a SZI-osztályozás fő megközelítéseit, figyelembe véve a meghatározott szabályozók követelményeit. Az orosz osztályok, valamint a külföldi szervezetek és ügynökségek szabályozási dokumentumainak más leírásának más módjai, amelyek túlmutatnak e cikk hatálya alá, és nem veszik figyelembe.

A cikk hasznos lehet az újonc információbiztonsági szakemberek számára, mint strukturált információk forrása az SZI-k osztályozásának módszereiről az Oroszország FSTEC (több) és röviden, az Oroszország FSB követelményei alapján.

A struktúra, amely meghatározza az IB túlaptapográfiai módszereinek biztosítására irányuló eljárást és koordinációs intézkedéseket Oroszország FSTEC (korábban - az Orosz Föderáció elnöke szerinti Állami Műszaki Bizottság, az Állami General Bizottság).

Ha az olvasónak meg kellett látnia az Oroszország FSTEC-t képező információk védelmére vonatkozó tanúsított eszközök állami nyilvántartását, minden bizonnyal figyelmet fordított az SSI-k céljának leíró részében szereplő jelenlétre, mint az "RD SVT osztályának) "", "Az NDV hiánya" stb. (1. ábra).

1. ábra: A Rendszerleíró adatbázis töredéke

A kriptográfiai információs védelmi eszközök osztályozása

Az Oroszország FSB meghatározta a Cryptographic Szi osztályokat: KS1, KS2, KS3, KV és KA.

A KS1 Szin-osztály fő jellemzői magukban foglalják az ellenőrzött zónán kívüli támadások szembesítését. Ugyanakkor azt értjük, hogy a támadási módszerek létrehozása, előkészítése és magatartása a szakemberek részvétele nélkül történik a Cryptographic Szi fejlesztésének és elemzésének területén. Feltételezzük, hogy az információ a rendszerről, amelyben a megadott qi nyitott forrásból származhat.

Ha a Cryptographic Qi lehet, hogy a CS1 osztályú létesítmények által blokkolt támadások, valamint az ellenőrzött zónában lefolytathatók, akkor egy ilyen Siz megfelel a CO2-osztálynak. Ugyanakkor megengedett például, hogy a támadás elkészítésekor rendelkezésre állnak az információs rendszerek védelmére szolgáló fizikai intézkedésekre, az ellenőrzött zónát stb.

Ha lehetséges, szembesítsük a támadások a fizikai hozzáférés jelenlétében a számítástechnikai technológia eszközeihez a megállapított kriptográfiai SZI-vel, amely az ilyen CO3 osztálynak való megfeleléséről szól.

Ha a Cryptographic Qi ellenzi a támadást, amikor a szakemberek létrehozása a fejlesztés és az elemzések között részt vettek, beleértve a kutatóközpontokat, a laboratóriumi kutatási eszközök lebonyolításának lehetősége volt, akkor ez az SQ osztályának való megfelelés.

Ha a rendszerszoftverek használatának szakemberei vonzottak a támadási módszerek kidolgozásához, a megfelelő tervezési dokumentáció állt rendelkezésre, és hozzáférhet a kriptográfiai SZI bármely hardverkomponenseihez, az ilyen támadások elleni védelem biztosítja az osztályt .

Az elektronikus aláírás védelmének osztályozása

Az elektronikus aláírási eszközök, attól függően, hogy a támadások szembesülésének képességétől függően szokás állítsa össze a következő osztályokkal: KS1, KS2, KS3, KV1, KV2 és KA1. Ez a besorolás hasonló a fent megfontolt Cryptographic-hoz.

következtetések

A cikk az SZI-ek oroszországi osztályozására vonatkozó néhány módon terjedt ki, amelynek alapja az információvédelmi szabályozók szabályozási kerete. A jóváírt osztályozási lehetőségek nem kimerítőek. Mindazonáltal reméljük, hogy a benyújtott összefoglaló információk lehetővé teszik, hogy az IB területének újjászületője gyorsabb legyen.

Hozzászólások ...

