Скзи определение. Системы криптозащиты

| К списку авторов | К списку публикаций

Средства криптографической защиты информации (СКЗИ)

Константин Черезов, ведущий специалист SafeLine, группа компаний "Информзащита"

КОГДА нас попросили составить критерии для сравнения всего российского рынка средств криптографической защиты информации (СКЗИ), меня охватило легкое недоумение. Провести технический обзор российского рынка СКЗИ несложно, а вот определить для всех участников общие критерии сравнения и при этом получить объективный результат - миссия из разряда невыполнимых.

Начнем с начала

Театр начинается с вешалки, а техническое обозрение -с технических определений. СКЗИ у нас в стране настолько засекречены (в открытом доступе представлены слабо), поэтому самое последнее их определение нашлось в Руководящем документе Гостехкомиссии 1992 г. выпуска: "СКЗИ - средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности".

Расшифровка термина "средство вычислительной техники" (СВТ) нашлось в другом документе Гостехкомиссии: "Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем".

Таким образом, СКЗИ - это совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем и осуществлять криптографическое преобразование информации для обеспечения ее безопасности.

Определение получилось всеобъемлющим. По сути, СКЗИ является любое аппаратное, аппаратно-программное или программное решение, тем или иным образом выполняющее криптографическую защиту информации. А если еще вспомнить постановление Правительства РФ № 691, то оно, например, для СКЗИ четко ограничивает длину криптографического ключа - не менее 40 бит.

Из вышесказанного можно сделать вывод, что провести обзор российского рынка СКЗИ возможно, а вот свести их воедино, найти общие для всех и каждого критерии, сравнить их и получить при этом объективный результат - невозможно.

Среднее и общее

Тем не менее все российские СКЗИ имеют общие точки соприкосновения, на основе которых можно составить некоторый список критериев для сведения всех криптографических средств воедино. Таким критерием для России является сертификация СКЗИ в ФСБ (ФАПСИ), так как российское законодательство не подразумевает понятие "криптографическая защита" без соответствующего сертификата.

С другой стороны, "общими точками соприкосновения" любых СКЗИ являются и технические характеристики самого средства, например, используемые алгоритмы, длина ключа и т.п. Однако, сравнивая СКЗИ именно по этим критериям, общая картина получается в корне неверной. Ведь то, что хорошо и правильно для программно-реализованного криптопровайдера, совсем неоднозначно верно для аппаратного криптографического шлюза.

Есть еще один немаловажный момент (да простят меня "коллеги по цеху"). Дело в том, что существуют два достаточно разноплановых взгляда на СКЗИ в целом. Я говорю о "техническом" и "потребительском".

"Технический" взгляд на СКЗИ охватывает огромный круг параметров и технических особенностей продукта (от длины ключа шифрования до перечня реализуемых протоколов).

"Потребительский" взгляд кардинально отличается от "технического" тем, что функциональные особенности того или иного продукта не рассматриваются как главенствующие. На первое место выходит ряд совершенно других факторов - ценовая политика, удобство использования, возможности масштабирования решения, наличие адекватной технической поддержки от производителя и т.п.

Однако для рынка СКЗИ все же есть один важный параметр, который позволяет объединить все продукты и при этом получить в достаточной степени адекватный результат. Я говорю о разделении всех СКЗИ по сферам применения и для решения тех или иных задач: доверенного хранения; защиты каналов связи; реализации защищенного документооборота (ЭЦП) и т.п.

Тематические сравнительные обзоры в области применения различных российских СКЗИ, например - российские VPN, то есть защита каналов связи, уже проводились в данном издании. Возможно, в дальнейшем появятся обзоры, посвященные другим сферам применения СКЗИ.

Но в данном случае сделана попытка всего лишь объединить все представленные на российском рынке решения по криптографической защите информации в единую таблицу на основе общих "точек соприкосновения". Естественно, что данная таблица не дает объективного сравнения функциональных возможностей тех или иных продуктов, а представляет собой именно обзорный материал.

Обобщающие критерии - для всех и каждого

Для обобщенной таблицы российского рынка СКЗИ в конечном счете можно составить следующие критерии:

• Фирма-производитель. Согласно общедоступным данным (Интернет), в России на данный момент порядка 20 компаний-разработчиков СКЗИ.
• Тип реализации (аппаратная, программная, аппаратно-программная). Обязательное разделение, которое имеет тем не менее весьма нечеткие границы, поскольку существуют, например, СКЗИ, получаемые путем установки некоторой программной составляющей - средств управления и непосредственно криптобиблиотеки, и в итоге они позиционируются как аппаратно-программное средство, хотя на самом деле представляют собой только ПО.
• Наличие действующих сертификатов соответствия ФСБ России и классы защиты. Обязательное условие для российского рынка СКЗИ, более того - 90% решений будут иметь одни и те же классы защиты.
• Реализованные криптографические алгоритмы (указать ГОСТы). Также обязательное условие - наличие ГОСТ 28147-89.
• Поддерживаемые операционные системы. Достаточно спорный показатель, важный для программно-реализованной криптобиблиотеки и совершенно несущественный для чисто аппаратного решения.
• Предоставляемый программный интерфейс. Существенный функциональный показатель, одинаково важный как для "технического", так и "потребительского" взгляда.
• Наличие реализации протокола SSL/TLS. Однозначно "технический" показатель, который можно расширять с точки зрения реализации иных протоколов.
• Поддерживаемые типы ключевых носителей. "Технический" критерий, который дает весьма неоднозначный показатель для различных типов реализации СКЗИ -аппаратных или программных.
• Интегрированность с продуктами и решениями компании Microsoft, а также с продуктами и решениями других производителей. Оба критерия больше относятся к программным СКЗИ типа "криптоби-блиотека", при этом использование этих критериев, например, для аппаратного комплекса построения VPN представляется весьма сомнительным.
• Наличие дистрибутива продукта в свободном доступе на сайте производителя, дилерской сети распространения и сервиса поддержки (временной критерий). Все эти три критерия однозначно являются "потребительскими", причем выходят они на первый план только тогда, когда конкретный функционал СКЗИ, сфера применения и круг решаемых задач уже предопределены.

