FSB'nin planlanan denetimine kişisel verilerde nasıl hazırlanır? FSTEC ve FSB FSB'den FSB ve Şifreleme Bilgilerinin Korunması Araçlarının Sınıflandırılması.

Bilginin korunmasının ana görevleri, iletişim kanalları ve SKZI tarafından çözülen çeşitli taşıyıcılarda depolama, işleme ve iletim sırasında, şunlardır: 1.

Bilgilerin gizliliğini (gizlilik) sağlamak. 2.

Bilgilerin bütünlüğünü sağlamak. 3.

Bilgi orijinalliğinin onaylanması (belgeler). Bu görevleri çözmek için aşağıdaki ihtiyaçlar

İşlemler: 1.

Bilgi güvenliği özelliklerinin uygulanması:

şifreleme / şifre çözme; Eds oluşturma / kontrol etme; IMITAVA'yı oluşturma / kontrol etme. 2.

KZI'nin (sistemde) işleyişinin durumunun ve yönetiminin izlenmesi:

koşul İzleme: Kuls fonlarının, NSD denemelerinin performansının ihlal edilme vakalarının tespiti ve tescili, tehlikeye atma olguları;

İşlev Yönetimi: KZI fonlarının normal işleyişinden listelenen sapmalar durumunda önlemleri almak. 3.

KZI fonlarının korunması: anahtar yönetimin uygulanması;

ağın yeni abonelerinin bağlantısı ve / veya emekli abonelerin hariç, prosedürlerin yürütülmesi; Spzi'nin tanımlanmış eksikliklerinin ortadan kaldırılması; SPJ yazılımının yeni sürümlerini devreye alma;

teknik Ekipman SPI'sinin modernizasyonu ve değiştirilmesi, kaynağı geliştirilmiş fonların daha gelişmiş ve / veya değiştirilmesi.

Anahtar yönetimi, kriptografik bilgi korumasının en önemli işlevlerinden biridir ve aşağıdaki temel işlevleri uygulamaktır:

anahtar Üretim: Kriptografik niteliklerinin garantisi olan anahtarları veya anahtarların anahtarlarını veya çiftlerini oluşturma mekanizmasını tanımlar;

tuşların Dağılımı: Anahtarların abonelere güvenli ve güvenli bir şekilde teslim edildiği mekanizmayı belirler;

kaydetme tuşları: Anahtarların daha fazla kullanım için güvenli ve güvenli bir şekilde kaydedildiği mekanizmayı belirler;

anahtar Kurtarma: Anahtarlardan birinin geri kazanılması için mekanizmayı belirler (yeni bir anahtarın değiştirilmesi);

anahtarların imhası: Anahtarların güvenilir tahribatının çıktığı mekanizmayı belirler;

anahtar Arşivi: Anahtarların, çatışma durumlarında uyarlanmamış iyileşmeleri için güvenilir bir şekilde tutulabileceği mekanizma.

Genel olarak, kriptografik bilgi korumasının listelenen işlevlerini uygulamak için, KZI, servis personeli, binaların, ofis ekipmanlarının, çeşitli belgelerin (teknik, düzenleyici ve düzenleyici) gerçek araçlarını birleştiren bilgilerin bir şifreleme sistemi oluşturmak gerekir. , vb.

Daha önce belirtildiği gibi, bilgi korumasını sağlamak için sertifikalı KZI sertifikalı bilgilerin kullanımı gerekir.

Halen, en popüler olanı, gizli bilgileri korumanın sorunudur. Bu konuyu çözmek için FAPSI'nin himayesinde, Gizli Bilgilerin fonksiyonel olarak eksiksiz bir şifreleme kompleksi bir şifreleme kompleksi geliştirilmiştir; bu, çok çeşitli uygulamalar ve uygulama koşulları için bilgileri korumak için listelenen görevleri çözmenizi sağlar.

Bu kompleks, "Verba" (asimetrik anahtarların sistemi) ve "Verba-O" (simetrik anahtarların sistemi) kriptografik çekirdeklerine dayanmaktadır. Bu cryptra görüntüleri, GOST 28147-89 "Bilgi İşleme Sisteminin gereksinimlerine göre veri şifreleme prosedürlerini sağlar.

Koruma Şifreleme "ve Dijital İmza GOST P34.10-94" Bilgi Teknolojisi'nin gereksinimlerine uygun olarak. Kriptografik bilgi koruması. Asimetrik bir şifreleme algoritmasına dayanan elektronik dijital imzanın geliştirilmesi ve doğrulanması için prosedürler. "

SPJ kompleksinde bulunan fonlar, elektronik belgeleri ve bilgi akışlarının, SKZI çevrimdışı olarak kullanılması dahil olmak üzere hemen hemen tüm modern bilgi teknolojilerinde sertifikalı şifreleme ve elektronik imza mekanizmaları kullanarak korumayı mümkün kılar;

Çevrimdışı modda korumalı bilgi alışverişi; Çevrimiçi modda korumalı bilgi alışverişi; Korunan heterojen, yani. Karışık, bilgilendirme değişimi.

Scjos'un sistemik kullanımını DA Starovoitov'un önderliğinde çözmek için, "Vityaz" bilgisinin entegre şifreleme korumasının teknolojisi, bu da sistemin tüm bölümlerinde bir kerede şifreleme veri koruması sağlar: sadece iletişim kanallarında ve sistemde değil Düğümler, aynı zamanda doğrudan belgenin kendisi korunması durumunda, bir belge oluşturma işleminde doğrudan kullanıcı işyerlerine de. Ek olarak, genel teknoloji çerçevesinde, "Vityaz", lisanslı SPJU'nun çeşitli uygulama sistemlerine katıştırılan teknolojisine basitleştirilmiş, kolay erişilebilir bir teknoloji sunar, bu da bu SCJ'lerin çok geniş bir kullanım alanını oluşturur.

Aşağıda, listelenen modların her biri için araçların ve koruma yöntemlerinin bir açıklamasıdır.

SCJW çevrimdışı kullanarak.

