Menü
ücretsiz
kayıt
ev  /  sorunlar/ Kişisel veriler üzerinde planlanmış bir FSB kontrolüne nasıl hazırlanılır? Sertifikalı kriptografik bilgilerin kullanımı - FSB'nin bakış açısı FSB bilgilerinin kriptografik korunması anlamına gelir.

Kişisel veriler üzerinde planlanmış bir FSB kontrolüne nasıl hazırlanılır? Sertifikalı kriptografik bilgilerin kullanımı - FSB'nin bakış açısı FSB bilgilerinin kriptografik korunması anlamına gelir.

Kullanmak kriptografik araçlar koruma (CIPF) konusu çok tartışmalı ve kaygandır. Ancak, PD Operatörü, fiili tehditler durumunda koruma sağlamak için CIPF'yi uygulama hakkına sahiptir. Ancak bu hakkın nasıl kullanılacağı her zaman açık değildir. Ve şimdi FSB hayatı kolaylaştırıyor, hem devlet IS hem de diğer tüm PD Operatörleri için geçerli olan bir metodolojik tavsiyeler belgesi yayınlandı. Bu belgeye daha yakından bakalım.

Ve böylece oldu, FSB'nin 8. Merkezi yayınladı PD'nin korunması için düzenleyici yasal düzenlemelerin geliştirilmesi alanındaki tavsiyeleri açıklayan. Aynı zamanda, özel tehdit modelleri geliştirirken ISPD operatörleri tarafından da aynı belgenin kullanılması tavsiye edilmektedir.


Peki FSB, CIPF'nin nasıl ve nereye uygulanacağı konusunda ne düşünüyor?


yeterince önemli ki bu belge sadece FSB web sitesinde yayınlanan,kaydı yokAdalet Bakanlığında veimzası yokve- yani, yasal önemi ve bağlayıcılığı yönergeler dahilinde kalır. Bunu hatırlamak önemlidir.


İçine bakalım, belgenin önsözü bu tavsiyeleri tanımlar. "Federal yürütme makamları için ... diğer devlet organları ... için kişisel verilerin işlenmesiyle ilgili kişisel verilerin güvenliğine yönelik tehditleri tanımlayan düzenleyici yasal düzenlemeleri kabul eden ... bilgi sistemi ilgili faaliyet türleri sırasında kullanılan kişisel verilerin (bundan böyle ISPD olarak anılacaktır)”. Onlar. devlet bilgi sistemlerine açık bir gönderme yapılır.



Bununla birlikte, aynı zamanda, bu aynı normların “geliştirme tarafından yönlendirilmesi de tavsiye edilir. özel tehdit modelleri fon kullanımına karar vermiş olan kişisel veri bilgi sistemleri operatörleri kriptografik koruma bilgi(bundan böyle CIPF olarak anılacaktır) kişisel verilerin güvenliğini sağlamak”. Onlar. bu durumda belge tüm kullanıcılar için evrensel hale gelir.



SKZI kullanmak ne zaman gereklidir?


Kişisel verilerin güvenliğini sağlamak için CIPF kullanımı aşağıdaki durumlarda gereklidir:

  1. kişisel veriler kanuna uygun olarak kriptografik korumaya tabi ise Rusya Federasyonu;
  2. bilgi sisteminde yalnızca CIPF yardımıyla etkisiz hale getirilebilecek tehditler varsa.
    3.

  1. kişisel verilerin, onlar aracılığıyla iletilen bilgilerin suçlu tarafından ele geçirilmesinden veya bu bilgiler üzerindeki yetkisiz etkilerden korunmayan iletişim kanalları üzerinden aktarılması (örneğin, kişisel verilerin kamuya açık bilgi ve telekomünikasyon ağları üzerinden aktarılması sırasında);
  2. kişisel verilerin depolama ortamında saklanması, Yetkisiz Erişim suçlunun kriptografik olmayan yöntemler ve yöntemler kullanılarak hariç tutulamayacağı.

İşte biz de oraya geliyoruz. İkinci nokta da oldukça mantıklıysa, ilki o kadar açık değildir. Gerçek şu ki, "Kişisel Veriler Üzerine" kanunun mevcut versiyonuna göre adı, soyadı ve patronimik zaten kişisel verilerdir. Buna göre, sitedeki herhangi bir yazışma veya kayıt (kayıt sırasında artık ne kadar veriye ihtiyaç duyulduğu dikkate alınarak) resmi olarak bu tanımın kapsamına girer.



Ancak dedikleri gibi, istisnasız hiçbir kural yoktur. Belgenin sonunda iki tablo vardır. İşte sadece bir satır Uygulamalar #1.



Mevcut tehdit:

1.1. kontrollü bölge içindeyken bir saldırı gerçekleştirmek.

Devamsızlık nedeni (liste biraz kısaltılmıştır):

  1. ISPD kullanıcısı olan ancak CIPF kullanıcısı olmayan çalışanlar, ISPD'deki çalışma kuralları ve bilgi güvenliğinin sağlanmasına yönelik kurallara uyulmaması durumundaki sorumluluklar konusunda bilgilendirilir;
  2. CIPF kullanıcıları, ISPD'deki çalışma kuralları, CIPF ile çalışma kuralları ve bilgi güvenliğinin sağlanmasına yönelik kurallara uyulmaması durumundaki sorumluluklar hakkında bilgilendirilir;
  3. kriptografik bilgi koruma sisteminin bulunduğu binaların kilitli giriş kapıları ile donatılması, bina kapılarının kalıcı olarak kilitlenmesini ve sadece izin verilen geçiş için açılmasını sağlamak;
  4. CIPF'nin bulunduğu tesislere, çalışma ve çalışma saatleri dışında ve ayrıca acil durumlarda erişim kurallarını onayladı;
  5. CIPF'nin bulunduğu tesislere erişim hakkına sahip kişilerin listesi onaylandı;
  6. korunan kaynaklara kullanıcı erişiminin farklılaşması ve kontrolü;
  7. PD ile kullanıcı eylemlerinin kaydı ve muhasebeleştirilmesi;

  8. CIPF'nin kurulu olduğu iş istasyonları ve sunucularda:

    bilgileri yetkisiz erişimden korumak için sertifikalı araçlar kullanılır;
  9. sertifikalı anti-virüs koruma araçları kullanılmaktadır.

Yani kullanıcılar kurallar ve sorumluluklar hakkında bilgilendirilir ve koruma önlemleri uygulanırsa endişelenecek bir şey olmadığı ortaya çıkıyor.



  • Kişisel verilerin ISPD'de işlenmesi sırasında güvenliğini sağlamak için, uygunluk değerlendirme prosedürünü öngörülen şekilde geçen CIPF kullanılmalıdır.

Doğru, TsLSZ FSB'nin web sitesinde sertifikalı kriptografik bilgi koruma araçlarının bir listesinin bulunabileceğinin biraz daha düşük olduğunu söylüyor. Uygunluk değerlendirmesinin belgelendirme olmadığı defalarca söylendi.


  • bir ön tasarım veya taslak (eski-teknik) tasarım aşamasında, yerleşik prosedüre uygun olarak geçen CIPF uygunluk değerlendirme prosedürlerinin yokluğunda, operatörün katılımıyla bilgi sistemi geliştiricisi (yetkili kişi) ve önerilen CIPF geliştiricisi, yeni bir CIPF türü geliştirmenin uygunluğu için bir gerekçe hazırlar ve işlevsel özellikleri için gereksinimleri belirler.

Gerçekten memnun ediyor. Gerçek şu ki sertifika süreç çok uzun - altı aya kadar veya daha fazla. Müşteriler genellikle sertifikalı sürüm tarafından desteklenmeyen en son işletim sistemlerini kullanır. Bu belgeye göre müşteriler, belgelendirme sürecinde olan ürünleri kullanabilirler.