Выводы

В качестве вывода я акцентирую внимание читателя на двух самых важных моментах данного обзора.

К средствам криптографической защиты информации (СКЗИ) относятся аппаратные, программно-аппаратные и программные средства, реализующие криптографические алгоритмы преобразования информации с целью:

Защиты информации при ее обработке, хранении и передаче по транспортной среде АС;

Обеспечения достоверности и целостности информации (в том числе с использованием алгоритмов цифровой подписи) при ее обработке, хранении и передаче по транспортной среде АС;

Выработки информации, используемой для идентификации и аутентификации субъектов, пользователей и устройств;

Выработки информации, используемой для защиты аутентифицирующих элементов защищенной АС при их выработке, хранении, обработке и передаче.

Предполагается, что СКЗИ используются в некоторой АС (в ряде источников - информационно-телекоммуникационной системе или сети связи), совместно с механизмами реализации и гарантирования политики безопасности.

Криптографическое преобразование обладает рядом существенных особенностей:

В СКЗИ реализован некоторый алгоритм преобразования информации (шифрование, электронная цифровая подпись, контроль целостности)

Входные и выходные аргументы криптографического преобразования присутствуют в АС в некоторой материальной форме (объекты АС)

СКЗИ для работы использует некоторую конфиденциальную информацию (ключи)

Алгоритм криптографического преобразования реализован в виде некоторого материального объекта, взаимодействующего с окружающей средой (в том числе с субъектами и объектами защищенной АС).

Таким образом, роль СКЗИ в защищённой АС - преобразование объектов. В каждом конкретном случае указанное преобразование имеет особенности. Так, процедура зашифрования использует как входные параметры объект - открытый текст и объект - ключ, результатом преобразования является объект - шифрованный текст; наоборот, процедура расшифрования использует как входные параметры шифрованный текст и ключ; процедура простановки цифровой подписи использует как входные параметры объект - сообщение и объект - секретный ключ подписи, результатом работы цифровой подписи является объект - подпись, как правило, интегрированный в объект - сообщение. Можно говорить о том, что СКЗИ производит защиту объектов на семантическом уровне. В то же время объекты - параметры криптографического преобразования являются полноценными объектами АС и могут быть объектами некоторой политики безопасности (например, ключи шифрования могут и должны быть защищены от НСД, открытые ключи для проверки цифровой подписиот изменений). Итак, СКЗИ в составе защищенных АС имеют конкретную реализацию - это может быть отдельное специализированное устройство, встраиваемое в компьютер, либо специализированная программа. Существенно важными являются следующие моменты:

СКЗИ обменивается информацией с внешней средой, а именно: в него вводятся ключи, открытый текст при шифровании

СКЗИ в случае аппаратной реализации использует элементную базу ограниченной надежности (т.е. в деталях, составляющих СКЗИ, возможны неисправности или отказы)

СКЗИ в случае программной реализации выполняется на процессоре ограниченной надежности и в программной среде, содержащей посторонние программы, которые могут повлиять на различные этапы его работы

СКЗИ хранится на материальном носителе (в случае программной реализации) и может быть при хранении преднамеренно или случайно искажено

СКЗИ взаимодействует с внешней средой косвенным образом (питается от электросети, излучает электромагнитные поля)

СКЗИ изготавливает или/и использует человек, могущий допустить ошибки (преднамеренные или случайные) при разработке и эксплуатации

Существующие средства защиты данных в телекоммуникационных сетях можно разделить на две группы по принципу построения ключевой системы и системы аутентификации. К первой группе отнесем средства, использующие для построения ключевой системы и системы аутентификации симметричные криптоалгоритмы, ко второй - асимметричные.

Проведем сравнительный анализ этих систем. Готовое к передаче информационное сообщение, первоначально открытое и незащищенное, зашифровывается и тем самым преобразуется в шифрограмму, т. е. в закрытые текст или графическое изображение документа. В таком виде сообщение передается по каналу связи, даже и не защищенному. Санкционированный пользователь после получения сообщения дешифрует его (т. е. раскрывает) посредством обратного преобразования криптограммы, вследствие чего получается исходный, открытый вид сообщения, доступный для восприятия санкционированным пользователям. Методу преобразования в криптографической системе соответствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом (последовательностью бит), обычно называемым шифрующим ключом.