Skzi ile özerk çalışmalarda, aşağıdaki kriptografik bilgi koruma türleri uygulanabilir: Güvenli bir belge oluşturmak; Dosya Koruması;

güvenli bir dosya sistemi oluşturma; Güvenli bir mantıksal disk oluşturma. Kullanıcının talebi üzerine, aşağıdaki kriptografik koruma türleri (dosyalar) uygulanabilir:

belgeyi (dosyayı) ve iletişim kanalları veya bir göz ardı ederken iletildiğinde, hem içeriğine erişilemez hale getiren belgenin (dosyanın) şifrelemesi;

dokümanın bütünlüğünün (dosyanın) kontrolünü sağlayan taklit kavramının gelişimi;

belgenin (dosyanın) bütünlüğünün kontrolünü ve belge (dosya) tarafından imzalanan kişinin kimlik doğrulamasını sağlayan EDS oluşumu.

Sonuç olarak, korumalı belge (dosya), gerekirse Eds'u içeren şifreli bir dosyaya dönüştürür. EDS, bilgi işlem sürecinin organizasyonuna bağlı olarak, abone olunan dosyadan sunulabilir ve ayrılabilir. Daha sonra, bu dosya, bir disket veya başka bir taşıyıcı üzerinde, göz ardı edilmek üzere teslimat için veya mevcut herhangi bir e-posta için gönderilir, örneğin internette görüntülenebilir.

Buna göre, şifreli bir dosyanın bir veya başka bir taşıyıcıda e-posta ile aldıktan sonra, kriptografik koruma eylemleri ters sırada yapılır (şifre çözme, IMITAVA'yı kontrol ederek, EDS'yi kontrol eder).

Aşağıdaki sertifikalı fonlar Skzu ile özerk çalışmaları yapmak için kullanılabilir:

metin editörü "Lexicon Verba", SPI "Verba-O" ve Skzi "Verba" temelinde uygulanır;

yazılım Kompleksi Skusi "Özerk İşyeri", Windows 95/98 / NT için SPI "Verba" ve "Verba-O" temelinde uygulanan;

Şifreleme disk sürücüsü PTS "diskguard".

Korumalı metin işlemcisi "Lexicon Veda".

"Lexicon Veda" sistemi, belge şifreleme ve elektronik dijital imza için destek olan tam özellikli bir metin editörüdür. Belgeleri korumak için "Verba" ve "Verba-O" şifreleme sistemlerini kullanır. Bu ürünün benzersizliği, şifreleme işlevlerinin ve metin imzalarının, modern metin düzenleyicisinin işlevlerine dahil olmasıdır. Bu durumda belgenin şifrelemesi ve imzası, belgeyle çalışırken sadece standart eylemlere dönüştürülür.

Aynı zamanda, Lexicon-Willb sistemi sıradan bir metin editörü gibi görünüyor. Metin biçimlendirme özellikleri, belgenin yazı tiplerinin ve paragraflarının tam konfigürasyonunu içerir; Tablolar ve listeler; altbilgiler, dipnotlar, şarkı söylüyor; Modern gereksinimleri karşılayan bir metin düzenleyicisinin stillerini ve diğer birçok işlevi kullanma. Lexicon Verba, Lexicon formatlarında, RTF, MS Word 6/95/97, MS WRUME'de belgeleri oluşturmanıza ve düzenlemenizi sağlar.

Özerk iş yeri.

SKI "Özerk İşyeri", Windows 95/98 / NT için Skzi "Verba" ve "Verba-O" temelinde uygulanır ve kullanıcının iletişim kutusundaki aşağıdaki işlevleri gerçekleştirmesini sağlar:

anahtarlardaki dosyaların şifrelemesi / şifresini çözme; Şifreleme / şifre çözme dosyaları şifreleme; Elektron-Dijital İmzaların (EDS) dosyalarının altındaki sparation / sökülmesi / doğrulanması;

şifreli dosyaları kontrol etmek;

eDP \u200b\u200bKarıştırma + Şifreleme (bir eylem için) dosyaları; şifre çözme + EDS'nin (bir eylem için) dosyaların altındaki sökülmesi;

karma dosyasının hesaplanması.

Skusi "Özerk İşyeri", sağlaması gereken çalışanların günlük çalışmalarına başvurmanız önerilir:

gizli Bilgilerin Elektronik Formda İfade veya Kurye ile İletimi;

İnternet de dahil olmak üzere kamu ağı hakkında gizli bilgi gönderme;

kişisel bilgisayar bilgisayarlarındaki gizli bilgilere izinsiz erişime karşı koruma.

Valery Konavsky
Vniipwti'nin bilimsel lideri,
Bilimsel danışman OKB CAD

Rastgele bir numaraya sahip herhangi bir işlem rastgele bir sayı verecektir. Açık metinle katlanmış rasgele bir sekans, rastgele bir kriptotext verecektir. Gammanın kalitesi ne kadar iyi olursa, Cryptotexts'i deşifre etme şansı daha az. Gama gerçekten rastgele ise, kriptotekstiği deşifre etmek imkansızdır.

Cipher Vernama

Şifreleme bilgi koruması (SCJ) şifreleme araçlarına ve elektronik imzaya (PEP) ayrılabilir.

Gamma'yı zımbalanmış büyük bobinler biçiminde iletmek, çok rahat ve oldukça pahalı değildi. Bu nedenle, bazen yeniden kullanımı ve bu nedenle, önemli bilgilerin sızdırmasıyla ilgili sorunlar var.

Zımbalanmış bir bobini pahalı kanallara iletmemek için, rastgele, kısa bir anahtardan uzun bir gama oluşturmanın yollarını icat etti. O zaman, kısa bir rasgele anahtar geçmek, uzun zamandan daha kolaydı.

Sertifikalı spzi.

Modern medyanın ortaya çıkışıyla, durum düz değişti ve şimdi gama gigabaytlarını yapmak ve transfer etmek için bir sorun yok - sadece DSC'lere iyiydi. Psödo-rastgele sekansın (PSP'ler) yazılım jeneratörleri, burada yalnızca iyi bir fiziksel jeneratör olmadığı umutsuzluktan kullanılabilir.

Şifreleme standartları, iyi bir tuşa dayanarak güvenilir bir şekilde şifreli dış mekan metninin elde edilmesini mümkün kılan operasyonların dizilerini tanımlar. Aynı zamanda, anahtarlar iyi sensörlerde yapılmalıdır.