Alexey, jó délután!
A 8. központ válaszában semmi sem szerepel a pontosan hitelesített SCJ használatának szükségességéről. De végül is vannak "módszeres ajánlások ..." az Oroszország FSB 8. központjának 8. századi központjának vezetői közül 31,03.2015 No. 149/7/2/6-432, amelyben egy ilyen bekezdés a második rész:

A személyes adatok biztonságának biztosítása érdekében a feldolgozás során a síelést az előírt módon kell alkalmazni, amely az előírt módon átadott, a megfelelés értékelési eljárása. Az SCJI, az Oroszország által kiadott, az Oroszország Hivatalos honlapján közzétett SCJI, az Oroszország FSB engedélyének hivatalos honlapján (www.clsz.fsb.ru) állami titkok védelméről. A konkrét információk védelmi alapokra vonatkozó további információkat javasoljuk közvetlenül a fejlesztőktől vagy a gyártóktól az alapokból, és szükség esetén az e pénzeszközök tematikus tanulmányaitól származó szakosodott szervezetektől;

Mi ez nem a hitelesített scj használatának követelménye?

Az Oroszország FSB-je 2014. július 10-én 378., amelyben a "G" albekezdés 5. pontjában szerepel: "Az információs védelmi eszközök használata, amelyek elfogadták az eljárást a Az Orosz Föderáció jogszabályai az információbiztonság területén, abban az esetben, ha az ilyen alapok használata szükséges a jelenlegi fenyegetések semlegesítéséhez. "

Egy kicsit zavaros ez ", ha az ilyen alapok használata szükséges a jelenlegi fenyegetések semlegesítéséhez." De mindezeket meg kell írni a jogsértő modellben.

De ebben az esetben ismét, a 3. szakasz "módszeres ajánlások ..." 2015-től azt jelzik, hogy "ha a kommunikáció linkjeit (vonalakat használ), amellyel a lehallgatást nem lehet továbbítani rájuk és (vagy) Mely jogosulatlan hatások lehetetlen erre az információra, az információs rendszerek általános leírásával meg kell jelölni:
- a csatornák védelmére szolgáló módszerek és módszerek leírása a jogosulatlan hozzáférésektől;
- Az e csatornák biztonságának (vonalak) kutatásának eredményein alapuló következtetések, amelyek a szervezet által az ilyen kutatáshoz való joggal rendelkező védett információkhoz való jogosulatlan hozzáféréshez való jogosulatlan hozzáféréssel rendelkező közleményhez tartozó közlemény eredménye, az e következtetéseket tartalmazó dokumentumra való hivatkozással. "

Mindezek - igen, a SKZI-t mindig és mindenütt használni kell, ha biztosítja a PD-feldolgozás biztonságát. De erre szükséged van egy olyan jogsértő modellre, ahol mindez leírja és bizonyítja. Körülbelül két esetben, ha meg kell használnia. De az a tény, hogy biztosítani kell a PD-feldolgozás biztonságát a nyílt kommunikációs csatornákon, vagy ha ezeknek a PD-k feldolgozása túlmutat az ellenőrzött zóna határain, akkor nem tanúsított SCJI-t használhat - minden nem olyan egyszerű. És előfordulhat, hogy könnyebb legyen engedélyezett SKZJi és megfelelnek minden követelmények működtetésekor és tárolják, mint felügyelet nélküli eszközök és veri a szabályozó, amelyet látva egy ilyen helyzet, megpróbálja piszkálni az orrát.

Ismeretlen megjegyzések ...

Nyilvánvaló, hogy az ilyen alapok használata szükséges a jelenlegi fenyegetések semlegesítéséhez: a 2013. február 11-i Oroszország február 17-i FSTEC sorrendjének követelménye (az állam és a munitz követelményei. Caiden),

az információs rendszerben szereplő információk védelmének biztosítása, az olyan információk védelmének eszköze, amelyek a szövetségi törvény 5. cikkével összhangban az információbiztonsági követelményeknek való megfelelés érdekében kötelező tanúsítvánnyal rendelkeznek a megfelelőségértékelés formájában 2002. december 27-én, 184-FZ "a műszaki szabályozásról".

Alexey Lukatsky Hozzászólások ...

Proximo: Az FSB-nek az illegitime ajánlásai. A 378. sorrend legitimen, de figyelembe kell venni az összes jogszabály összefüggésében, és azt mondja, hogy a megfelelőség értékelésének jellemzőit a kormány vagy az elnök hozta létre. Semmi sem, sem más ilyen npus is kiadta t

Alexey Lukatsky Hozzászólások ...

Anton: Az államban a tanúsítási követelmény törvény által létrehozott, a 17. sorrend egyszerűen megismétli őket. És beszélünk a PDN-ről

Ismeretlen megjegyzések ...

Alexey Lukatsky: Az FSB-nek az illegális FSB megkövetelése "Hogyan illegitres? A dokumentumról 19.05.2015 №149 / 7/2/6-432 (http://www.fsb.ru/fsb/science/single.htm ! ID% 3D10437608% 40fsbrersearchArt.html), de nem a 21.02.2008 No. 149 / 54-144.

Egy másik szakember is korábban kérte az FSB-nek hasonló témára vonatkozó kérelmet, és válaszolt arra, hogy "a módszertan ..." és "Ajánlások ..." FSB 2008-tól nem szabad használni, ha ezekről a dokumentumokról beszélsz. De ismét - hivatalosan ezeket a dokumentumokat nem törölték. És ezek a dokumentumok törvényesek vagy nem, azt hiszem, az FSB már megoldja az ellenőrzés során.

A törvény azt mondja, hogy meg kell védeni a PD-t. A kormánytól származó regionális cselekmények, az FSB, az FSTEC pontosan meghatározza, hogyan védje meg őket. Az NPA-ban az FSB-ben azt mondják: "Használja a tanúsítvánnyal. Ha nem szeretne tanúsítvánnyal, bizonyítsa, hogy használhatja azt. És légy kedves - arra a következtetésre jut, hogy a megfelelő licencet a megfelelő az ilyen következtetéseket. " Valami ilyesmi...

Alexey Lukatsky Hozzászólások ...

1. Az ajánlást ajánlás, és nem kötelező követelmény.
2. A módszer 2015 nem kapcsolódik PD szereplők - arra utal, hogy az kimondja, hogy írunk fenyegetés modellek alárendelt intézmények (beleértve a követelés 1).
(3) Az FSB-nek nincs joga a PDN-k kereskedelmi piaci szereplőinek ellenőrzésére, és az államok számára a nem igazolt SCJ használatának kérdése, és nem kerülnek költségre - kötelesek hitelesített döntéseket alkalmazni, függetlenül a PDS elérhetőségétől függetlenül - Ezek az FZ-149 követelményei.
4. A nyári cselekmények azt mondják, hogyan kell megvédeni, és ez normális. De a védelmi eszközök formális értékelése nem tudja meghatározni - ezt csak a kormány vagy az elnök NPU végezheti el. Az FSB nem jogosult erre

Ismeretlen megjegyzések ...

A 1119. rendeletnek megfelelően:

(4) A személyes adatvédelmi rendszer információs védelmi eszközeinek megválasztását az üzemeltető az Orosz Föderáció Szövetségi Biztonsági Szolgálatának és a 19. cikk Műszaki és Exportellenőrzési Szövetségi Szolgálatának szabályozási jogi aktusokkal összhangban hajtja végre a szövetségi törvény "személyes adatokon".
13.G. Az információs védelmi eszközök használata, amelyek az Orosz Föderáció jogszabályainak az információbiztonság területén való betartásának értékelésére vonatkozó eljárás értékelésére vonatkozó eljárást, abban az esetben, ha az ilyen alapok használata szükséges a jelenlegi fenyegetések semlegesítéséhez.

Hogyan igazolja nem relevánsak a veszély, amikor továbbítása PDNs csatornán keresztül üzemeltető csatornákat?

Azok. Ha nem SPI, akkor látszólag
- Terminál hozzáférés és finom ügyfelek, de ugyanakkor a SZI termináladatok
hozzáférést kell tanúsítani.
- A csatornák védelme a kommunikáció üzemeltetője, a Telecom üzemeltető (Szolgáltató) felelőssége.

Alexey Lukatsky Hozzászólások ...

Az irrelevence határozza meg az üzemeltetőt, és senki sem szükséges ehhez