Для большинства систем схема генератора ключа может представлять собой набор инструкций и команд либо узел аппаратуры, либо компьютерную программу, либо все это вместе, но в любом случае процесс шифрования (дешифрования) реализуется только этим специальным ключом. Чтобы обмен зашифрованными данными проходил успешно, как отправителю, так и получателю, необходимо знать правильную ключевую установку и хранить ее в тайне. Стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее, этот ключ должен быть известен другим пользователям сети, чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации. Взломщик в случае перехвата сообщения будет иметь дело только с зашифрованным текстом, а истинный получатель, принимая сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации. Кроме того, существует возможность шифрования информации и более простым способом - с использованием генератора псевдослучайных чисел. Использование генератора псевдослучайных чисел заключается в генерации гаммы шифра с помощью генератора псевдослучайных чисел при определенном ключе и наложении полученной гаммы на открытые данные обратимым способом. Этот метод криптографической защиты реализуется достаточно легко и обеспечивает довольно высокую скорость шифрования, однако недостаточно стоек к дешифрованию.

Для классической криптографии характерно использование одной секретной единицы - ключа, который позволяет отправителю зашифровать сообщение, а получателю расшифровать его. В случае шифрования данных, хранимых на магнитных или иных носителях информации, ключ позволяет зашифровать информацию при записи на носитель и расшифровать при чтении с него.

«Организационно-правовые методы информационной безопасности»

Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы

На сегодняшний день в нашей стране создана стабильная законодательная основа в области защиты информации. Основополагающим законом можно назвать Федеральный закон РФ «О информации, информационных технологиях и о защите информации». «Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации».Так же Закон устанавливает обязанности обладателей информации и операторов информационных систем.

Что касается «кодифицированного» регулирования обеспечения информационной безопасности, то нормы Кодекса об административных правонарушениях РФ и Уголовного кодекса РФ, так же содержат необходимые статьи. В ст. 13.12 КоАП РФ говориться о нарушении правил защиты информации. Так же ст. 13.13, предусматривающая наказание за незаконную деятельность в области защиты информации. И ст. 13.14. в которой предусматривается наказание за разглашение информации с ограниченным доступом. Статья 183. УК РФ предусматривает наказание за незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну.

Федеральным законом «Об информации, информатизации и защите информации» определено, что государственные информационные ресурсы Российской Федерации являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа.

Понятие государственной тайны определено в Законе «О государственной тайне» как «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации». Таким образом, исходя из баланса интересов государства, общества и граждан, область применения Закона ограничена определенными видами деятельности: военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной.

Закон определил, что основным критерием является принадлежность засекречиваемых сведений государству.

Закон также закрепил создание ряда органов в области защиты государственной тайны, в частности, межведомственной комиссии по защите государственной тайны, ввел институт должностных лиц, наделенных полномочиями по отнесению сведений к государственной тайне, с одновременным возложением на них персональной ответственности за деятельность по защите государственной тайны в сфере их ведения.

Общая организация и координация работ в стране по защите информации, обрабатываемой техническими средствами, осуществляется коллегиальным органом – Федеральной службой по техническому и экспортному контролю (ФСТЭК) России при Президенте Российской Федерации, которая осуществляет контроль за обеспечением в органах государственного управления и на предприятиях, ведущих работы по оборонной и другой секретной тематики.

Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства

Государственная политика обеспечения информационной безопасности Российской Федерации определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей по защите интересов Российской Федерации в информационной сфере в рамках направлений их деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере. Государственная политика обеспечения информационной безопасности Российской Федерации основывается на следующих основных принципах: соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности Российской Федерации; открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации; правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом; приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации.

Государство в процессе реализации своих функций по обеспечению информационной безопасности Российской Федерации: проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению; организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации; поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации; осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации; проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов; способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям; формулирует и реализует государственную информационную политику России; организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области; способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации.

Это предполагает: оценку эффективности применения действующих законодательных и иных нормативных правовых актов в информационной сфере и выработку программы их совершенствования; создание организационно-правовых механизмов обеспечения информационной безопасности; определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и телекоммуникационных систем, и установление их ответственности за соблюдение законодательства Российской Федерации в данной сфере; создание системы сбора и анализа данных об источниках угроз информационной безопасности Российской Федерации, а также о последствиях их осуществления; разработку нормативных правовых актов, определяющих организацию следствия и процедуру судебного разбирательства по фактам противоправных действий в информационной сфере, а также порядок ликвидации последствий этих противоправных действий; разработку составов правонарушений с учетом специфики уголовной, гражданской, административной, дисциплинарной ответственности и включение соответствующих правовых норм в уголовный, гражданский, административный и трудовой кодексы, в законодательство Российской Федерации о государственной службе; совершенствование системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации.

Правовое обеспечение информационной безопасности Российской Федерации должно базироваться, прежде всего, на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере. Соблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере. Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование форм общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности. Разработка механизмов правового обеспечения информационной безопасности Российской Федерации включает в себя мероприятия по информатизации правовой сферы в целом. В целях выявления и согласования интересов федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и других субъектов отношений в информационной сфере, выработки необходимых решений государство поддерживает формирование общественных советов, комитетов и комиссий с широким представительством общественных объединений и содействует организации их эффективной работы.