Regülatör kuralları belirler, test laboratuvarlarını test edin. Operasyonlar, anahtarlar ve diğer işlemlerin bu süreçleri üzerindeki etki eksikliğinin yapılıp yapılmadığını kontrol edin - bu kadar sertifikalı SCJI görünür.

Şifreleme ve Elektronik İmza

Gamma aşağıdaki özelliklere sahip olmalıdır:

• gerçekten rastgele, yani, fiziksel, analog, dijital işlemler olmayan pahasına oluşturmak;
• belirtilen açık metin ile boyut olarak çakışın veya aşın;
• her mesaj için yalnızca bir kez uygulayın ve ardından yok edilir.

Böyle bir şifre, Vernama şifresi olarak adlandırılır - ve bu mutlak şifreleme direncine sahip olan tek şifredir. K. Shannon'un 1945'te geri döndüğü gibi, sebatını ispatlamak gerekli değildir. Gama'nın büyüklüğü, fiziksel süreçler temelinde oluşması ve garantili yıkım - İşte şifreli direniş koşullarının koşullarıdır. .

Sadece bilgiye erişebilecek olanlara şifreleme gereklidir. Bir kişinin iradesini düzeltmek için EP kullanılır. Ve eğer SPJ, kriptografik dönüşümleri gerçekleştirmek için kanıtlanmış ortamda doğru olması gerekirse, elektronik bir imza için yeterli değildir. Sabitleme sağlayan tüm önlemleri almanız gerekir Ücretsiz istekli. Bu, bu FZ-63'e yöneliktir, bu nedenle en önemli gereksinimlerinden biri, kişinin belirttiği belgenin görselleştirmesinin doğruluğunun gerekliliğidir. Böylece, Nitelikli SEP için SKZI'nin aksine görselleştirme araçları eklenir. Tabii ki, gerekli tüm şifreleme algoritmaları kontrolleri yapılır.

Bunu veya EP'nin bu şemasını analiz etmek, genellikle şu şekilde soruyu koyar: "Aynı EP'ye sahip olacak iki farklı (anlamlı) mesajı hızlı bir şekilde seçmek mümkün müdür". Buradaki cevap genellikle olumsuzdur. Çarpışmaların etkili arama mekanizması bulunamadığı iyi bir karma işlevi kullanıldığında, böyle bir saldırı neredeyse her zaman başarısızlığa mahkumdur. Mikhail Gruntovich (bkz. S. 48) Farklı bir soruyu gündeme getirin: "İki mesaja sahip olabiliyor, EP'nin çakışması için imza tuşlarını al.". Ve bunu yapması son derece kolay olduğu ortaya çıktı!

Saldırı Gruntovich

Belirtilen saldırının uygulanması için özel koşullar, El-Gamal programına göre bir imza örneğinde (çok basitleştirilmiş bir sürümde) göz önünde bulundurulur. Vera, bu şemanın direncinde (varsayımsal) ayrık logaritasyon görevinin (varsayımsal) karmaşıklığına dayanır, ancak burada saldırı, ayrık matematiklerin tüm görevinde değildir.

Kayak donanım olmalıdır. Doğru kalitenin fiziksel dsh içermelidirler ve sadece imza anahtarını değil, aynı zamanda algoritmaların direncini etkileyen diğer şifreleme elemanlarını da içermelidir.

Aşağıdaki gösterimi tanıtıyoruz:

• H - Kriptografik karma fonksiyonu;
  Zn - set numaraları (0.1, ..., n - 1), n \u200b\u200b- doğal sayı;
  A (MOD P) - Doğal sayı başına bir tamsayı bir araya getirilen tortu, P.

El Gamal'in imzasının oluşumunun diyagramı için:

• basit bir sayı P, sabittir ve G ilkel bir eleman mod p;
• kişisel İmza Anahtarı, ZP'den herhangi bir sayıdır.

İmza mesajının hesaplanması M:

• hash Kodu H \u003d H (M) hesaplanır;
• k Rasgele Numarası, P - 1: 1 ile karşılıklı olarak basitçe seçilir.< k < p - 1;
• r \u003d G K (MOD P) hesaplanır;
• s \u003d K -1 (H - XR) (MOD P - 1) hesaplanır;
• İmza bir çift c \u003d (r, s).

Şimdi saldırıyı uygulamak için bir saldırgan yapmanız gerekenleri düşünün. Hash kodları üretmelidir:

• h 1 \u003d H (M 1), H2 \u003d H (m2)

ve aynı rastgele sayı k ile çakıştırma imzaları:

• s \u003d K -1 (H 1 - X 1 R) (MOD P - 1) ve
  S \u003d K -1 (H2 - x 2R) (MOD P - 1).

Ve bu şu demek:

h 1 - X 1 R (MOD P - 1) \u003d H 2 - X 2 R (MOD P - 1).

Skzi uygularken ödenecek bazı özellikler.
1. SPI belgeleri, hangi işletim sisteminin kullanılabileceği şekilde belirtilirse, bu sistemde kullanın ve gerekli. Aksi takdirde, SPI çalışsa bile, bilinen bir SCJ'yi yeni bir ortamda gömme doğruluğu hakkında araştırma yapmanız gerekecektir. Donanım SCJ için kolaydır (nispeten), ancak yazılım için oldukça zordur.
2. Donanım Skzi'de kanıtlanmış bir DSH yoksa ve kanıtlanmış kendi kendini test etme aracı yoktur (ve aksi takdirde, Evrensel Akıllı Kart Chips'de gerçekleştirilen SCJ'de olamaz), daha sonra gömme ve çalışma için belgelere dikkat edin . Bir yerden entropi eklenmesi ve test yapılması gerektiğinden, bu SCJ'nin, örneğin, iki ila üç gün boyunca özerk bir şekilde kullanılabileceği ortaya çıkabilir. Her zaman uygun değildir.
3. Herhangi bir belirteç sunulursa ve CC2 sınıfı ve yukarıdaki sertifikalandırıldığını söylerseniz, inanmayın. Büyük olasılıkla, belgelerin bu belirteçleri elektronik bir kilitle korunan bir ortamda kullanma bir şartı vardır. Bundan sonra, sınıf COP1'den daha yüksek olmayacak.