Belgede şunlar belirtiliyor:

Kendileri aracılığıyla iletilen korunan bilgileri engellemenin imkansız olduğu ve (veya) bu bilgiler üzerinde yetkisiz eylemler gerçekleştirmenin imkansız olduğu iletişim kanallarını (hatlarını) kullanırken, bilgi sistemlerinin genel tanımında, belirtmek:

  1. bu kanalları yetkisiz erişime karşı koruma yöntemlerinin ve araçlarının tanımı;
  2. Bu iletişim kanallarının (hatlarının) güvenliğine ilişkin çalışmaların sonuçlarına dayanarak, bu sonuçları içeren belgeye atıfta bulunarak, bu tür çalışmaları yürütmeye yetkili bir kuruluş tarafından bunlar aracılığıyla iletilen korunan bilgilere yetkisiz erişimden elde edilen sonuçlar.
    3.


  • işlenen kişisel veriler için sağlanması gereken güvenlik özellikleri (gizlilik, bütünlük, kullanılabilirlik, özgünlük);
  • dahil olmak üzere her bir alt sistemde veya bir bütün olarak bilgi sisteminde kullanılan iletişim kanalları (hatları) kablo sistemleri ve bu iletişim kanalları (hatlar) aracılığıyla iletilen korunan bilgilere yetkisiz erişimi sınırlamak için önlemler, bunlar aracılığıyla iletilen korunan bilgilere yetkisiz erişimin mümkün olmadığı iletişim kanallarını (hatlar) belirtmek ve bu kaliteyi sağlamak için uygulanan önlemler;
  • bilgi sisteminin her bir alt sisteminde veya bir bütün olarak bilgi sisteminde kullanılan korunan bilgi ortamı (iletişim kanalları (hatlar) hariç).

    • yorum yapılıyor...

    Alexey, iyi günler!
    8. Merkezin yanıtında, sertifikalı kriptografik bilgi koruma araçlarının kullanılması gerekliliği hakkında hiçbir şey belirtilmemiştir. Ancak, ikinci paragrafta böyle bir paragrafın bulunduğu 31 Mart 2015 tarih ve 149/7/2/6-432 sayılı Rusya FSB 8. Merkezi liderliği tarafından onaylanan "Metodolojik öneriler ..." var. Bölüm:

    Kişisel verilerin ISPD'de işlenmesi sırasında güvenliğini sağlamak için, uygunluk değerlendirme prosedürünü öngörülen şekilde geçen CIPF kullanılmalıdır. Rusya FSB'si tarafından onaylanan CIPF listesi, Rusya FSB'sinin Devlet Sırlarını Lisanslama, Sertifikasyon ve Koruma Merkezi'nin (www.clsz.fsb.ru) resmi web sitesinde yayınlanmaktadır. Ek bilgi belirli bilgi güvenliği araçları hakkında doğrudan bu araçların geliştiricilerinden veya üreticilerinden ve gerekirse bu araçlarla ilgili vaka çalışmaları yürüten uzman kuruluşlardan bilgi alınması önerilir;

    Bu neden sertifikalı CIPF kullanmak için bir gereklilik değil?

    Rusya FSB'nin 10 Temmuz 2014 tarih ve 378 sayılı, paragraf 5'in "d" alt paragrafının şunları belirttiği bir emri vardır: "mevzuatın gerekliliklerine uygunluğu değerlendirme prosedürünü geçen bilgi güvenliği araçlarının kullanımı Rusya Federasyonu'nun bilgi güvenliği alanında, mevcut tehditleri etkisiz hale getirmek için bu tür araçların kullanılmasının gerekli olduğu durumlarda."

    Bu, "gerçek tehditleri etkisiz hale getirmek için bu tür araçların kullanılması gerektiğinde" biraz kafa karıştırıcıdır. Ancak tüm bu gereklilik, davetsiz misafir modelinde açıklanmalıdır.

    Ancak bu durumda, yine, 2015 tarihli "Metodolojik öneriler ..." Bölüm 3'te, "üzerlerinden iletilen korunan bilgileri engellemenin imkansız olduğu iletişim kanallarını (hatlarını) kullanırken ve (veya) belirtilmektedir. ) bu bilgilere yetkisiz eylemlerde bulunmanın imkansız olduğu durumlarda, bilgi sistemlerinin genel tanımında şunları belirtmek gerekir:
    - bu kanalları yetkisiz erişime karşı koruma yöntemlerinin ve araçlarının tanımı;
    - bu iletişim kanallarının (hatlarının) güvenliğine ilişkin çalışmaların sonuçlarına dayanan, bu sonuçları içeren belgeye atıfta bulunarak, bu tür çalışmaları yürütmeye yetkili bir kuruluş tarafından iletilen korunan bilgilere yetkisiz erişimden elde edilen sonuçlar.

    Her şey için varım - evet, kişisel verilerin işlenmesinin güvenliğini sağlarken her zaman ve her yerde kriptografik bilgi korumasını kullanmaya gerek yoktur. Ancak bunun için, tüm bunların tanımlandığı ve kanıtlandığı bir ihlalci modeli oluşturmak gerekir. Kullanmanız gerektiğinde iki vaka hakkında yazdınız. Ancak, açık iletişim kanalları üzerinden PD'nin işlenmesinin güvenliğini sağlamak için veya bu PD'lerin işlenmesi kontrol edilen bölgenin sınırlarını aşıyorsa, sertifikalı olmayan kriptografik bilgi koruma araçlarını kullanabilirsiniz - bu o kadar basit değil. Ve sertifikalı kriptografik bilgi koruma tesislerini kullanmak ve işletme ve depolama sırasında tüm gerekliliklere uymak, böyle bir durumu görünce çok deneyecek olan düzenleyici ile sertifikasız araçlar ve dipnotlar kullanmaktan daha kolay olabilir. burnunu sokmak.

    bilinmeyen yorumlar...

    Mevcut tehditleri etkisiz hale getirmek için bu tür araçların kullanılmasının gerekli olduğu durum: 11 Şubat 2013 tarih ve 17 sayılı Rusya FSTEC Emrinin gerekliliği (devlet ve belediye ISPD'leri için gereklilikler),

    madde 11. Bilgi sisteminde yer alan bilgilerin korunmasını sağlamak için, 184-FZ sayılı Federal Yasanın 5. Maddesi uyarınca bilgi güvenliği gereksinimlerine uygunluk için zorunlu sertifika şeklinde uygunluk değerlendirmesini geçen bilgi güvenliği araçları kullanılır. 27 Aralık 2002 tarihli "Teknik düzenleme hakkında".

    Alexey Lukatsky'nin yorumları...

    Proximo: FSB tavsiyeleri meşru değildir. 378 sayılı Emir meşrudur, ancak tüm mevzuat bağlamında değerlendirilmesi gerekir ve uygunluk değerlendirmesinin özelliklerinin Hükümet veya Başkan tarafından belirlendiğini söyler. Ne biri ne de diğeri bu tür NPA t serbest bırakmadı

    Alexey Lukatsky'nin yorumları...

    Anton: eyalette, sertifika şartı kanunla belirlenir, 17. sıra basitçe onları tekrarlar. Ve biz PDN'den bahsediyoruz

    bilinmeyen yorumlar...

    Alexey Lukatsky: Hayır. FSB tavsiyeleri meşru değil "Ne kadar gayri meşru? 19/05/2015 tarihli %40fsbResearchart.html sayılı belgeden bahsediyorum ama 21 Şubat 2008 tarih ve 149/54- sayılı belgeden değil. 144.

    Daha önce başka bir uzman da benzer bir konuda FSB'ye talepte bulunmuş ve kendisine bu belgelerden bahsediyorsanız FSB'nin 2008 tarihli "Metodolojisi..." ve "Tavsiyeleri..."nin kullanılmaması gerektiği söylenmiştir. . Ama yine, bu belgeler resmi olarak iptal edilmedi. Ve bu belgelerin meşru olup olmadığına, teftiş sırasında zaten FSB'den gelen müfettişlerin karar vereceğine inanıyorum.