Особенности сертификации и стандартизации криптографических услуг

Практически во всех странах, обладающих развитыми криптографическими технологиями, разработка СКЗИ относится к сфере государственного регулирования. Государственное регулирование включает, как правило, лицензирование деятельности, связанной с разработкой и эксплуатацией криптографических средств, сертификацию СКЗИ и стандартизацию алгоритмов криптографических преобразований.

Лицензированию подлежат следующие виды деятельности: разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация шифровальных средств, предназначенных для криптографической защиты информации, содержащей сведения, составляющие государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации; разработка, производство, проведение сертификационных испытаний, эксплуатация систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации; разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация закрытых систем и комплексов телекоммуникаций органов власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности (далее - закрытых систем и комплексов телекоммуникаций), предназначенных для передачи информации, составляющей государственную или иную охраняемую законом тайну; проведение сертификационных испытаний, реализация и эксплуатация шифровальных средств, закрытых систем и комплексов телекоммуникаций, предназначенных для обработки информации, не содержащей сведений, составляющих государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации

К шифровальным средствам относятся: реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику; реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства защиты от несанкционированного доступа к информации при ее обработке и хранении; реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства защиты от навязывания ложной информации, включая средства имитозащиты и "цифровой подписи"; аппаратные, аппаратно-программные и программные средства для изготовления ключевых документов к шифровальным средствам независимо от вида носителя ключевой информации.

К закрытым системам и комплексам телекоммуникаций относятся системы и комплексы телекоммуникаций, в которых обеспечивается защита информации с использованием шифровальных средств, защищенного оборудования и организационных мер.

Дополнительно лицензированию подлежат следующие виды деятельности: эксплуатация шифровальных средств и/или средств цифровой подписи, а также шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт – карт; оказание услуг по защите (шифрованию) информации; монтаж, установка, наладка шифровальных средств и/или средств цифровой подписи, шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт – карт; разработка шифровальных средств и/или средств цифровой подписи, шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт-карт

Порядок сертификации СКЗИ установлен "Системой сертификации средств криптографической защиты информации РОСС.Р11.0001.030001 Госстандарта России.

Стандартизация алгоритмов криптографических преобразований включает всесторонние исследования и публикацию в виде стандартов элементов криптографических процедур с целью использования разработчиками СКЗИ апробированных криптографически стойких преобразований, обеспечения возможности совместной работы различных СКЗИ, а также возможности тестирования и проверки соответствия реализации СКЗИ заданному стандартом алгоритму. В России приняты следующие стандарты - алгоритм криптографического преобразования 28147-89, алгоритмы хеширования, простановки и проверки цифровой подписи Р34.10.94 и Р34.11.94. Из зарубежных стандартов широко известны и применяются алгоритмы шифрования DES, RC2, RC4, алгоритмы хеширования МD2, МD4 и МD5, алгоритмы простановки и проверки цифровой подписи DSS и RSA.

Законодательная база информационной безопасности

Основные понятия, требования, методы и средства проектирования и оценки системы информационной безопасности для информационных систем (ИС) отражены в следующих основополагающих документах:

"Оранжевая книга" Национального центра защиты компьютеров

"Гармонизированные критерии Европейских стран (ITSEC)";

Концепция защиты от НСД Госкомиссии при Президенте РФ.

Концепция информационной безопасности

Концепция безопасности разрабатываемой системы – "это набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть концепция безопасности. В зависимости от сформулированной концепции можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Концепция безопасности – это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия".

Концепция безопасности разрабатываемой системы согласно "Оранжевой книге" должна включать в себя следующие элементы:

Произвольное управление доступом;

Безопасность повторного использования объектов;

Метки безопасности;

Принудительное управление доступом.

Рассмотрим содержание перечисленных элементов.

Произвольное управление доступом – это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

Главное достоинство произвольного управления доступом – гибкость, главные недостатки – рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.

Безопасность повторного использования объектов – важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.

Метки безопасности ассоциируются с субъектами и объектами для реализации принудительного управления доступом. Метка субъекта описывает его благонадежность, метка объекта – степень закрытости содержащейся в нем информации. Согласно "Оранжевой книге" метки безопасности состоят из двух частей – уровня секретности и списка категорий. Главная проблема, которую необходимо решать в связи с метками, – это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными. Одним из средств обеспечения целостности меток безопасности является разделение устройств на многоуровневые и одноуровневые. На многоуровневых устройствах может храниться информация разного уровня секретности (точнее, лежащая в определенном диапазоне уровней). Одноуровневое устройство можно рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уровень устройства, система может решить, допустимо ли записывать на него информацию с определенной меткой.

Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Этот способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности.

Внедряемые «АСТ» корпоративные средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами.

Средства криптографической защиты информации (СКЗИ) являются важной составляющей при обеспечении информационной безопасности и позволяют гарантировать высокий уровень сохранности данных, даже в случае попадания зашифрованных электронных документов в руки третьих лиц, а также при краже или утере носителей информации с ними. СКЗИ сегодня применяются почти в каждой компании – чаще на уровне взаимодействия с автоматизированными банковскими системами и государственными информационными системами; реже – для хранения корпоративных данных и обмена ими. Тем временем, именно последнее применение средств шифрования позволяет защитить бизнес от опасных утечек критически ценной информации с гарантией до 99% даже с учетом человеческого фактора.