X 1 ve x 2 tuşlarını seçerken görülebileceği gibi, yukarıdaki durumun gerçekleştirileceği şekilde, imzalı mesajların farklı olmasına rağmen imzalar çakışır! X2'yi bilinen x 1 için hesaplamanız için, gerekli hesaplamalar ayrık logaritasyonun alt temsilcisi görevine kıyasla minimumdur.

Bununla birlikte, her şey bu kadar korkutucu değil. Gerçek şu ki, elde edilen sonuçların kendisini itibarsız değil. cryptustomy EP.. Ne zaman olası bir güvenlik açığı gösteriyorlar yanlış uygulamaeP mekanizmaları.

Bu örnek, SCJ'nin yanlış uygulanmasından kaynaklanan güvenlik açıklarını açıkça göstermektedir. Kullanıcı, kullanıcı imzası anahtarını biliyorsa ve rastgele bir sayı bulabilirse, tarif edilen saldırı mümkündür.

Bu tür saldırılarla mücadele etmenin radikal bir yolu var - bunun için sadece bir cihaza sahip olmanız gerekir:

• İmzanın işareti oluşturulur;
• İmza kontrol tuşu hesaplanır;
• belgelendirme merkezinde sertifika dahil olmak üzere ortak anahtar ihraç edilir;
• İmza anahtarı, yalnızca cihazın içinde bir EP geliştirmek için kullanılır, ihracatı imkansızdır! Son zamanlarda, bu tür cihazlar ayrılmamış bir tuşa sahip cihazlar denir;
• bilgisayar ortamında asla rastgele bir sayı görünmüyor, cihazın içinde uygulandıktan sonra üretilir ve yok edilir.

Bu, ekipman şeklinde yapılan SEP ve SCJI'nin varyantı olduğu açıktır, daha güvenilirdir. Bu durumda, yeterli DSH kalitesi sağlanabilir ve imza anahtarının depolanmasının güvenilirliği sağlanabilir.

Şifreleme

Şimdi şifreleme için geri dönelim ve ne zaman ve neden hem bireylere hem de yasal olarak kullanılması hakkında konuşalım.

Temel şifreleme türlerini vurguluyoruz ve bu abone ve kanaldır. İsimlerden aşağıdaki gibi, abone şifrelemesi durumunda, abonenin önce bilgileri (dosya, belge) ilk önce şifreler ve ardından kapalı formda kanala iletir. Kriptografik yöntemlerle kanal yaparken, kanalın kendisi korunur ve abonenin kanala aktarmadan önce şifreleme bilgisini ilgilendirmemesi gerekmez. Kanal bir nokta noktası bağlantısıysa, kanal kodlayıcıları kullanılır. Kanal bir tel değilse, ancak internet tipinin aktif bir yapısı ise, şifrelemek için her şey gerekli değildir, ancak yalnızca verileri. Adresleri bozamazsınız, aksi halde paketler sadece muhataplara ulaşmaz. Sanal Özel Ağların (VPN) mekanizmaları burada kullanılır. En ünlü protokoller - IPSec ve SSL. Neredeyse tüm mevcut VPN araçları bu protokollerden birini uyguluyor.

Vpn.

Bunu bilinçli bir şekilde seçmek için ya da bu demek oluyor, bu fonların işletimi sırasında nasıl farklı olduklarını anlamanız gerekir. En azından akılda tutmanız gereken şey budur:

• criptografik kanal koruması, iletilen verilerin talimatın kanala katılacağı ve tüm değişiminizi "dinleyeceğini" çok ilginç olduğuna dair bir tehdit varsa kullanılmalıdır. Tabii ki, iç ağın güvenli bir şekilde korunmasından sonra kanalları korumaya başlamak gerekir, çünkü içeri giren genellikle kanaldaki saldırıdan daha ucuzdur; 1 Her iki protokol - bu protokoller, müşterileri ve ağları etkilemeyi amaçlamaktadır, bu nedenle zorluklarla yapılandırılmışlardır. Böylece, ağ güvenlik yönetimi araçları gereklidir - ve öncelikle seçilmesi gerekir;
• tCP / IP IPSec protokol yığını IP düzeyinde çalışır ve SSL TCP düzeyindedir. Yani, eğer IPSec sistem düzeyinde koruma sağlarsa, SSL uygulanır. IPSEC, önemli ölçüde "altına" işlev gördüğünden, bu nedenle korunma alanında, elbette daha iyidir; bu nedenle, tabii ki daha iyi olan çok daha fazla protokol;
• bir VPN kullanırken, ana göreviniz anahtardır. Anahtarlar zamanında bir şekilde verilmelidir, değişiklik - bir kelimeyle, kontrol edilmeleri gerekir. Her SKZI, anahtarları üretmek ve yönetmek için kendi sistemi vardır. Zaten herhangi bir anahtar sisteminiz varsa, kullanmaya devam edin. "Hayvanat bahçesine" başlamayın - bir sisteme bile eşlik etmek zordur ve neredeyse birkaç - neredeyse eksik bir görev var;
• göreviniz, bilgilendirme nesnelerinin alanında dağıtılan birçok bilginin faaliyetleriyle ilişkiliyse, VPN kullanın. Bu, yalnızca yoğun bilgi etkileşiminin korunan verilerle gerçekleştirileceği nesneler için geçerlidir; bu, kanalları "dinlemeye" hazır olacaktır. Her şey bu kadar çalışmıyorsa - kendini abone kayak için sınırlamaya çalışın.

Abone Scycles

Algoritmalar (standartlar tarafından tanımlanır) ve bu spilerin uygulanmasına izin veren yardımcı programlar ve yürütülmesi gereken şartlar ile karakterize edilmezler. Bu fonları rahatça uygulamak arzu edilir.

Ve en önemlisi - koruma araçlarının yeterliliğini hatırlayın. Onsuz yapabileceğiniz pahalı kayak uygulamaya gerek yoktur.

Ve henüz: Tartıştığımız tüm gereklilikleri karşılayan Skusi ve KKT,. KV2 sınıfına kadar. Onları sadece aramıyorum, böylece makalenin reklam vermemesi için.

Edebiyat

1. Konavsky v.a. Bilgisayar suçu. T. II. - M., 2008.
2. YASHCHENKO V.V. Kriptografiye giriş. Yeni matematiksel disiplinler. - M., 2001.