    Kanun, PD'yi korumanız gerektiğini söylüyor. Hükümetin, FSB'nin ve FSTEC'in yönetmelikleri, bunların nasıl korunmaları gerektiğini tam olarak belirler. FSB'den NPA şöyle diyor: "Sertifikalı kullanın. Sertifikalı istemiyorsanız, kullanabileceğinizi kanıtlayın. Ve lütfen buna, bu tür sonuçları yayınlamak için lisansı olan bir şirketten bir sonuç ekleyin." Bunun gibi bir şey...

    Alexey Lukatsky'nin yorumları...

    1. Herhangi bir tavsiye, zorunlu bir gereklilik değil, bir tavsiyedir.
    2. 2015 kılavuzu, PD operatörleriyle ilgili değildir - alt kuruluşlar için tehdit modelleri yazan devletlere atıfta bulunur (1. maddeye tabi).
    3. FSB'nin, PD'nin ticari operatörleri üzerinde kontrol yapma hakkı yoktur ve hükümetler için, onaylanmamış kriptografik bilgi koruması kullanma konusu buna değmez - PD'nin varlığından bağımsız olarak sertifikalı çözümler kullanmaları gerekir - bunlar FZ-149'un gereksinimleridir.
    4. Yönetmelikler nasıl korunacağını söylüyor ve bunda bir sorun yok. Ancak, çözüm yollarının değerlendirilme biçimini belirleyemezler - bu yalnızca Hükümetin NPA'sı veya Cumhurbaşkanı tarafından yapılabilir. FSB'nin bunu yapmaya yetkisi yok

    bilinmeyen yorumlar...

    Yönetmelik 1119'a göre:

    4. Kişisel veri koruma sistemi için bilgi güvenliği araçlarının seçimi, kabul edilen düzenleyici yasal düzenlemelere uygun olarak operatör tarafından gerçekleştirilir. Federal Hizmet Rusya Federasyonu'nun Güvenliği ve "Kişisel Veriler Hakkında" Federal Kanunun 19. Maddesinin 4. Bölümü uyarınca Teknik ve İhracat Kontrolü Federal Servisi.
    13.y. Mevcut tehditleri etkisiz hale getirmek için bu tür araçların kullanılmasının gerekli olması durumunda, bilgi güvenliği alanındaki Rusya Federasyonu mevzuatının gerekliliklerine uygunluğu değerlendirme prosedürünü geçen bilgi güvenliği araçlarının kullanımı.

    Bir telekom operatörünün kanalları aracılığıyla PD aktarırken tehdidin alakasızlığı nasıl gerekçelendirilir?

    Onlar. SKZI değilse, görünüşe göre
    - terminal erişimi ve ince istemciler, ancak aynı zamanda terminalin bilgi güvenlik sisteminin verileri
    erişim sertifikalı olmalıdır.
    - telekom operatörü tarafından kanalların korunması, telekom operatörünün (sağlayıcı) sorumluluğu.

    Alexey Lukatsky'nin yorumları...

    Alakasızlık operatör tarafından belirlenir ve bunun için kimseye ihtiyacı yoktur.

    Kayıt N 33620

    27 Temmuz 2006 tarihli Federal Yasanın 19. Maddesinin 4. Kısmı uyarınca N 152-FZ "Kişisel Veriler Üzerine" 1 Emrediyorum:

    Kişisel verilerin korunması için Rusya Federasyonu Hükümeti tarafından belirlenen gereklilikleri yerine getirmek için gerekli kriptografik bilgi koruma araçlarını kullanarak kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için ekteki kurumsal ve teknik önlemlerin kapsamını ve içeriğini onaylayın güvenlik seviyelerinin her biri için.

    Yönetmen A. Bortnikov

    1 Rusya Federasyonu Mevzuat Koleksiyonu, 2006, N 31 (bölüm I), art. 3451; 2009, N 48, art. 5716; N 52 (bölüm I), sanat. 6439; 2010, N 27, art. 3407; N 31, Sanat. 4173, Sanat. 4196; 49, sanat. 6409; N 52 (bölüm I), sanat. 6974; 2011, N 23, Art. 3263; N 31, Sanat. 4701; 2013, N 14, md. 1651; N 30 (bölüm I), sanat. 4038.

    Ek

    Rusya Federasyonu Hükümeti tarafından her biri için oluşturulan kişisel verilerin korunması gerekliliklerini yerine getirmek için gerekli kriptografik bilgi koruma araçlarını kullanarak kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için kurumsal ve teknik önlemlerin bileşimi ve içeriği. güvenlik seviyelerinin

    I. Genel hükümler

    1. Bu belge, kriptografik bilgi koruma araçları (bundan sonra CIPF olarak anılacaktır) kullanılarak kişisel veri bilgi sistemlerinde (bundan böyle bilgi sistemi olarak anılacaktır) işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için kurumsal ve teknik önlemlerin bileşimini ve içeriğini tanımlar. güvenlik seviyelerinin her biri için kişisel verilerin korunması için Rusya Federasyonu Hükümeti tarafından belirlenen şartlara uymak için gerekli.

    2. Bu belge, bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için CIPF kullanan operatörlere yöneliktir.

    3. Bu belgede tanımlanan organizasyonel ve teknik önlemlerin uygulanması, bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için kullanılan kriptografik bilgi koruması için operasyonel belgelerin gereklilikleri dikkate alınarak operatör tarafından sağlanır.

    4. CIPF'nin çalışması, CIPF belgelerine ve bu belgede belirlenen gerekliliklere ve ilgili alandaki ilişkileri düzenleyen diğer düzenleyici yasal düzenlemelere uygun olarak gerçekleştirilmelidir.

    II. Rusya Federasyonu Hükümeti tarafından belirlenen gereklilikleri yerine getirmek için gerekli organizasyonel ve teknik önlemlerin bileşimi ve içeriği kişisel verilerin korunmasına 4 güvenlik seviyesi için

    5. Rusya Federasyonu Hükümeti'nin 1 Kasım 2012 N1119 1 sayılı Kararnamesi ile onaylanan kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin Gereksinimlerin 13. maddesi uyarınca (bundan böyle, kişisel verilerin korunması), kişisel veri güvenliğinin 4. seviyede sağlanması için bilgi sistemlerinde işlenmesi sırasında aşağıdaki şartların yerine getirilmesi gerekmektedir:

    a) Bilgi sisteminin bulunduğu binaların güvenliğini sağlamak, bu tesislere giriş hakkı olmayan kişilerin kontrolsüz giriş veya bu tesislerde kalma olasılığını önlemek için bir rejimin düzenlenmesi;

    b) kişisel veri taşıyıcılarının güvenliğini sağlamak;

    c) resmi (çalışma) görevlerinin yerine getirilmesi için bilgi sisteminde işlenen kişisel verilere erişimi gerekli olan kişilerin listesini tanımlayan bir belgenin operatör başkanı tarafından onaylanması;

    d) mevcut tehditleri etkisiz hale getirmek için bu tür araçların kullanılmasının gerekli olması durumunda, bilgi güvenliği alanındaki Rusya Federasyonu mevzuatının gerekliliklerine uygunluğu değerlendirme prosedürünü geçen bilgi güvenliği araçlarının kullanımı.

    6. Bu belgenin 5. paragrafının "a" alt paragrafında belirtilen şartı yerine getirmek için, kullanılmış CIPF'nin, CIPF'nin ve (veya) bulunduğu tesislere kontrolsüz giriş veya kalma olasılığını önleyen bir rejimin sağlanması gereklidir. CIPF anahtar, kimlik doğrulama ve şifre bilgilerinin taşıyıcıları (bundan sonra - Tesis olarak anılacaktır), Tesise erişim hakkına sahip olmayan kişiler tarafından aşağıdakiler yoluyla depolanır:

    a) Bina giriş kapılarının kilitli olması, Bina kapılarının kalıcı olarak kilitlenmesinin ve sadece izin verilen geçiş için açılmasının sağlanması ve ayrıca iş günü sonunda Tesisin mühürlenmesi veya İşyerinin uygun şekilde donatılması teknik cihazlar, Tesisin izinsiz açılmasının sinyalini vermek;

    b) Çalışma ve çalışma saatleri dışında ve ayrıca acil durumlarda Tesise erişim kurallarının onaylanması;

    c) Tesise erişim hakkına sahip kişilerin listesinin onaylanması.