Функционально потребность в применении СКЗИ, также, обуславливается все более растущей популярностью средств электронного документооборота, архивации и безбумажного взаимодействия. Важность документов, обрабатываемых в таких системах, диктует обязательность обеспечения высокой защищенности информации, что невозможно выполнить без применения средств шифрования и электронной подписи.

Внедрение СКЗИ в корпоративную практику предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования. Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и ЭЦП, служащих для организации юридически значимого документооборота, аппаратные носители информации.

Внедряемые «АСТ» корпоративные средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент – файлов, каталогов с файлами и архивов, физических и виртуальных носителей информации, целиком серверов и СХД.

Решение сможет обеспечить весь комплекс мер по надежной защите информации при ее хранении, передаче, использовании, а также по управлению самими СКЗИ, включая:

• Обеспечение конфиденциальности информации
• Обеспечение целостности информации
• Гарантию подлинности информации
• Целевую защиту информации, включая:
  — Шифрование и расшифрование
  — Создание и проверку ЭЦП
• Гибкость настройки, управления и использования СКЗИ
• Защиту СКЗИ, включая мониторинг и обнаружение случаев нарушения работоспособности, попыток несанкционированного доступа, случаев компрометации ключей.

Реализованные проекты

Связанные услуги:

• Мониторинг событий и управление инцидентами ИБ

  Самым важным фактором при обеспечении информационной безопасности (ИБ) является наличие полной и достоверной информации о событиях,

  [...]
• Обеспечение сетевой безопасности и защиты периметра

  Сетевая инфраструктура технологически лежит в основе всех корпоративных ИТ-систем и является транспортной артерией для информации,

  [...]
• Защита от целенаправленных атак

  Одной из наиболее серьезных и опасных угроз для бизнеса с точки зрения информационной безопасности (ИБ) являются целенаправленные

  [...]
• Защита АСУ ТП

  Автоматизированная система управления технологическими процессами (АСУ ТП) на производстве является основополагающим решением,

  [...]
• Системы анализа и управления уязвимостями

  Как не бывает абсолютно здоровых людей, так и не бывает абсолютно защищенных информационных систем. Компоненты ИТ-инфраструктуры

  [...]
• Защита от утечки информации (DLP-система)

  Любая организация имеет документы с ограниченным доступом, содержащие ту или иную конфиденциальную информацию. Их попадание в чужие

Средства криптографической защиты информации (СКЗИ)

"...Средство криптографической защиты информации (СКЗИ) - сертифицированные в порядке, установленном законодательством Российской Федерации, аппаратные и (или) программные средства, обеспечивающие шифрование, контроль целостности и применение ЭЦП при обмене электронными документами;..."

Источник:

"Методические рекомендации по предоставлению организациям, осуществляющим производство и (или) оборот (за исключением импорта и розничной продажи) этилового спирта, алкогольной и спиртосодержащей продукции на территории Российской Федерации, программных средств единой государственной автоматизированной информационной системы учета объема производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции и их установки в технические средства фиксации и передачи информации об объеме производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции в единую государственную автоматизированную информационную систему учета объема производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции" (утв. Росалкогольрегулированием)

"...Средства криптографической защиты информации (СКЗИ) - совокупность программных и технических средств, реализующих криптографические преобразования с исходной информацией и функцию выработки и проверки электронной цифровой подписи..."

Источник:

Правления ПФ РФ от 26.01.2001 N 15 "О введении в системе Пенсионного фонда Российской Федерации криптографической защиты информации и электронной цифровой подписи" (вместе с "Регламентом регистрации и подключения юридических и физических лиц к системе электронного документооборота Пенсионного фонда Российской Федерации")

Официальная терминология . Академик.ру . 2012 .

Смотреть что такое "Средства криптографической защиты информации (СКЗИ)" в других словарях:

СКЗИ - средства криптографической защиты информации СКЗИ средство контроля защищенности информации Источник: http://pcweek.ru/?ID=476136 … Словарь сокращений и аббревиатур

Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения - Терминология Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения: 29. Администратор защиты Субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к… … Словарь-справочник терминов нормативно-технической документации

EToken - смарт карта и USB ключ eToken PRO, eToken NG FLASH, eToken NG OTP, eToken PRO (Java) и eToken PASS eToken (от англ. electronic электронный и англ. token признак, жетон) торговая марка для линейки персональных средств… … Википедия

OPTIMA-WorkFlow - В данной статье или разделе имеется список источников или внешних ссылок, но источники отдельных утверждений остаются неясными из за отсутствия сносок. Вы можете улучшить статью, внеся более точные указания на источники … Википедия - Аппаратное шифрование процесс шифрования, производимый при помощи специализированных вычислительных устройств. Содержание 1 Введение 2 Достоинства и недостатки аппаратного шифрования … Википедия

1.1. Настоящая Политика применения средств криптографической защиты информации (далее — Политика ) определяет порядок организации и обеспечения функционирования шифровальных (криптографических ) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну (далее – СКЗИ, криптосредство ) в случае их использования для обеспечения безопасности конфиденциальной информации и персональных данных при их обработке в информационных системах.