Kriptografik koruma araçlarının (SPJ) temasının kullanımı çok belirsiz ve kaygandır. Böylece, operatör PDN'nin koruma sağlamak için SPI'sini uygulamak için mevcut tehditler durumunda böyle bir hakkına sahiptir. Yalnızca burada bu hakın nasıl kullanılacağını her zaman net değildir. Ve FSB hayatı kolaylaştırır, belge devlet için geçerli olan metodik öneriler ve diğer tüm PD operatörleridir. Bu belgeyi daha ayrıntılı olarak düşünün.

Ve böylece, FSB'nin 8. merkezi ortaya çıktı PDN'leri korumak için düzenleyici ve yasal eylemlerin geliştirilmesinde önerileri açıklamak. Aynı zamanda, CDN'nin operatörlerini özel tehdit modellerinin geliştirilmesinde kullanmanız önerilir.

Peki FSB Skzi'nin nasıl ve nereye uygulanacağı hakkında ne düşünüyor?

Bu belgenin yalnızca FSB'nin web sitesinde yayınlanması oldukça önemlidir.kayıt yok Adalet Bakanlığında I.bir beraberlik taşırve - yani, yasal önemi ve yükümlülüğü sadece tavsiyeler çerçevesinde kalır.. Bu hatırlamak önemlidir.

İçeri girelim, belgenin girişinde, önerilerin olduğu belirlenir. "Federal Yürütme Kuruluşları için ... diğer devlet kurumları ... ki ... Kişisel verilerin kişisel verilerinin işlenmesinde, kişisel verilerin işlenmesinde kişisel verilerin güvenliğine ilişkin tehditleri belirleyen düzenleyici yasal eylemleri benimsemiştir (bundan sonra ), ilgili faaliyetlerin uygulanmasında işletilen ". Şunlar. Devlet bilgi sistemlerini göndermek için açıkça belirtilmiştir.

Bununla birlikte, aynı zamanda aynı standartlarda "Gelişimde rehberlik edilmesi tavsiye edilir. Özel Tehdit Modellerifon kullanımı hakkında karar veren kişisel verilerin bilgi sistemlerinin operatörleri kriptografik Bilgi Koruması (Bundan sonra - SKZI) kişisel verilerin güvenliğini sağlamak için. " Şunlar. Bu durumda belge tüm kullanıcılar için evrenselleşir.

Kayak ne zaman kullanmalıyım?

Kişisel veri güvenliğinin aşağıdaki durumlarda gerekli olmasını sağlamak için SCJI'yi kullanma:

1. kişisel veriler, Rusya Federasyonu mevzuatına göre şifreleme korumaya maruz kalırsa;
2. bilgi sisteminde, yalnızca SCJ'in yardımıyla nötrleştirilebilecek tehditler var.

1. kişisel verileri, üzerinde iletilen bilgilerin ihlal edilmesinden veya bu bilgi hakkındaki yetkisiz etkilerden korunmadan korunmayan iletişim kanallarına aktarma (örneğin, ortak kullanımın bilgi ve telekomünikasyon ağları hakkında kişisel verileri aktarırken);
2. kişisel verilerin medya bilgisi üzerindeki depolanması, davetsiz misafirden gelen izinsiz erişim, tipografik olmayan yöntemler ve yöntemler kullanılarak dışlanamaz.

Ve ne geliyoruz. İkinci öğe sadece mantıklı olduğunda, ilk önce bu kadar açık değil. Gerçek şu ki, "kişisel verilerde" hukukun mevcut versiyonuna göre. İsim, soyadı ve göbek adı Zaten kişisel veriler. Buna göre, sitedeki herhangi bir yazışma veya kayıt (kayıt sırasında ne kadar veri gerektiğini dikkate alarak) bu tanım için resmen düşer.

Ancak, söyledikleri gibi, istisnasız kural yoktur. Belgenin sonunda iki tablo var. Sadece bir satır veriyoruz Ekler 1 numarası..

Gerçek tehdit:

1.1. Kontrollü bölgede bulurken saldırı.

Yokluğun gerekçesi (liste biraz azaltılır):

1. kullanıcılar tarafından çalışan çalışanlar, SCJI kullanıcıları tarafından değil, PM'deki çalışma kuralları ve bilgi güvenliği kurallarına uyulmaması için sorumluluk hakkında bilgilendirilir;
2. kullanıcılar SKZZI, koddaki çalışma kuralları, SCJ ile çalışma kuralları ve bilgi güvenliğini sağlamak için kurallara uymamak için sorumluluk kuralları hakkında bilgi verir;
3. skzi'nin bulunduğu odalar, kilitleri olan giriş kapıları ile donatılmıştır, kalede binaların kapılarının sürekli kapatılmasını sağlar ve yalnızca onaylanmış bir geçiş için açılışları;
4. sPJ'lerin çalışma ve çalışma dışı zamanların yanı sıra acil durumlarda olduğu gibi, SPJ'lerin bulunduğu tesislere erişim kurallarını onayladı;
5. sKZI'nin bulunduğu tesislere erişme hakkına sahip kişilerin bir listesini onayladı;
6. korunan kaynaklara kullanıcı erişiminin bir ayrımı ve kontrolü vardır;
7. pDN ile kullanıcı işlemlerinin kayıt ve muhasebesi gerçekleştirilir;

8. aWP'de ve Scji'nin kurulduğu sunucularda:

   yetkisiz erişimden gelen bilgileri korumanın onaylı araçları;
9. sertifikalı anti-virüs koruma araçları kullanılır.

Yani, kullanıcıların kurallar ve sorumluluklar hakkında bilgilendirilirse ve koruma önlemleri uygulanırsa, ortaya çıkıyor ve endişelenir.

• kişisel verilerin güvenliğini sağlamak için, işlendiklerinde kayak, öngörülen şekilde, uygunluk değerlendirme prosedürüne geçen öngörülen şekilde kullanılmalıdır.

Doğru, biraz daha sonra sertifikalı SPJ'lerin listesinin TSLS FSB web sitesinde bulunabileceğini belirtir. Uygunluk değerlendirmesinin sertifikasyon olmadığı gerçeği, defalarca söylendi.