    7. Bu belgenin 5. paragrafının "b" alt paragrafında belirtilen şartı yerine getirmek için aşağıdakiler gereklidir:

    a) çıkarılabilir kişisel veri ortamlarını, iki veya daha fazla çift anahtarlı dahili kilitler ve anahtar deliklerini kapatmak için cihazlarla donatılmış kasalarda (metal dolaplar) saklamak, veya şifreli kilitler. Yalnızca kişisel veriler, kişisel verilerin çıkarılabilir bir makine ortamında CIPF kullanılarak şifrelenmiş bir biçimde saklanıyorsa, bu tür ortamların kasaların (metal dolaplar) dışında saklanmasına izin verilir;

    b) kayıt (seri) numaralarını kullanarak kişisel veri taşıyıcılarının bir kaydının tutulmasıyla elde edilen, kişisel verilerin makine taşıyıcılarının örnek olay muhasebesini yapmak.

    8. Bu belgenin 5. paragrafının "c" alt paragrafında belirtilen şartı yerine getirmek için aşağıdakiler gereklidir:

    a) resmi (çalışma) görevlerinin yerine getirilmesi için bilgi sisteminde işlenen kişisel verilere erişimi gerekli olan kişilerin listesini tanımlayan bir belge geliştirmek ve onaylamak;

    b) Resmi (çalışma) görevlerinin ifası için bilgi sisteminde işlenen kişisel verilere erişimi gerekli olan kişilerin listesini tanımlayan belgeyi güncel tutmak.

    9. Bu belgenin 5. paragrafının "d" bendinde belirtilen gerekliliği yerine getirmek için, kişisel veri koruma düzeylerinin her biri için, kişisel verilerin güvenliğinin sağlanmasına izin veren uygun sınıfa ait kriptografik bilgi koruma araçlarını kullanması gerekir. donanım ve (veya) kullanarak hedeflenen eylemleri uygularken yazılım araçları CIPF tarafından korunan kişisel verilerin güvenliğini ihlal etmek veya bunun için koşullar yaratmak amacıyla (bundan böyle saldırı olarak anılacaktır), aşağıdakiler yoluyla gerçekleştirilir:

    a) yöntemlerin oluşturulmasında, saldırıların hazırlanmasında ve yürütülmesinde kullanılabilecek olasılıklar hakkında bir dizi varsayım oluşturmak için başlangıç ​​verilerinin elde edilmesi;

    b) Yöntemlerin oluşturulmasında, saldırıların hazırlanmasında ve yürütülmesinde kullanılabilecek olasılıklar hakkında bir dizi varsayımın oluşturulması ve operatör başkanı tarafından onaylanması ve bu temelde ve gerekli sınıfın gerçek tehditlerinin türü dikkate alınarak belirlenmesi kriptografik bilgi koruması;

    c) KS1 sınıfı ve üzeri CIPF bilgi sisteminde işlenmesi sırasında kişisel verilerin gerekli güvenlik düzeyini sağlamak için kullanmak.

    10. KS1 sınıfı CIPF, yöntemler oluşturulurken, hazırlanırken ve yürütülürken saldırıları etkisiz hale getirmek için aşağıdaki yeteneklerden hangilerinin kullanıldığı kullanılır:

    a) kriptografik bilgi korumasının geliştirilmesi ve analizine uzmanları dahil etmeden yöntemler oluşturma, saldırılar hazırlama ve gerçekleştirme;

    b) kriptografik bilgi korumasının yaşam döngüsünün çeşitli aşamalarında yöntemlerin oluşturulması, saldırıların hazırlanması ve uygulanması 2 ;

    c) bir saldırı gerçekleştirmek, içinde kişilerin ve (veya) araçların kalış ve eylemlerinin kontrolünün gerçekleştirildiği alanın dışında olmak (bundan böyle kontrollü bölge olarak anılacaktır) 3 ;

    d) CIPF'nin geliştirme (modernizasyon), üretim, depolama, nakliye aşamalarında ve CIPF'nin devreye alma aşamasında (devreye alma işleri) aşağıdaki saldırıların gerçekleştirilmesi:

    CIPF'de ve (veya) birlikte CIPF'nin normal şekilde çalıştığı donanım ve yazılım araçlarının bileşenlerinde ve toplu olarak CIPF'nin (bundan böyle SF olarak anılacaktır) işleyişi için ortamı temsil eden yetkisiz değişikliklerin yapılması; kötü niyetli programların kullanılması da dahil olmak üzere CIPF gerekliliklerinin yerine getirilmesini etkileyebilir;

    CIPF ve SF'nin bileşenlerinin belgelerinde yetkisiz değişikliklerin yapılması;

    e) CIPF operasyonu aşamasında aşağıdakilere yönelik saldırıların gerçekleştirilmesi:

    Kişisel bilgi;

    CIPF'nin anahtar, kimlik doğrulama ve şifre bilgileri;

    yazılım bileşenleri CIPF;

    CIPF'nin donanım bileşenleri;

    BIOS yazılımı dahil SF yazılım bileşenleri;

    SF donanım bileşenleri;

    iletişim kanalları üzerinden iletilen veriler;

    bilgi sisteminde kullanılan bilgi teknolojileri, donanım (bundan sonra AS olarak anılacaktır) ve yöntemler oluşturmak, saldırılar hazırlamak ve yürütmek için kullanılabilecek yetenekler hakkında bir dizi teklifin oluşturulması sırasında oluşturulan diğer nesneler ve yazılım(bundan böyle yazılım olarak anılacaktır);

    f) CIPF kullanan bilgi sistemi hakkında serbestçe erişilebilen kaynaklardan (internet bilgileri ve telekomünikasyon ağı dahil olmak üzere belirli bir kişi çevresiyle sınırlı olmayan bilgi ve telekomünikasyon ağları dahil) bilgi elde etmek. Bu durumda aşağıdaki bilgiler elde edilebilir:

    CIPF'nin kullanıldığı bilgi sistemi hakkında genel bilgiler (randevu, kompozisyon, operatör, bilgi sistemi kaynaklarının bulunduğu nesneler);

    hakkında bilgi Bilişim teknolojisi, veritabanları, AS, yalnızca bilgi teknolojileri, veritabanları, AU, CIPF ile birlikte bilgi sisteminde kullanılan yazılım için tasarım belgelerinde yer alan bilgiler hariç olmak üzere, CIPF ile bağlantılı olarak bilgi sisteminde kullanılan yazılım;

    CIPF'nin çalışması sırasında kullanılan korunan bilgiler hakkında genel bilgiler;

    CIPF tarafından korunan kişisel verilerin aktarıldığı iletişim kanalları hakkında bilgi (bundan böyle iletişim kanalı olarak anılacaktır);

    iletilen tüm olası veriler açık form organizasyonel ve teknik önlemlerle bilgiye yetkisiz erişime karşı korunmayan iletişim kanalları aracılığıyla;

    organizasyonel ve teknik önlemlerle bilgiye yetkisiz erişime karşı korunmayan iletişim kanallarında görünen CIPF ve SF'nin işleyişine ilişkin kuralların tüm ihlalleri hakkında bilgi;

    CIPF ve SF'nin donanım bileşenlerinin organizasyonel ve teknik önlemleri, arızaları ve arızaları ile bilgilere yetkisiz erişimden korunmayan iletişim kanallarında tezahür eden tüm bilgiler;

    CIPF ve SF'nin donanım bileşenlerinden gelen herhangi bir sinyalin analizi sonucunda elde edilen bilgiler;

    g) uygulama:

    CIPF ve SF'nin donanım ve yazılım bileşenleri dahil olmak üzere kontrol edilen alan AS ve yazılım dışında serbestçe kullanılabilir veya kullanılabilir;

    özel olarak tasarlanmış AS ve yazılım;

    h) saldırının hazırlanması ve (veya) yürütülmesi sırasında gerçekleştirilen eylemlerin özneden nesneye (nesneden özneye) aktarılması için bir araç olarak operasyon aşamasında kullanmak:

    organizasyonel ve teknik önlemlerle bilgiye yetkisiz erişimden korunmayan iletişim kanalları;

    CIPF ve SF'nin işleyişine eşlik eden sinyallerin dağıtım kanalları;

    i) CIPF kullanan bilgi sistemlerinin bu ağlara erişimi varsa, erişimi belirli bir kişi çevresiyle sınırlı olmayan bilgi ve telekomünikasyon ağlarından operasyonel aşamada bir saldırı gerçekleştirmek;

    j) CIPF'nin faaliyet yerlerinde kullanılan bilgi sistemi araçlarının (bundan böyle standart araçlar olarak anılacaktır) bileşiminden kontrol edilen alan dışında bulunan AS ve yazılımların işletim aşamasında kullanılması.