1.2. Настоящая Политика разработана во исполнение:

• Федерального закона "О персональных данных " , нормативных актов Правительства РФ в области обеспечения безопасности персональных данных;
• Федерального закона № 63-ФЗ "Об электронной подписи " ;
• Приказа ФСБ РФ № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности " ;
• Приказа ФАПСИ № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну »;
• Приказа ФСБ РФ N 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005) »;

1.3. Настоящая Политика распространяется на крипто средства, предназначенные для обеспечения безопасности конфиденциальной информации и персональных данных при их обработке в информационных системах;

1.4. Криптографические средства защиты информации (далее – СКЗИ ), реализующие функции шифрования и электронной подписи применяются для защиты электронных документов, передаваемых по общедоступным каналам связи, например, публичная сеть Интернет, либо по коммутируемым каналам связи.

1.5. Для обеспечения безопасности необходимо использовать СКЗИ, которые:

• допускают встраивание в технологические процессы обработки электронных сообщений, обеспечивают взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;
• поставляются разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения;
• поддерживают непрерывность процессов протоколирования работы СКЗИ и обеспечения целостности программного обеспечения для среды функционирования СКЗИ, представляющей собой совокупность технических и программных средств, совместно с которыми происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИ требований;
• сертифицированы уполномоченным государственным органом либо имеют разрешение ФСБ России.

1.6. СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2.

1.7. СКЗИ реализуются на основе алгоритмов, соответствующих национальным стандартам РФ, условиям договора с контрагентом.

1.8. СКЗИ, лицензии, сопутствующие ключевые документы, инструкции к СКЗИ приобретаются организацией самостоятельно или могут быть получены у сторонней организации, инициирующей защищенный документооборот.

1.9. СКЗИ, включая инсталляционные носители, ключевые документы, описания и инструкции к СКЗИ, составляют коммерческую тайну в соответствии с Положением о конфиденциальной информации.

1. Порядок применения СКЗИ

2.1. Установка и настройка средств криптографической защиты информации осуществляется в соответствии с эксплуатационной документацией, инструкциями ФСБ России, других организаций, участвующих в защищенном электронном документообороте. По окончании установки и настройки осуществляется проверка готовности СКЗИ к использованию с составлением заключений о возможности их эксплуатации и ввод СКЗИ в эксплуатацию.

Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с криптосредствами, в режимных помещениях должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ. Необходимо предусмотреть организационно-технические меры, исключающие возможность использования СКЗИ посторонними лицами. Физическое размещение СКЗИ должно обеспечивать безопасность СКЗИ, предотвращение несанкционированного доступа к СКЗИ. Доступ лиц в помещения, где располагаются средства защиты, ограничивается в соответствии со служебной необходимостью и определяется списком, утвержденным директором.

Встраивание крипто средств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы ).

Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.

Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо самим пользователем криптосредства при наличии соответствующей лицензии ФСБ России, либо организацией, имеющей соответствующую лицензию ФСБ России.

Встраивание криптосредства класса КВ1, КВ2 или КА1 осуществляется организацией, имеющей соответствующую лицензию ФСБ России.

Снятие СКЗИ с эксплуатации осуществляется при соблюдении процедур, обеспечивающих гарантированное удаление информации, несанкционированное использование которой может нанести ущерб бизнес — деятельности организации, и информации, используемой средствами обеспечения информационной безопасности, из постоянной памяти и с внешних носителей (за исключением архивов электронных документов и протоколов электронного взаимодействия, ведение и сохранность которых в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами ) и оформляется Актом. СКЗИ уничтожают (утилизируют ) по решению владельца криптосредства, и с уведомлением организации, ответственной в соответствии за организацию поэкземплярного учета криптосредств.

Намеченные к уничтожению (утилизации ) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом криптосредства считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения криптосредств и они полностью отсоединены от аппаратных средств.

Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с криптосредствами оборудование (мониторы, принтеры, сканеры, клавиатура и т.п. ), разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах ), должна быть надежно удалена (стерта ).

2.2. Эксплуатация СКЗИ осуществляется лицами, назначенными приказом директора организации и прошедшими обучение работе с ними. При наличии двух и более пользователей СКЗИ обязанности между ними распределяются с учетом персональной ответственности за сохранность криптосредств, ключевой, эксплуатационной и технической документации, а также за порученные участки работы.

Пользователи криптосредств обязаны:

• не разглашать информацию, к которой они допущены, в том числе сведения о СКЗИ и других мерах защиты;
• не разглашать информацию о ключевых документах;
• не допускать снятие копий с ключевых документов;
• не допускать вывод ключевых документов на дисплей (монитор ) персонального компьютера или принтер;
• не допускать записи на ключевой носитель посторонней информации;
• не допускать установки ключевых документов в другие персональные компьютеры;
• соблюдать требования к обеспечению безопасности информации, требования к обеспечению безопасности СКЗИ и ключевых документов к ним;
• сообщать о ставших им известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним;
• немедленно уведомлять о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемой информации;
• сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств.