• sPJU'nun öngörülen şekilde uygunluğunu değerlendirme prosedürünün olmaması durumunda ... harici bir projeksiyon veya eskiz (dertleme-teknik) projesinin aşamasında, bilgi sisteminin geliştiricisi operatörün katılımıyla (yetkili) kişi) ve iddia edilen SCJO geliştiricisi, yeni bir SCJ tipinin tasarımı için gerekçeyi hazırlıyor ve işlevsel özelliklerinin gereksinimlerini tanımlar.

Gerçekten mutlu ediyor. Gerçek şu ki sertifika İşlem çok uzundur - altı ay ve daha fazlasına kadar. Genellikle müşteriler, sertifikalı bir sürüm tarafından desteklenmeyen en son işletim sistemini kullanır. Bu belgeye göre, müşteriler ürünleri sertifikasyon sürecinde kullanabilirler.

Belge şunları gösterir:

Bunların üzerine geçirilen ve (veya) yetkisiz etkilerin uygulanamayacağı, bilgi sistemlerinin genel açıklaması ile birlikte, (veya), (veya) ile ilgili korumalı bilgileri engellemek mümkün olmayan iletişim kanallarını (satır) kullanırken, aşağıdakileri göstermek için gereklidir:

1. bu kanalların kendilerine izinsiz erişiminden korunması için yöntem ve yöntemlerin açıklaması;
2. sonuçlar, bu kanalların güvenliği (satırlar) iletişimin sağlanmasının sonuçlarına göre, bu sonuçları içeren belgeye atıfta bulunarak bu tür çalışmaları yürütme hakkına sahip olan bir organizasyon olan bir organizasyonun, bunlara yetkisiz iletişimin yetkisiz erişiminden izinsiz erişimin sonuçlarına göre.

işlenen kişisel veriler için sağlanması gereken güvenlik özellikleri (gizlilik, bütünlük, kullanılabilirlik, orijinallik);

her alt siste veya bilgi sisteminde, kablo sistemleri dahil olmak üzere tüm kanallar (hatlar) ve bu bağlantılar (satırlar) üzerinden iletilen bu bağlantılar (satırları) iletilen iletişim kanallarını (satırlar) gösteren korumalı bilgilere izin veren tüm kanallar halinde kullanılır. Üzerinde iletilen korumalı bilgiye izinsiz erişim imkansız ve bu kalite ölçüsünü sağlamak için uygulanmıştır;

bilgi sisteminin her bir alt sisteminde veya bilgi sisteminde bir bütün olarak kullanılan korunan bilgilerin ortamı (bağlantı kanalları (satırlar).

Bilgi sistemlerinin tasarımındaki bilgilerin güvenlik gereksinimlerinde, özellikler, uygulamalı araçların bilgi koruması için karakterizasyonunu gösterir. Bilgi güvenliği alanında, özellikle FSTEC ve Rusya FSB'sinde çeşitli düzenleyici eylemleri ile tanımlanırlar. Hangi korumalı sınıflar, türleri ve koruma türleri ve bu konuda daha fazla bilgi edinileceği, makaleye yansıyan.

Giriş

Günümüzde, bilgi güvenliği konuları dikkat çekiyor, çünkü evrensel olarak uygulanan teknoloji bilgi güvenliği sağlamadan yeni ciddi bir sorun kaynağı haline geliyor.

Durumun ciddiyeti Rusya FSB tarafından bildirilmektedir: Dünya çapında birkaç yıl boyunca davetsiz misafirlerin neden olduğu hasar miktarı 300 milyar dolara 1 trilyon dolara ulaşmıştır. Rusya Federasyonu Prosecterier tarafından sağlanan bilgilere göre, sadece 2017'nin Rusya'daki ilk yarısı için, yüksek teknoloji suçlarının sayısı altı kez arttı, toplam hasar 18 milyon doları aştı. Endüstriyel hedef saldırıların büyümesi 2017 yılında sektör dünya çapında işaretlenmiştir. Özellikle, Rusya'da, 2016 ile ilgili saldırıların sayısındaki artış% 22'dir.

Bilgi teknolojileri, askeri-siyasi, terörist amaçlarla, egemen devletlerin iç işlerine müdahale etmek ve diğer suçlar işlemek için silah olarak kullanılmaya başlandı. Rusya Federasyonu, bir uluslararası bilgi güvenliği sisteminin oluşturulmasını savunuyor.

Rusya Federasyonu topraklarında, Bilgi Sahipleri ve Bilgi Sistemi Operatörleri, bilgiye izinsiz erişim girişimlerini engellemenin yanı sıra BT altyapısı güvenlik durumunun durumunu kalıcı olarak izlemesi gerekmektedir. Aynı zamanda, bilgilerin korunması, teknik de dahil olmak üzere çeşitli önlemlerin benimsenmesi ile sağlanır.

Bilgi Koruma Araçları veya Qi, bilgi sistemlerdeki bilgilerin korunmasını sağlar, aslında bilgi veritabanları, işlenmesini ve teknik araçları sağlayan bilgi teknolojilerinde bir dizi bilgidir.

Modern bilgi sistemleri için, çeşitli donanım ve yazılım platformlarının kullanımı, bileşenlerin bölgesel dağılımı, ayrıca açık veri iletim ağlarıyla etkileşimin yanı sıra karakterizedir.

Bu şartlarda bilgi nasıl korunur? İlgili gereklilikler yetkili kuruluşlar tarafından, özellikle FSTEC ve Rusya FSB tarafından uygulanmaktadır. Makalenin bir parçası olarak, belirtilen düzenleyicilerin gereksinimlerini göz önünde bulundurarak SZI sınıflandırmasına ana yaklaşımları yansıtmaya çalışacağız. SZI sınıflandırmasını tanımlamanın diğer yolları, Rus bölümlerinin yasal belgelerine yansıtılan yabancı kuruluşlar ve ajansların yanı sıra, bu makalenin kapsamının ötesine geçmez ve dikkate alınmaz.

Makale, Acemi Bilgi Güvenlik Uzmanları, SZI'yi Rusya'nın (daha fazla) ve Rusya'nın FSB'sinin FSB'sinin gereklilikleri doğrultusunda SZI'yi sınıflandırma yöntemleri hakkında yapılandırılmış bir bilgi kaynağı olarak faydalı olabilir.