    11. KS2 sınıfı CIPF, yöntemleri oluştururken, hazırlarken ve gerçekleştirirken, bu belgenin 10. paragrafında listelenen yeteneklerin ve aşağıdaki ek özelliklerden en az birinin kullanıldığı saldırıları etkisiz hale getirmek için kullanılır:

    a) kontrollü bölge içindeyken bir saldırı gerçekleştirmek;

    b) CIPF operasyonu aşamasında aşağıdaki nesnelere saldırılar gerçekleştirmek:

    CIPF ve SF bileşenleri için belgeler.

    Bir yazılım kombinasyonunu içeren tesisler ve teknik elemanlar bağımsız olarak veya üzerinde kriptografik bilgi koruması ve SF'nin uygulandığı diğer sistemlerin (bundan sonra - SVT olarak anılacaktır) bir parçası olarak çalışabilen veri işleme sistemleri;

    c) Verilen yetkiler çerçevesinde ve gözlemler sonucunda aşağıdaki bilgileri elde etmek:

    bilgi sistemi kaynaklarının bulunduğu nesnelerin fiziksel koruma önlemleri hakkında bilgi;

    bilgi sistemi kaynaklarının bulunduğu kontrollü bir nesne alanı sağlamak için önlemler hakkında bilgi;

    CIPF ve SF'nin uygulandığı bilgisayar ekipmanının bulunduğu Tesislere erişimi kısıtlamak için alınacak önlemler hakkında bilgi;

    d) kullanmak düzenli fonlar CIPF kullanan bilgi sisteminde uygulanan önlemlerle sınırlıdır ve yetkisiz eylemleri önlemeyi ve bastırmayı amaçlar.

    12. KS3 sınıfı CIPF, yöntemleri oluştururken, hazırlarken ve gerçekleştirirken, bu belgenin 10. ve 11. maddelerinde listelenen yeteneklerin ve aşağıdaki ek yeteneklerden en az birinin kullanıldığı saldırıları etkisiz hale getirmek için kullanılır:

    a) CIPF ve SF'nin uygulandığı SVT'ye fiziksel erişim;

    b) CIPF'yi kullanan ve yetkisiz eylemleri önlemeyi ve bastırmayı amaçlayan bilgi sisteminde uygulanan önlemlerle sınırlı, CIPF ve SF'nin donanım bileşenlerine sahip olma yeteneği.

    13. Yöntemler oluşturulurken, hazırlanırken ve yürütülürken, bu belgenin 10-12. paragraflarında listelenen yeteneklerin ve aşağıdaki ek özelliklerden en az birinin kullanıldığı saldırıları etkisiz hale getirmek için KB sınıfı kriptografik bilgi koruma araçları kullanılır:

    a) CIPF ve SF'nin çalışmasına eşlik eden sinyal analizi alanında ve saldırıları uygulamak için uygulama yazılımının belgelenmemiş (bildirilmemiş) yeteneklerini kullanma alanında uzmanların katılımıyla yöntemler oluşturma, saldırıları hazırlama ve gerçekleştirme;

    b) CIPF'nin kullanıldığı bilgi sisteminde uygulanan önlemlerle sınırlı ve yetkisiz eylemleri önlemeye ve bastırmaya yönelik kontrollü alan dışında kullanılan CIPF'nin laboratuvar çalışmalarını yürütmek;

    c) SF'ye dahil edilen uygulama yazılımının kaynak kodunu kullanmak da dahil olmak üzere, kriptografik bilgi koruma araçlarının ve SF'nin geliştirilmesi ve analizinde uzmanlaşmış araştırma merkezlerinde saldırı yöntemlerinin ve araçlarının oluşturulmasına yönelik çalışmalar yapmak, doğrudan çağrıları kullanarak CIPF yazılım fonksiyonları.

    14. KA sınıfının CIPF'si, yöntemleri oluştururken, hazırlarken ve gerçekleştirirken, bu belgenin 10 - 13. paragraflarında listelenen olanaklardan ve aşağıdaki ek özelliklerden en az birinin kullanıldığı saldırıları etkisiz hale getirmek için kullanılır:

    a) saldırıları uygulamak için sistem yazılımının belgelenmemiş (bildirilmemiş) yeteneklerini kullanma alanındaki uzmanların katılımıyla yöntemler oluşturma, saldırılar hazırlama ve gerçekleştirme;

    b) SF'nin donanım ve yazılım bileşenleri için tasarım belgelerinde yer alan bilgilere sahip olma yeteneği;

    c) CIPF ve SF'nin tüm donanım bileşenlerine sahip olma yeteneği.

    15. Yöntem oluşturma, saldırı hazırlama ve yürütmede kullanılabilecek olasılıklar hakkında bir takım varsayımlar oluşturma sürecinde, Ek özellikler, bu belgenin 10-14. paragraflarında listelenenlere dahil olmayan, gerekli CIPF sınıfını belirleme prosedürünü etkilemez.

    III. Rusya Federasyonu Hükümeti tarafından belirlenen gereklilikleri yerine getirmek için gerekli organizasyonel ve teknik önlemlerin bileşimi ve içeriği kişisel verilerin korunmasına güvenlik seviyesi 3 için

    16. Kişisel verilerin korunması gerekliliklerinin 14. paragrafı uyarınca, bu belgenin 5. paragrafında belirtilen gerekliliklerin yerine getirilmesine ek olarak, bilgi sistemlerinde işlenmesi sırasında kişisel verilerin 3. seviyede korunmasını sağlamak için , bilgi sistemindeki kişisel verilerin güvenliğini sağlamaktan sorumlu bir yetkili (çalışan) atanması şartının yerine getirilmesi gerekmektedir.

    17. Bu belgenin 16. paragrafında belirtilen şartın yerine getirilmesi için, bilgi sistemindeki kişisel verilerin güvenliğini sağlamaktan sorumlu, yeterli becerilere sahip bir operatör yetkilisi (çalışanı) atanması gerekmektedir.

    18. Bu belgenin 5. paragrafının "d" alt paragrafında belirtilen şartı yerine getirmek için, bu belgenin 9. paragrafının "c" alt paragrafında öngörülen önlem yerine, gerekli koruma düzeyini sağlamak için kullanılması gerekmektedir. bilgi sisteminde işlenmesi sırasında kişisel veriler:

    IV. Rusya Federasyonu Hükümeti tarafından belirlenen gereklilikleri yerine getirmek için gerekli organizasyonel ve teknik önlemlerin bileşimi ve içeriği kişisel verilerin korunmasına güvenlik seviyesi 2 için

    19. Kişisel Verilerin Korunması Gereksinimleri'nin 15. paragrafı uyarınca, kişisel verilerin bilgi sistemlerinde işlenmesi sırasında 2. seviyenin korunmasını sağlamak için, 5 ve 16'ncı paragraflarda belirtilen gerekliliklerin yerine getirilmesine ek olarak, Bu belgede, elektronik mesaj günlüğünün içeriğine erişimin yalnızca operatörün yetkilileri (çalışanları) veya belirtilen günlükte yer alan bilgilere resmi görevlerini (işçilik) yerine getirmek için ihtiyaç duyan yetkili bir kişi için mümkün olması gerekliliğini yerine getirmek gerekir. ) görevleri.

    20. Bu belgenin 19. paragrafında belirtilen şartı yerine getirmek için aşağıdakiler gereklidir:

    a) elektronik mesaj günlüğünün içeriğine kabul edilen kişilerin listesinin işletmeci başkanı tarafından onaylanması ve belirtilen listenin güncel tutulması;

    b) bilgi sistemine, bilgi sistemi kullanıcılarının kişisel verileri elde etme isteklerini ve bu taleplerle ilgili kişisel verilerin elektronik mesaj günlüğüne sağlanmasına ilişkin gerçekleri kaydeden otomatik araçlar sağlamak;

    c) bilgi sistemine, elektronik mesaj günlüğünün içeriğine kabul edilen ve operatör başkanı tarafından onaylanan kişiler listesinde belirtilmeyen kişilerin elektronik mesaj günlüğünün içeriğine erişimini engelleyen otomatik araçlar sağlamak;

    d) bu fıkranın "b" ve "c" alt paragraflarında belirtilen otomatik araçların performansının periyodik olarak izlenmesini sağlamak (en az altı ayda bir).

    21. Bu belgenin 5 inci fıkrasının "d" bendinde belirtilen şartı yerine getirmek için, bu belgenin 9 uncu fıkrasının "c" bendinde ve 18 inci paragrafında öngörülen tedbirler yerine, gerekli seviyeyi sağlamak için kullanılması gerekmektedir. Bilgi sisteminde işlenmesi sırasında kişisel verilerin korunması:

    2. tip tehditlerin bilgi sistemiyle ilgili olduğu durumlarda CIPF sınıfı KB ve üstü;

    Tip 3 tehditlerin bilgi sistemi için ilgili olduğu durumlarda CIPF sınıfı KS1 ve üstü.

    V. Rusya Federasyonu Hükümeti tarafından belirlenen gereklilikleri yerine getirmek için gerekli organizasyonel ve teknik önlemlerin bileşimi ve içeriği kişisel verilerin korunmasına 1 güvenlik seviyesi için

    22. Kişisel Verilerin Korunması Gereksinimleri'nin 16. paragrafı uyarınca, kişisel verilerin bilgi sistemlerinde işlenmesi sırasında 1. seviyenin korunmasını sağlamak için, 5, 16 ve Bu belgenin 19'unda aşağıdaki gereksinimler karşılanmalıdır:

    a) operatör çalışanının bilgi sisteminde yer alan kişisel verilere erişim yetkisindeki bir değişikliğin elektronik güvenlik günlüğüne otomatik olarak kaydedilmesi;

    b) Bilgi sistemindeki kişisel verilerin güvenliğini sağlamaktan sorumlu ayrı bir yapısal birimin oluşturulması veya işlevlerinin mevcut yapısal birimlerden birine devredilmesi.

    23. Bu belgenin 22. paragrafının "a" alt paragrafında belirtilen şartı yerine getirmek için aşağıdakiler gereklidir:

    a) bilgi sistemine, operatörün çalışanının bilgi sisteminde bulunan kişisel verilere erişim yetkisindeki değişikliklerin elektronik güvenlik günlüğüne otomatik olarak kaydedilmesine izin veren otomatik araçlar sağlamak;

    b) kişisel veri operatörü çalışanlarının bilgi sisteminde yer alan kişisel verilere erişim yetkisinin elektronik güvenlik günlüğüne yansıması. Belirtilen yetkiler, operatör çalışanlarının resmi görevlerine uygun olmalıdır;

    c) bir elektronik güvenlik günlüğünün bakımının periyodik olarak izlenmesinden sorumlu bir kişinin operatör tarafından atanması ve operatör çalışanlarının yetkilerinin resmi görevlerine uygunluğunu (en az ayda bir kez).

    24. Bu belgenin 22. paragrafının "b" alt paragrafında belirtilen şartı yerine getirmek için:

    a) bilgi sistemindeki kişisel verilerin güvenliğini sağlamaktan sorumlu ayrı bir yapısal birim oluşturmanın fizibilitesinin analizini yapmak;

    b) Bilgi sistemindeki kişisel verilerin güvenliğini sağlamakla sorumlu ayrı bir yapısal birim oluşturmak veya işlevlerini mevcut yapısal birimlerden birine devretmek.

    25. Bu belgenin 5. paragrafının "a" alt paragrafında belirtilen şartı yerine getirmek, 1. seviye güvenliği sağlamak için aşağıdakiler gereklidir:

    a) Binaların birinci ve (veya) son katlarında bulunan Binaların pencerelerini ve ayrıca yangın merdivenlerinin yakınında bulunan Binanın pencerelerini ve yetkisiz kişilerin Tesise girmesinin mümkün olduğu diğer yerlerin pencerelerini donatmak, yetkisiz kişilerin binaya kontrolsüz girişini önleyen metal çubuklar veya kepenkler, hırsız alarmları veya diğer araçlarla;

    b) Bilgi sistemi sunucularının bulunduğu Tesisin pencere ve kapılarını, yetkisiz kişilerin binaya kontrolsüz girişini engelleyen metal çubuklar, hırsız alarmları veya diğer araçlarla donatmak.

    26. Bu belgenin 5. paragrafının "d" alt paragrafında belirtilen şartı yerine getirmek için, bu belgenin 9. paragrafının "c" alt paragrafının 18 ve 21. paragraflarında belirtilen önlemler yerine, Kişisel verilerin bilgi sisteminde işlenmesi sırasında gerekli koruma düzeyi:

    Tip 1 tehditlerin bilgi sistemi ile ilgili olduğu durumlarda KA sınıfının CIPF'si;

    Tip 2 tehditlerin bilgi sistemiyle ilgili olduğu durumlarda KB sınıfı ve üzeri CIPF.

    1 Rusya Federasyonu Mevzuatı Koleksiyonu, 2012, N 45, 6257.

    2 CIPF yaşam döngüsünün aşamaları, bu araçların geliştirilmesini (modernizasyonunu), üretimini, depolanmasını, nakliyesini, devreye alınmasını (devreye alınmasını), çalışmasını içerir.

    3 Kontrollü bölgenin sınırı, işletmenin (kurumun) korunan bölgesinin çevresi, korunan binanın çevre yapıları, binanın korunan kısmı, tahsis edilen mülkler olabilir.

    CIPF yardımıyla çözülen, iletişim kanalları aracılığıyla ve çeşitli ortamlarda saklanması, işlenmesi ve iletilmesi sırasında bilgilerin korunmasının ana görevleri şunlardır: 1.

    Bilgilerin gizliliğinin (gizliliğinin) sağlanması. 2.

    Bilgi bütünlüğünün sağlanması. 3.

    Bilgilerin doğrulanması (belgeler). Bu sorunları çözmek için aşağıdakileri uygulamak gerekir:

    süreçler: 1.

    Aşağıdakiler dahil gerçek bilgi güvenliği işlevlerinin uygulanması:

    şifreleme/şifre çözme; EDS'nin oluşturulması/doğrulanması; sahte ekler oluşturma/test etme. 2.

    Durumu izlemek ve KPI araçlarının işleyişini yönetmek (sistemde):

    durum kontrolü: KPI araçlarının çalışabilirliğinin ihlali vakalarının tespiti ve kaydı, yetkisiz erişim girişimleri, anahtarların tehlikeye girmesi vakaları;

    operasyon yönetimi: KPI araçlarının normal işleyişinden listelenen sapmalar durumunda önlemler almak. 3.

    KZI tesislerinin bakımının yapılması: anahtar yönetimin uygulanması;

    yeni şebeke abonelerinin bağlanması ve/veya emekli abonelerin hariç tutulması ile ilgili prosedürlerin yürütülmesi; CIPF'nin tespit edilen eksikliklerinin giderilmesi; CIPF yazılımının yeni sürümlerinin devreye alınması;

    modernizasyon ve değiştirme teknik araçlar Daha gelişmiş ve / veya kaynağı tükenen fonların değiştirilmesi için CIPF.

    Anahtar yönetimi, kriptografik bilgi korumasının en önemli işlevlerinden biridir ve aşağıdaki ana işlevlerin uygulanmasından oluşur:

    anahtar üretimi: kriptografik niteliklerinin garantisi ile anahtarlar veya anahtar çiftleri oluşturmak için bir mekanizma tanımlar;

    anahtar dağıtımı: anahtarların abonelere güvenilir ve güvenli bir şekilde teslim edildiği mekanizmayı tanımlar;

    anahtar tutma: anahtarların gelecekte kullanılmak üzere güvenli ve güvenli bir şekilde saklandığı mekanizmayı tanımlar;

    anahtar kurtarma: anahtarlardan birini kurtarma mekanizmasını tanımlar (yeni bir anahtarla değiştirme);

    anahtar imhası: eski anahtarların güvenli bir şekilde imha edildiği mekanizmayı tanımlar;

    anahtar arşivi: Çatışma durumlarında daha sonra noter tasdikli kurtarma için anahtarların güvenli bir şekilde saklanabileceği bir mekanizma.

    Genel olarak, kriptografik bilgi korumasının listelenen işlevlerinin uygulanması için, CIP araçlarını, servis personelini, binaları, ofis ekipmanlarını, çeşitli belgeleri (teknik, düzenleyici) vb. Bir araya getiren bir kriptografik bilgi koruma sistemi oluşturmak gerekir. .

    Daha önce belirtildiği gibi, bilgi koruma garantileri almak için sertifikalı KPI araçlarının kullanılması gerekir.

    Şu anda, en yaygın olanı gizli bilgilerin korunması konusudur. Bu sorunu çözmek için, FAPSI himayesinde, çok çeşitli uygulamalar ve kullanım koşulları için listelenen bilgileri koruma görevlerinin çözülmesine izin veren, gizli bilgilerin işlevsel olarak eksiksiz bir kriptografik koruması seti geliştirilmiştir.

    Bu kompleks, "Verba" (asimetrik anahtarlar sistemi) ve "Verba-O" (simetrik anahtarlar sistemi) şifreleme çekirdeklerine dayanmaktadır. Bu kripto çekirdekler, GOST 28147-89 "Bilgi işleme sistemlerinin gereksinimlerine uygun olarak veri şifreleme prosedürleri sağlar.

    GOST R34.10-94 "Bilgi teknolojisi" gereksinimlerine uygun olarak kriptografik koruma" ve dijital imza. Bilgilerin kriptografik olarak korunması. Asimetrik bir kriptografik algoritmaya dayalı bir elektronik dijital imzanın geliştirilmesi ve doğrulanması için prosedürler.

    CIPF kompleksinde bulunan araçlar, elektronik belgeleri korumanıza ve bilgi akışları sertifikalı şifreleme mekanizmalarını kullanarak ve Elektronik İmza pratik olarak tüm modern bilgi teknolojilerinde şunların gerçekleştirilmesine izin verilir: CIPF'nin çevrimdışı modda kullanılması;

    çevrimdışı modda güvenli bilgi alışverişi; çevrimiçi modda güvenli bilgi alışverişi; korumalı heterojen, yani karışık bilgi alışverişi.

    D. A. Starovoitov liderliğinde, kriptografik bilgi koruma araçlarının kullanımıyla ilgili sistemik sorunları çözmek için, sistemin tüm bölümlerinde aynı anda kriptografik veri koruması sağlayan Vityaz kompleksi kriptografik bilgi koruma teknolojisi geliştirildi: sadece iletişim kanallarında değil ve sistem düğümlerinde değil, aynı zamanda belgenin kendisi korunduğunda, bir belge oluşturma sürecinde doğrudan kullanıcı iş yerlerinde. Ayrıca, çerçeve içinde ortak teknoloji"Vityaz", lisanslı kriptografik bilgi koruma araçlarını çeşitli ortamlara yerleştirmek için basitleştirilmiş, kullanıcıların kolayca erişebileceği bir teknoloji sağlar. uygulamalı sistemler bu da bu CIPF'lerin kullanım alanını çok geniş kılıyor.

    Aşağıda, listelenen modların her biri için koruma araçlarının ve yöntemlerinin bir açıklaması bulunmaktadır.

    CIPF'nin çevrimdışı kullanımı.

    CIPF ile bağımsız olarak çalışırken, aşağıdaki kriptografik bilgi koruması türleri uygulanabilir: korumalı bir belgenin oluşturulması; dosya koruması;

    korumalı oluşturulması dosya sistemi; korumalı oluşturulması mantıksal sürücü. Kullanıcının talebi üzerine, aşağıdaki türde belgelerin (dosyaların) kriptografik koruması uygulanabilir:

    hem bir belgeyi (dosyayı) saklarken hem de iletişim kanalları veya kurye ile iletildiğinde içeriğini erişilemez hale getiren bir belgenin (dosyanın) şifrelenmesi;

    belgenin (dosyanın) bütünlüğü üzerinde kontrol sağlayan bir ek taklitçisinin geliştirilmesi;

    belgenin (dosya) bütünlüğünün kontrolünü ve belgeyi (dosyayı) imzalayan kişinin kimlik doğrulamasını sağlayan bir EDS'nin oluşturulması.

    Sonuç olarak, korunan belge (dosya), gerekirse bir EDS içeren şifreli bir dosyaya dönüşür. Dijital imza, bilgi işlem sürecinin organizasyonuna bağlı olarak, imzalanmış belgeden ayrı bir dosya ile de gösterilebilir. Ayrıca, bu dosya kurye ile teslim edilmek üzere bir diskete veya başka bir ortama çıkarılabilir veya mevcut herhangi bir yolla gönderilebilir. e-postaörneğin internet üzerinden.

    Buna göre, şifreli bir dosyanın e-posta yoluyla veya bir veya başka bir ortamda alınması üzerine, gerçekleştirilen kriptografik koruma eylemleri ters sırada gerçekleştirilir (şifre çözme, taklit eklemenin doğrulanması, dijital imzanın doğrulanması).

    Uygulama için pil ömrü CIPF ile aşağıdaki sertifikalı araçlar kullanılabilir:

    CIPF "Verba-O" ve CIPF "Verba" temelinde uygulanan metin editörü "Lexicon-Verba";

    yazılım kompleksi CIPF "Özerk iş yeri Windows 95/98/NT için CIPF "Verba" ve "Verba-O" temelinde uygulanan ";

    şifreleme disk sürücüsü PTS "DiskGuard".

    Korumalı kelime işlemci "Lexicon-Verba".

    Lexicon-Verba sistemi, belge şifreleme ve elektronik dijital imza desteğine sahip tam özellikli bir metin düzenleyicidir. Belgeleri korumak için Verba ve Verba-O şifreleme sistemlerini kullanır. Bu ürünün benzersizliği, şifreleme ve metin imzalama işlevlerinin yalnızca modern bir sistemin işlevlerine dahil edilmesi gerçeğinde yatmaktadır. Metin düzeltici. Bu durumda belgenin şifrelenmesi ve imzalanması, bir belgeyle çalışırken özel işlemlerden basit standart işlemlere dönüşür.

    Aynı zamanda, Lexicon-Verba sistemi normal bir metin düzenleyiciye benziyor. Metin biçimlendirme seçenekleri şunları içerir: tam özelleştirme belgenin yazı tipleri ve paragrafları; tablolar ve listeler; altbilgiler, dipnotlar, kenar çubukları; yanıt veren bir metin düzenleyicinin stillerinin ve diğer birçok işlevinin kullanılması modern gereksinimler. "Lexicon-Verba", Lexicon, RTF, MS Word 6/95/97, MS Write formatlarında belgeler oluşturmanıza ve düzenlemenize olanak tanır.

    Otonom iş yeri.

    CIPF "Autonomous Workplace", Windows 95/98/NT için CIPF "Verba" ve "Verba-O" temelinde uygulanır ve kullanıcının etkileşimli modda aşağıdaki işlevleri gerçekleştirmesini sağlar:

    anahtarlardaki dosyaların şifrelenmesi / şifresinin çözülmesi; dosyaların şifre ile şifrelenmesi / şifresinin çözülmesi; dosyalara elektronik dijital imzaların (EDS) eklenmesi/kaldırılması/doğrulanması;

    şifreli dosyaları kontrol etme;

    EDS ekleme + dosyaların şifrelenmesi (tek işlemde); dosyalar altında şifre çözme + EDS'nin kaldırılması (tek işlemde);

    karma dosya hesaplama.

    CIPF "Özerk İşyeri" aşağıdakileri sağlaması gereken çalışanların günlük işleri için kullanılması tavsiye edilir:

    gizli bilgilerin aktarılması elektronik formatta elden veya kurye ile;

    İnternet dahil bir genel ağ üzerinden gizli bilgi göndermek;

    hakkında gizli bilgilere yetkisiz erişime karşı koruma kişisel bilgisayarlarçalışanlar.

    Uygulamanın gösterdiği gibi, az sayıda kuruluş FAPSI'nin (halifi Rusya'nın FSB'si olan) 13 Haziran 2001 tarihli N 152 "Depolama, işleme ve güvenliğinin düzenlenmesi ve sağlanmasına ilişkin Talimatın onaylanması üzerine hatırlar ve yönlendirilir. devlet sırrını oluşturan bilgileri içermeyen, sınırlı erişime sahip kriptografik bilgi koruma araçları kullanılarak iletişim kanalları üzerinden iletim.

    Ancak, bilgilerin güvenliğini sağlamak için sertifikalı CIPF kullanırken Talimat zorunludur. Sınırlı erişim(Rusya Federasyonu mevzuatına göre korumaya tabidir).Ve bu PD, her türlü sır, GIS, NPC'ler, gelecekteki CII'ler.

    2008'den 2012'ye kadar, güvenlik sağlamak için kullanılıyorlarsa, devlet sırrı oluşturan bilgileri içermeyen bilgileri korumak için tasarlanmış şifreleme (kriptografik) araçlarının organizasyonu ve çalışması için standart gereksinimler şeklinde PD için bir hoşgörü vardı. 21 Şubat 2008 tarih ve 149/6/6-622 sayılı Rusya FSB'nin 8. Merkezi liderliği tarafından onaylanan kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin işlenmesi sırasında. Ancak RF PP No. 1119'un yayınlanmasından sonra, bu belge alaka düzeyini kaybetti ve Rusya'nın FSB'si Talimat tarafından yönlendirilmenin gerekli olduğunu söyledi.


    devlet içinde Bu Talimatın hükümlerinin uygulanması üzerinde kontrol, çok sayıda ihlal var.


    Talimatın uygulanması hakkında birçok soru var, çünkü nadir kuruluşlarda sertifikalı kriptografik bilgi koruma araçlarının tek nüsha olarak kullanıldığı bir zamanda yazılmıştı. Şimdi, sertleştiğinde. kriptografi her yerde yaygınlaşıyor ve bu da Talimatı kelimesi kelimesine takip etmeyi zorlaştırıyor.

    Derhal 99-FZ ile birlikte Talimatların, Rusya FSB'sinden bir lisans alma veya bir lisans sahibi ile bir anlaşma yapma ihtiyacı konusunda net sonuçlar verdiğine dikkat çekmek istiyorum:

    99-FZ Madde 12: "1. Bu Federal Yasa uyarınca, aşağıdaki faaliyet türleri lisanslamaya tabidir:

    1) ... iş performansı ... bilgi şifreleme alanında, Bakımşifreleme (kriptografik) araçlar, şifreleme (kriptografik) araçlar kullanılarak korunan bilgi sistemleri ve telekomünikasyon sistemleri (şifreleme (kriptografik) araçlar, bilgi sistemleri ve şifreleme (kriptografik) araçlar kullanılarak korunan telekomünikasyon sistemlerinin bakımının kendi ihtiyaçları için gerçekleştirildiği durumlar hariç tüzel kişilik veya bireysel girişimci);

    313 Sayılı Rusya Federasyonu Hükümeti Kararnamesi. Yönetmelik eki: “ŞİFRELEME (KRİPTOGRAFİK) ARAÇLARINA İLİŞKİN LİSANSLI FAALİYET OLUŞTURAN YAPILACAK İŞLER VE SAĞLANACAK HİZMETLER LİSTESİ

    12. Kurulum, kurulum (kurulum), şifreleme (kriptografik) ayarlaması, şifreleme (kriptografik) araçları hariç, mali verileri korumanın bir parçası olarak kullanılmak üzere tasarlanmış araçlar. yazarkasa ekipmanı Rusya Federasyonu Federal Güvenlik Servisi tarafından onaylanmıştır.

    13. Kurulum, kurulum (kurulum), şifreleme (kriptografik) araçlar kullanılarak korunan bilgi sistemlerinin ayarlanması.

    14. Şifreleme (kriptografik) araçlar kullanılarak korunan telekomünikasyon sistemlerinin kurulumu, kurulumu (kurulumu), ayarlanması.

    15. Montaj, kurulum (kurulum), anahtar belgelerin üretim araçlarının ayarlanması.

    20. Bu araçlar için teknik ve operasyonel belgeler tarafından sağlanan şifreleme (kriptografik) araçlarının bakımı ( durum hariç sağlamak için belirtilen çalışma yapılırsa kendi ihtiyaçları tüzel kişilik veya bireysel girişimci).

    28. Donanım, yazılım ve bellenim, şifreleme (kriptografik) için anahtar belgelerin üretimi ve dağıtımı için sistemler ve kompleksler kullanarak anahtar belgelerin geliştirilmesi için anahtar belgelerin ve (veya) ilk anahtar bilgilerinin üretimi ve dağıtımı.

    Ancak Talimat daha katı gereksinimler içerir.

    FAPSI Talimatı No. 152: 4. Sahipleri FAPSI lisansına sahip olmayan gizli bilgilerin CIPF'sini kullanarak iletişim kanalları aracılığıyla depolama, işleme ve iletim güvenliği, FAPSI lisansı sahipleri, kriptografik koruma için hizmetlerin sağlanması için sözleşmeler temelinde ... gizli bilgiler.

    6. CIPF kullanarak gizli bilgilerin depolanması, işlenmesi ve iletiminin güvenliğini organize etmek ve sağlamak için önlemler geliştirmek ve uygulamak için FAPSI lisansı sahibi bir veya daha fazla kriptografik koruma yetkilisi oluşturur ...”

    Anahtar paket servisi sonraki: FSB'den lisansı olmayan bir kuruluş, kriptografik bilgi koruma sisteminin doğru çalışması için bağımsız olarak çalışma düzenleyemez. Bunu yapmak için, kuruluş lisans sahibiyle iletişime geçmeli, onunla bir hizmet sözleşmesi yapmalıdır. FSB lisans sahibinin yapısında, müşteri organizasyonunda güvenlik çalışmalarını organize eden ve uygulamalarını kontrol eden (ve bazen bunu kendisi gerçekleştiren) bir OKZI vardır.

    Not : Ayrıca Talimatın bireysel noktalarının uygulanmasıyla ilgili bir çok sorum vardı, düzenleyiciye sorduğum en ilginçleri ve bir sonraki makalede en ilginç bilgileri paylaşacağım ...

    Sizin, meslektaşlarınızın ne gibi zorluklarla karşılaştığınızı veya tam tersi, Talimatı kullanmanın olumlu deneyimini görmek de ilginçtir.