Безопасность обработки информации с использованием СКЗИ обеспечивается:

• соблюдением пользователями конфиденциальности при обращении со сведениями, которые им доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых СКЗИ и ключевых документах к ним;
• точным выполнением пользователями СКЗИ требований к обеспечению безопасности информации;
• надежным хранением эксплуатационной и технической документации к СКЗИ, ключевых документов, носителей информации ограниченного распространения;
• своевременным выявлением попыток посторонних лиц получить сведения о защищаемой информации, об используемых СКЗИ или ключевых документах к ним;
• немедленным принятием мер по предупреждению разглашения защищаемой информации, а также возможной ее утечки при выявлении фактов утраты или недостачи СКЗИ, ключевых документов к ним, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов ), личных печатей и т.п.

При необходимости передачи по техническим средствам связи служебных сообщений ограниченного доступа, касающихся организации и обеспечения функционирования СКЗИ, указанные сообщения необходимо передавать только с использованием криптосредств. Передача по техническим средствам связи криптоключей не допускается, за исключением специально организованных систем с децентрализованным снабжением криптоключами.

СКЗИ подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров криптосредств определяется Федеральной службой безопасности Российской Федерации.

Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету. Форма Журнала учета СКЗИ приведена в Приложении № 1, Журнала учета ключевых носителей в Приложении № 2 к настоящей Политике. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные СКЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие криптосредства учитываются также совместно с соответствующими аппаратными средствами.

Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования, ключевой блокнот. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.

Все полученные экземпляры криптосредств, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям криптосредств, несущим персональную ответственность за их сохранность.

Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями криптосредств и (или) ответственным пользователем криптосредств под расписку в соответствующих журналах поэкземплярного учета. Такая передача между пользователями криптосредств должна быть санкционирована.

Хранение инсталлирующих носителей СКЗИ, эксплуатационной и технической документации, ключевых документов осуществляется в шкафах (ящиках, хранилищах ) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы ). Место опечатывания (опломбирования ) криптосредств, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей криптосредств указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища.

Внесение изменений в программное обеспечение СКЗИ и техническую документацию на СКЗИ осуществляется на основании полученных от производителя СКЗИ и документально подтвержденных обновлений с фиксацией контрольных сумм.

Эксплуатация СКЗИ предполагает ведение не менее двух резервных копий программного обеспечения и одной резервной копии ключевых носителей. Восстановление работоспособности СКЗИ в аварийных ситуациях осуществляется в соответствии с эксплуатационной документацией.

2.3. Изготовление ключевых документов из исходной ключевой информации осуществляют ответственные пользователи СКЗИ, применяя штатные криптосредства, если такая возможность предусмотрена эксплуатационной и технической документацией при наличии лицензии ФСБ России на деятельность по изготовлению ключевых документов для криптосредств.

Ключевые документы могут доставляться фельдъегерской (в том числе ведомственной ) связью или со специально выделенными ответственными пользователями криптосредств и сотрудниками при соблюдении мер, исключающих бесконтрольный доступ к ключевым документам во время доставки.

Для пересылки ключевых документов они должны быть помещены в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия. На упаковках указывают ответственного пользователя для которых эти упаковки предназначены. На таких упаковках делают пометку «Лично». Упаковки опечатывают таким образом, чтобы исключалась возможность извлечения из них содержимого без нарушения упаковок и оттисков печати.

До первоначальной высылки (или возвращения ) адресату сообщают отдельным письмом описание высылаемых ему упаковок и печатей, которыми они могут быть опечатаны.

Для пересылки ключевых документов готовится сопроводительное письмо, в котором необходимо указывается: что посылается и в каком количестве, учетные номера документов, а также, при необходимости, назначение и порядок использования высылаемого отправления. Сопроводительное письмо вкладывают в одну из упаковок.

Полученные упаковки вскрывает только ответственный пользователь криптосредств, для которых они предназначены. Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать — их описанию (оттиску ), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то получатель составляет акт, который высылает отправителю. Полученные с такими отправлениями ключевые документы до получения указаний от отправителя применять не разрешается.

При обнаружении бракованных ключевых документов или криптоключей один экземпляр бракованного изделия следует возвратить изготовителю для установления причин происшедшего и их устранения в дальнейшем, а оставшиеся экземпляры хранить до поступления дополнительных указаний от изготовителя.

Получение ключевых документов должно быть подтверждено отправителю в соответствии с порядком, указанным в сопроводительном письме. Отправитель обязан контролировать доставку своих отправлений адресатам. Если от адресата своевременно не поступило соответствующего подтверждения, то отправитель должен направить ему запрос и принять меры к уточнению местонахождения отправлений.

Заказ на изготовление очередных ключевых документов, их изготовление и рассылку на места использования для своевременной замены действующих ключевых документов производится заблаговременно. Указание о вводе в действие очередных ключевых документов дается ответственным пользователем криптосредств только после поступления от них подтверждения о получении очередных ключевых документов.

Неиспользованные или выведенные из действия ключевые документы подлежат возвращению ответственному пользователю криптосредств или по его указанию должны быть уничтожены на месте.

Уничтожение криптоключей (исходной ключевой информации ) может производиться путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения ) криптоключей (исходной ключевой информации ) без повреждения ключевого носителя (для обеспечения возможности его многократного использования ).