IB'nin abartografik yöntemlerini sağlamak için prosedürü ve koordinasyon eylemlerini belirleyen yapı, Rusya'nın FSTEC'sidir (önceki - Devlet Teknik Komisyonu, Devlet Genel Komisyonu Başkanı Devlet Teknik Komisyonu).

Okuyucu, Rusya'nın FSTEC'sini oluşturan bilgilerin korunması için Sertifikalı Araçların Devlet Kayıtlarını Görmesi Gerekenlerse, Kesinlikle SGK'yı "RD SVT Sınıfı) olarak tanımlayıcı bir kısmındaki "," NDV eksikliği ", vb. (Şekil 1).

Şekil 1. Kayıt Defteri Sertifikalı Fragmanı ЗИ

Kriptografik Bilgi Koruma Araçlarının Sınıflandırılması

Rusya'nın FSB'si şifreleme SZI sınıflarını tanımlamıştır: KS1, KS2, KS3, KV ve KA.

SZIN sınıfının KS1'in temel özellikleri, kontrol edilen bölgenin dışından yürütülen saldırılarla karşılaşmalarını içerir. Aynı zamanda, saldırı yöntemlerinin yaratılmasının, hazırlık ve davranışlarının, şifreleme SZI geliştirme ve analiz etme alanındaki uzmanların katılımı olmadan yapılması gerektiği anlaşılmaktadır. Belirtilen QI'nin açık kaynaklardan elde edilebileceği sistem hakkındaki bilgilerin olduğu varsayılmaktadır.

Şifreleme Qi, CS1 sınıf tesisleri tarafından engellenen saldırılara ve kontrollü bölge içinde yürütülen saldırılara dayanırsa, böyle bir Siz CO2 sınıfına karşılık gelir. Aynı zamanda, örneğin bir saldırı hazırlarken, bilgi sistemlerinin korunması için fiziksel önlemler hakkında bilgi verilebilecek, kontrollü bir bölge vb.

Mümkünse, kurulan kriptografik SZI ile hesaplama teknolojisi araçlarına fiziksel erişimin varlığında yüzleşecek saldırılar, böyle bir CO3 sınıfının uyumluluğunu konuşuyor.

Kriptografik Qi'nin saldırılara karşı çıkması durumunda, araştırma merkezleri de dahil olmak üzere, bu fonların geliştirilmesi ve analizi alanında uzmanlar yaratırsa, laboratuvar araştırma araçlarını yürütme olasılığı vardı, o zaman SQ sınıfına uygunluk.

Sistem yazılımının kullanımı alanındaki uzmanlar, saldırıların yöntemlerinin geliştirilmesine ilerlerse, ilgili tasarım dokümantasyonu mevcuttu ve kriptografik SZI'nin herhangi bir donanım bileşenine erişim vardı, bu tür saldırılara karşı koruma sınıf için fon sağlayabilir. .

Elektronik İmza Korumasının Sınıflandırılması

Elektronik İmza, saldırıları karşılaşabilme yeteneğine bağlı olarak, aşağıdaki sınıflarla karşılaştırmak için gelenekseldir: KS1, KS2, KS3, KV1, KV2 ve KA1. Bu sınıflandırma, yukarıda belirtilen kriptografik SZI'ye benzer.

sonuç

Makale, BİLGİ KONTROLÜ Regülatörlerinin düzenleyici çerçevesini oluşturan Rusya'da SZI'yi sınıflandırmanın bazı yollarını kapsıyor. Kredi sınıflandırma seçenekleri ayrıntılı değildir. Bununla birlikte, gönderilen özet bilgilerin, Acemi uzmanının IB alanındaki Acemi uzmanının daha hızlı olmasına izin vereceğini umuyoruz.

Yorumlar ...

Alexey, iyi günler!
8. merkezin cevabında, tam olarak sertifikalı SCJ kullanması gerekliliği hakkında hiçbir şey belirtilmemiştir. Ancak sonuçta, Rusya FSB'nin 8. merkezinin 8.03.2015 tarihinden itibaren 8.03.2015 tarihinden itibaren 8.03.2015 tarihinden itibaren 8.03.2015 sayılı bir paragraf olduğu "metodik öneriler ..." var. ikinci kısım:

Kişisel verilerin güvenliğini sağlamak için, işlendiklerinde kayak, öngörülen şekilde, uygunluk değerlendirme prosedürüne geçen öngörülen şekilde kullanılmalıdır. Rusya'nın resmi web sitesinde yayınlanan, Rusya'nın resmi web sitesinde yayınlanan Scji'nin listesi, Rusya'nın FSB'nin FSB'nin (www.clsz.fsb.ru) 'nin devlet sırlarının korunması. Belirli bilgi koruma fonlarına ilişkin ek bilgiler, doğrudan bu fonların geliştiricilerinden veya üreticilerinden elde edilmesi önerilir ve gerekirse, bu fonların tematik çalışmalarını yapan uzman kuruluşlardan;

Bu sertifikalı SCJ kullanmanın gerekliliği nedir?

10 Temmuz 2014 No'lu Rusya'nın FSB'nin bir emri var, burada Clause 5'in "G" subparagrafında belirtilen: "Gereksinimlerine uyumu değerlendirme prosedürünü geçen bilgi koruma araçlarının kullanılması. Bilgi güvenliği alanındaki Rusya Federasyonu'nun mevzuatı, bu tür fonların kullanımının mevcut tehditleri etkisiz hale getirmek için gerekli olduğu durumlarda. "

Bunu biraz kafa karıştırıcı "Bu tür fonların kullanımı, mevcut tehditleri etkisiz hale getirmek için gerekli olduğunda." Ancak, tüm bu ihtiyacı, talimat modelinde açıklanmalıdır.

Ancak bu durumda, 3 "metodik öneriler ..." bölümünde, 2015'ten itibaren "iletişimin bağlantılarını (satırları) kullanırken, bunlarla), bunlarla (veya veya) içinde iletilmesine izin verilmediği belirtilir. Yetkisiz etkilerin bu bilgiyi imkansızdır, bilgi sistemlerinin genel açıklaması ile, belirtilmesi gerekir:
- Bu kanalların kendilerine izinsiz erişiminden korunması için yöntem ve yöntemlerin açıklaması;
- Bu, bu kanalların (satırlar) iletişimin araştırılmasının sonuçlarına dayanarak, bu sonuçları içeren belgeye referansla, bu sonuçları içeren belgeye atıfta bulunarak, bu tür bir araştırma yapma hakkına sahip korunan bilgileri yetkisiz erişimin araştırılmasının sonuçlarına dayanmaktadır. "

Bütün bunlara sahibim - evet, PD işlemenin güvenliğini sağlarken her zaman ve her yerde SKZI kullanmaya gerek yoktur. Ancak bunun için, hepsinin açıklandığı ve ispatlandığı bir ihlal edici modeli oluşturmanız gerekir. Kullanmanız gerektiğinde iki dava hakkında yazdı. Ancak, açık iletişim kanallarında PD işlemenin güvenliğini sağlamak veya bu PDS'nin işlenmesi kontrol edilen bölgenin sınırlarının ötesine geçerse, sertifikalı olmayan SCJI kullanabilirsiniz - her şey çok basit değildir. Ve sertifikalı Skzji'yi kullanmanın daha kolay olması ve katılımsız yollardan yararlanmaktan ve depolanırken, böyle bir durumu gören bir regülatörle birlikte çalıştırılırken ve depolanırken tüm gereksinimlere uyması olabilir.

Bilinmeyen yorumlar ...

Mevcut tehditlerin etkisiz hale getirilmesi için bu tür fonların kullanılması gerektiğinde açık: 11 Şubat 2013 sayılı Rusya'nın FSTEC'in Siparişinin Gerekliliği (Devlet ve Munitz için şartlar. Caiden),

madde 11. Bilgi sisteminde yer alan bilgilerin korunmasını sağlamak için, Federal Hukukun 5. Maddesi'ne uygun olarak, bilgi güvenliği için gerekliliklere uygunluk için zorunlu sertifika biçiminde uygunluk değerlendirmesini tamamlayan bilgileri korumanın araçları. 27 Aralık 2002 No. 184-FZ "Teknik Düzenleme."

Alexey Lukatsky Yorumlar ...

Proximo: Yasadışı FSB'nin önerileri. 378. Sipariş Legitimen, ancak tüm mevzuat bağlamında düşünülmeli ve uyumluluk değerlendirmesinin özelliklerinin Hükümet veya Başkan tarafından belirlendiğini söylüyor. Hiçbiri, ne bu tür başka bir NPU'lar verildi

Alexey Lukatsky Yorumlar ...

Anton: Devlette, sertifika gereksinimi kanunla kuruldu, 17. sipariş sadece onları tekrarlar. Ve pdn hakkında konuşuruz

Bilinmeyen yorumlar ...

Alexey Lukatsky: Yasadışı "Nasıl Yasa Ediyor? 19.05.2015'ten itibaren belge hakkındadır. №149 / 7/2 / 6-432 (http://www.fsb.ru/fsb/science/single.htm) ! ID% 3D10437608% 40fsbrersearchart.html), ancak 21.02.2008 No. 149 / 54-144 numaralı belgeler hakkında değil.

Başka bir uzman da daha önce FSB'ye benzer bir konuda bir talep istedi ve "metodoloji ..." ve "öneriler ...", 2008'den itibaren FSB'nin bu belgelerden bahsediyorsanız kullanılmamalıdır. Ancak yine - resmi olarak bu belgeler iptal edilmedi. Ve bu belgeler meşru ya da değil, muayene sırasında zaten yerinde FSB tarafından çözüleceğini varsayalım.

Yasa, PD'yi korumanın gerekli olduğunu söylüyor. Bölgesel hükümetten, FSB, FSTEC, onları tam olarak nasıl korunacağını belirler. FSB'den NPA'da, "Sertifikalı bir şekilde kullanın. Sertifikalı bir tane istemiyorsanız, kullanabileceğinizi kanıtlayın ve nazik olun - bunu doğru bir lisansa sahip olan şirketten bir sonuç çıkarın. bu tür sonuçları vermek. " Böyle bir şey ...

Alexey Lukatsky Yorumlar ...

1. Herhangi bir öneri bir öneridir ve zorunlu gereklilik değildir.
2. 2015 yılının metodolojisi PD operatörleri ile ilgili değildir - alt kurumlar için tehdit modelleri yazan devletleri ifade eder (istem 1 dahil).
3. FSB, PDN'lerin ticari operatörlerini kontrol etme hakkına sahip değildir ve devletler için sertifikalı olmayan SCJ kullanımı sorusu ve PDS'nin kullanılabilirliği ne olursa olsun, sertifikalı kararlar uygulamak zorundadırlar. - Bunlar FZ-149'un gereksinimleridir.
4. Yaz eylemleri nasıl korunacağını ve bunun normal olduğunu söylüyor. Ancak koruma araçlarının resmi değerlendirmesi belirlenemez - bu sadece hükümetin veya Başkanın NPU'su tarafından yapılabilir. FSB bunu yapmaya yetkili değil

Bilinmeyen yorumlar ...

Kararname 1119 uyarınca:

4. Kişisel veri koruma sistemi için bilgi koruma araçlarının seçimi, operatör tarafından, Rusya Federasyonu'nun Federal Güvenlik Hizmeti tarafından kabul edilen yasal yasal eylemlere ve teknik ve ihracat kontrolü için Federal Hizmeti tarafından kabul edilen yasal yasal eylemlere uygun olarak gerçekleştirilir. "kişisel verilerde" federal hukukun.
13.G. Bilgi güvenliği alanındaki Rusya Federasyonu'nun mevzuatının gereksinimlerine uygunluğu değerlendirme prosedürünü kullanan bilgi koruma araçlarının kullanımı, bu tür fonların kullanımının, mevcut tehditleri etkisiz hale getirmek için gerekli olduğu durumlarda.

PDN'lerin kanal operatör kanalları aracılığıyla iletim yaparken tehdidin alaka düzeyini değil nasıl haklı çıkarılır?

Şunlar. SPI değilse, sonra görünüşte
- Terminal erişim ve ince müşteriler, ancak aynı zamanda SZI terminali verileri
erişim sertifikalı olmalıdır.
- Kanalların iletişim operatörü ile korunması, Telekom operatöründe sorumluluk (sağlayıcı).

Alexey Lukatsky Yorumlar ...

İşbirsuzluk, operatörü belirler ve bunun için kimseyi gerekli değildir.