Криптоключи (исходную ключевую информацию ) стирают по технологии, принятой для соответствующих ключевых носителей многократного использования (дискет, компакт-дисков (CD-ROM), Data Key, Smart Card, Touch Memory и т.п. ). Непосредственные действия по стиранию криптоключей (исходной ключевой информации ), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации ).

Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации ).

Бумажные и прочие сгораемые ключевые носители уничтожают путем сжигания или с помощью любых бумагорезательных машин.

Ключевые документы уничтожаются в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Факт уничтожения оформляется в соответствующих журналах поэкземплярного учета.

Уничтожение по акту производит комиссия в составе не менее двух человек. В акте указывается что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, инсталлирующих СКЗИ носителей, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делаются отметки в соответствующих журналах поэкземплярного учета.

Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации СКЗИ. В чрезвычайных случаях, когда отсутствуют криптоключи для замены скомпрометированных, допускается, по решению ответственного пользователя криптосредств, согласованного с оператором, использование скомпрометированных криптоключей. В этом случае период использования скомпрометированных криптоключей должен быть максимально коротким, а защищаемая информация как можно менее ценной.

О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшихся (хранящихся ) с их использованием данных, пользователи криптосредств обязаны сообщать ответственному пользователю криптосредств.

Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения ).

В случаях недостачи, не предъявления ключевых документов, а также неопределенности их местонахождения ответственный пользователь принимает срочные меры к их розыску и локализации последствий компрометации ключевых документов.

1. Порядок управления ключевой системой

Регистрация лиц, обладающих правами по управлению ключами осуществляется в соответствии с эксплуатационной документацией на СКЗИ.

Управление ключами – информационный процесс, включающий в себя три элемента:

— генерацию ключей;

— накопление ключей;

— распределение ключей.

В информационных системах организации используются специальные аппаратные и программные методы генерации случайных ключей. Как правило, используются датчики псевдо случайных чисел (далее — ПСЧ ), с достаточно высокой степенью случайности их генерации. Вполне приемлемы программные генераторы ключей, которые вычисляют ПСЧ как сложную функцию от текущего времени и (или ) числа, введенного пользователем.

Под накоплением ключей понимается организация их хранения, учета и удаления.

Секретные ключи не должны записываться в явном виде на носителе, который может быть считан или скопирован.

Вся информация об используемых ключах должна храниться в зашифрованном виде. Ключи, зашифровывающие ключевую информацию, называются мастер-ключами. Мастер-ключи каждый пользователь должен знать наизусть, запрещается хранение их на каких-либо материальных носителях.

Для условия безопасности информации необходимо периодическое обновление ключевой информации в информационных системах. При этом переназначаются как обычные ключи, так и мастер-ключи.

При распределении ключей необходимо выполнить следующие требования:

— оперативность и точность распределения;

— скрытость распределяемых ключей.

Альтернативой является получение двумя пользователями общего ключа от центрального органа – центра распределения ключей (ЦРК), с помощью которого они могут безопасно взаимодействовать. Для организации обмена данными между ЦРК и пользователем последнему при регистрации выделяется специальный ключ, которым шифруются сообщения, передаваемые между ними. Каждому пользователю выделяется отдельный ключ.

УПРАВЛЕНИЕ КЛЮЧАМИ, ОСНОВАННОЕ НА СИСТЕМАХ С ОТКРЫТЫМ КЛЮЧОМ

До использования криптосистемы с открытым ключом для обмена обычными секретными ключами пользователи должны обменяться своими открытыми ключами.

Управление открытыми ключами может быть организовано с помощью оперативной или автономной службы каталогов, пользователи могут также обмениваться ключами непосредственно.

1. Мониторинг и контроль применения СКЗИ

Для повышения уровня безопасности при эксплуатации СКЗИ в системе следует реализовать процедуры мониторинга, регистрирующие все значимые события, состоявшиеся в процессе обмена электронными сообщениями, и все инциденты информационной безопасности. Описание и перечень данных процедур должны быть установлены в эксплуатационной документации на СКЗИ.

Контроль применения СКЗИ обеспечивает:

• контроль соответствия настройки и конфигурирования средств защиты информации, а также технических и программных средств, способных повлиять на выполнение предъявляемых к средствам защиты информации требований, нормативной и технической документации;
• контроль соблюдения правил хранения информации ограниченного доступа, используемой при эксплуатации средств защиты информации (в частности, ключевой, парольной и аутентифицирующей информации );
• контроль возможности доступа посторонних лиц к средствам защиты информации, а также к техническим и программным средствам, способным повлиять на выполнение предъявляемых к средствам защиты информации требований;
• контроль соблюдения правил реагирования на инциденты информационной информации (о фактах утраты, компрометации ключевой, парольной и аутентифицирующей информации, а также любой другой информации ограниченного доступа );
• контроль соответствия технических и программных средств СКЗИ и документации на эти средства эталонным образцам (гарантии поставщиков или механизмы контроля, позволяющие установить самостоятельно такое соответствие );
• контроль целостности технических и программных средств СКЗИ и документации на эти средства в процессе хранения и ввода в эксплуатацию этих средств (с использованием как механизмов контроля, описанных в документации на СКЗИ, так и с использованием организационных ).

Скачать ZIP файл (43052)

Пригодились документы - поставь «лайк»: