Zertifiziertes Skzy FSB. Zertifizierte Kommunikatoren – was Sie wissen müssen, um sie richtig auszuwählen. Anforderungen an Servicepersonal

Die Anforderungen an die Informationssicherheit bei der Gestaltung von Informationssystemen geben die Merkmale an, die die eingesetzten Mittel zur Informationssicherheit charakterisieren. Sie werden durch verschiedene Gesetze der Regulierungsbehörden im Bereich Sicherheit definiert Informationssicherheit, insbesondere - FSTEC und der FSB Russlands. Welche Sicherheitsklassen es gibt, welche Arten und Arten von Schutzausrüstung es gibt und wo Sie mehr darüber erfahren können, erfahren Sie im Artikel.

Einführung

Heutzutage stehen Fragen der Gewährleistung der Informationssicherheit im Mittelpunkt großer Aufmerksamkeit, da Technologien, die überall eingesetzt werden, ohne die Informationssicherheit zu gewährleisten, zu einer Quelle neuer schwerwiegender Probleme werden.

Der russische FSB berichtet über den Ernst der Lage: Der Schaden, den Angreifer über mehrere Jahre weltweit anrichteten, schwankte zwischen 300 Milliarden und einer Billion US-Dollar. Nach Angaben des Generalstaatsanwalts der Russischen Föderation hat sich die Zahl der Straftaten im Bereich der Hochtechnologie in Russland allein im ersten Halbjahr 2017 versechsfacht, der Gesamtschaden überstieg 18 Millionen US-Dollar. Eine Zunahme gezielter Angriffe im Industriesektor im Jahr 2017 war weltweit zu verzeichnen. Insbesondere in Russland betrug der Anstieg der Angriffszahlen im Vergleich zu 2016 22 %.

Informationstechnologien wurden als Waffen für militärisch-politische, terroristische Zwecke, zur Einmischung in die inneren Angelegenheiten souveräner Staaten sowie zur Begehung anderer Verbrechen eingesetzt. Die Russische Föderation steht für die Schaffung eines internationalen Informationssicherheitssystems.

Auf dem Territorium Russische Föderation Eigentümer von Informationen und Betreiber von Informationssystemen sind verpflichtet, Versuche des unbefugten Zugriffs auf Informationen zu blockieren und den Sicherheitszustand der IT-Infrastruktur kontinuierlich zu überwachen. Gleichzeitig wird der Informationsschutz durch verschiedene Maßnahmen, auch technischer Art, gewährleistet.

Informationssicherheitstools oder Informationsschutzsysteme gewährleisten den Schutz von Informationen in Informationssystemen, bei denen es sich im Wesentlichen um eine Sammlung von in Datenbanken gespeicherten Informationen, Informationstechnologien, die deren Verarbeitung sicherstellen, handelt technische Mittel.

Moderne Informationssysteme zeichnen sich durch den Einsatz verschiedener Hard- und Softwareplattformen, die territoriale Verteilung der Komponenten sowie die Interaktion mit aus offene Netzwerke Datenübertragung.

Wie können Informationen unter solchen Bedingungen geschützt werden? Die entsprechenden Anforderungen werden von autorisierten Stellen, insbesondere FSTEC und dem FSB Russlands, vorgelegt. Im Rahmen des Artikels werden wir versuchen, die wichtigsten Ansätze zur Klassifizierung von Informationssicherheitssystemen unter Berücksichtigung der Anforderungen dieser Regulierungsbehörden widerzuspiegeln. Andere Möglichkeiten zur Beschreibung der Klassifizierung von Informationssicherheitssystemen, reflektiert in Regulierungsdokumente Russische Abteilungen sowie ausländische Organisationen und Agenturen fallen nicht in den Rahmen dieses Artikels und werden nicht weiter berücksichtigt.

Der Artikel kann für unerfahrene Spezialisten auf dem Gebiet der Informationssicherheit als Quelle strukturierter Informationen zu Methoden zur Klassifizierung der Informationssicherheit auf der Grundlage der Anforderungen des FSTEC Russlands (in größerem Umfang) und kurz des FSB Russlands nützlich sein.

Die Struktur, die das Verfahren festlegt und die Bereitstellung von Informationssicherheit mit nicht-kryptografischen Methoden koordiniert, ist das FSTEC Russlands (ehemals Staatliche Technische Kommission unter dem Präsidenten der Russischen Föderation, Staatliche Technische Kommission).

Wenn der Leser jemals das vom FSTEC Russlands erstellte staatliche Register zertifizierter Informationssicherheitstools gesehen hat, dann hat er sicherlich auf das Vorhandensein von Ausdrücken wie „RD SVT“ im beschreibenden Teil des Zwecks des Informationsschutzsystems geachtet Klasse“, „Grad der Nichteinhaltung von Nichteinhaltungsdaten“ usw. (Abbildung 1) .

Abbildung 1. Fragment des Registers zertifizierter Informationsschutzgeräte

Klassifizierung kryptografischer Informationssicherheitstools

Der FSB Russlands hat Klassen kryptografischer Informationsschutzsysteme definiert: KS1, KS2, KS3, KV und KA.

Zu den Hauptmerkmalen von IPS der KS1-Klasse gehört ihre Fähigkeit, Angriffen von außerhalb des kontrollierten Bereichs standzuhalten. Dies bedeutet, dass die Entwicklung von Angriffsmethoden, deren Vorbereitung und Umsetzung ohne die Beteiligung von Spezialisten auf dem Gebiet der Entwicklung und Analyse der kryptografischen Informationssicherheit erfolgt. Es wird davon ausgegangen, dass Informationen über das System, in dem die angegebenen Informationssicherheitssysteme eingesetzt werden, aus offenen Quellen bezogen werden können.

Wenn ein kryptografisches Informationssicherheitssystem sowohl Angriffen, die durch die Klasse KS1 blockiert werden, als auch solchen, die innerhalb des kontrollierten Bereichs ausgeführt werden, standhalten kann, entspricht diese Informationssicherheit der Klasse KS2. In diesem Fall ist es beispielsweise zulässig, dass es während der Vorbereitung eines Angriffs zu einem Angriff kommen könnte verfügbare Information zu physischen Maßnahmen zum Schutz von Informationssystemen, zur Gewährleistung eines Kontrollbereichs usw.

Wenn es möglich ist, Angriffen zu widerstehen, wenn ein physischer Zugang zu Computergeräten mit installierten kryptografischen Sicherheitsinformationen besteht, gelten diese Geräte als konform mit der KS3-Klasse.

Wenn die kryptografische Informationssicherheit Angriffen standhält, an deren Erstellung Spezialisten auf dem Gebiet der Entwicklung und Analyse dieser Tools, einschließlich Forschungszentren, beteiligt waren und Laborstudien zu Sicherheitsmitteln durchgeführt werden konnten, dann handelt es sich um die Einhaltung der HF-Klasse .

Wenn Spezialisten auf dem Gebiet der Verwendung von NDV-Systemen an der Entwicklung von Angriffsmethoden beteiligt wären Software, die entsprechende Designdokumentation vorhanden war und Zugriff auf jegliche Hardwarekomponenten des kryptografischen Informationssicherheitssystems bestand, kann mit der KA-Klasse ein Schutz vor solchen Angriffen gewährleistet werden.

Klassifizierung von Mitteln zum Schutz elektronischer Signaturen

Einrichtungen elektronische Unterschrift Abhängig von der Fähigkeit, Angriffen standzuhalten, ist es üblich, sie mit den folgenden Klassen zu vergleichen: KS1, KS2, KS3, KV1, KV2 und KA1. Diese Klassifizierung ähnelt der oben im Zusammenhang mit der kryptografischen Informationssicherheit diskutierten.

Schlussfolgerungen

Der Artikel untersuchte einige Methoden zur Klassifizierung der Informationssicherheit in Russland, deren Grundlage der Regulierungsrahmen der Regulierungsbehörden im Bereich des Informationsschutzes ist. Die betrachteten Klassifizierungsmöglichkeiten erheben keinen Anspruch auf Vollständigkeit. Dennoch hoffen wir, dass die präsentierten zusammenfassenden Informationen einem unerfahrenen Spezialisten auf dem Gebiet der Informationssicherheit eine schnelle Orientierung ermöglichen.

Die Hauptaufgaben des Schutzes von Informationen während ihrer Speicherung, Verarbeitung und Übertragung über Kommunikationskanäle und auf verschiedenen Medien, die mit Hilfe von CIPF gelöst werden, sind: 1.

Gewährleistung der Geheimhaltung (Vertraulichkeit) von Informationen. 2.

Gewährleistung der Informationsintegrität. 3.

Bestätigung der Echtheit von Informationen (Dokumenten). Um diese Probleme zu lösen, ist es notwendig, Folgendes zu implementieren

Prozesse: 1.

Implementierung der eigentlichen Informationsschutzfunktionen, einschließlich:

Verschlüsselung/Entschlüsselung; Erstellung/Überprüfung einer digitalen Signatur; Erstellen/Überprüfen simulierter Einfügungen. 2.

Überwachung des Status und Verwaltung der Funktion von KZI-Tools (im System):

Statusüberwachung: Erkennung und Registrierung von Fehlfunktionen digitaler Sicherheitstools, unbefugten Zugriffsversuchen und Schlüsselkompromittierungen;

Betriebsführung: Ergreifen von Maßnahmen bei den aufgeführten Abweichungen vom normalen Betrieb der CIS-Anlagen. 3.

Durchführung der Wartung von KZI-Einrichtungen: Implementierung des Schlüsselmanagements;

Durchführung von Verfahren im Zusammenhang mit dem Anschluss neuer Netzwerkteilnehmer und/oder dem Ausschluss abgehender Teilnehmer; Beseitigung festgestellter Mängel des CIPF; Einführung neuer Versionen der CIPF-Software;

Modernisierung und Ersatz der technischen Mittel des CIPF durch fortschrittlichere und/oder Ersatz von Mitteln, deren Lebensdauer erschöpft ist.

Die Tastensteuerung ist eine der wichtigsten Funktionen kryptografischer Schutz Informationen und besteht in der Umsetzung der folgenden Hauptfunktionen:

Schlüsselgenerierung: definiert einen Mechanismus zur Generierung von Schlüsseln oder Schlüsselpaaren mit Garantie ihrer kryptografischen Eigenschaften;

Schlüsselverteilung: definiert den Mechanismus, mit dem Schlüssel zuverlässig und sicher an Abonnenten übermittelt werden;

Schlüsselspeicherung: Definiert einen Mechanismus, mit dem Schlüssel für die zukünftige Verwendung sicher und zuverlässig gespeichert werden.

Schlüsselwiederherstellung: Definiert den Mechanismus zum Wiederherstellen eines der Schlüssel (Ersetzen durch einen neuen Schlüssel);

Schlüsselzerstörung: Definiert den Mechanismus, mit dem veraltete Schlüssel sicher zerstört werden;

Schlüsselarchiv: ein Mechanismus, mit dem Schlüssel für ihre weitere notariell beglaubigte Wiederherstellung in Konfliktsituationen sicher aufbewahrt werden können.

Im Allgemeinen ist es zur Umsetzung der aufgeführten Funktionen des kryptografischen Informationsschutzes erforderlich, ein kryptografisches Informationsschutzsystem zu schaffen, das die digitalen Sicherheitstools selbst, Servicepersonal, Räumlichkeiten, Büroausstattung, verschiedene Dokumentationen (technisch, behördlich und administrativ) vereint. , usw.

Wie bereits erwähnt, ist es zur Gewährleistung der Informationssicherheit erforderlich, zertifizierte digitale Sicherheitstools zu verwenden.

Das derzeit am weitesten verbreitete Problem ist der Schutz vertraulicher Informationen. Um dieses Problem zu lösen, wurde unter der Schirmherrschaft von FAPSI ein funktional vollständiger Satz von Werkzeugen zum kryptografischen Schutz vertraulicher Informationen entwickelt, der es ermöglicht, die aufgeführten Probleme des Informationsschutzes für eine Vielzahl von Anwendungen und Nutzungsbedingungen zu lösen.

Dieser Komplex basiert auf den kryptografischen Kernen „Verba“ (asymmetrisches Schlüsselsystem) und „Verba-O“ (symmetrisches Schlüsselsystem). Diese Kryptokerne bieten Datenverschlüsselungsverfahren gemäß den Anforderungen von GOST 28147-89 „Informationsverarbeitungssysteme“.

Kryptografischer Schutz“ und Digitale Unterschrift gemäß den Anforderungen von GOST R34.10-94 „Informationstechnologie. Kryptografischer Schutz von Informationen. Verfahren zur Entwicklung und Überprüfung einer elektronischen digitalen Signatur basierend auf einem asymmetrischen kryptografischen Algorithmus.“

Die im CIPF-Komplex enthaltenen Mittel ermöglichen Ihnen Schutz elektronische Dokumente Und Informationsflüsse Verwendung zertifizierter Verschlüsselungsmechanismen und elektronischer Signaturen in fast allen modernen Informationstechnologie, einschließlich der Möglichkeit: CIPF im Offline-Modus zu verwenden;

geschützt Informationsaustausch im Offline-Modus; sicherer Informationsaustausch online; geschützt heterogen, d.h. gemischter Informationsaustausch.

Um systemische Probleme bei der Verwendung von CIPF zu lösen, wurde unter der Leitung von D. A. Starovoitov die Vityaz-Technologie des komplexen kryptografischen Informationsschutzes entwickelt, die kryptografischen Datenschutz in allen Teilen des Systems gleichzeitig bietet: nicht nur in Kommunikationskanälen und Systemknoten, sondern auch auch direkt an Benutzerarbeitsplätzen während des Erstellungsprozesses eines Dokuments, wenn das Dokument selbst geschützt ist. Darüber hinaus wird im Rahmen der allgemeinen Vityaz-Technologie eine vereinfachte, für Benutzer leicht zugängliche Technologie zur Einbettung lizenzierter CIPF in verschiedene Anwendungssysteme bereitgestellt, was den Einsatzbereich dieser CIPF sehr breit macht.

Nachfolgend finden Sie eine Beschreibung der Schutzmittel und -methoden für jeden der aufgeführten Modi.

Verwenden von CIPF im Offline-Modus.

Bei der autonomen Arbeit mit CIPF können die folgenden Arten des kryptografischen Informationsschutzes implementiert werden: Erstellung eines sicheren Dokuments; Dateischutz;

Erstellen einer sicheren Dateisystem; Erstellen eines geschützten logischen Laufwerks. Auf Wunsch des Benutzers können folgende Arten des kryptografischen Schutzes von Dokumenten (Dateien) implementiert werden:

Verschlüsselung eines Dokuments (einer Datei), die seinen Inhalt sowohl beim Speichern des Dokuments (der Datei) als auch bei der Übertragung über Kommunikationskanäle oder per Hand unzugänglich macht;

Entwicklung einer simulierten Einfügung, die die Kontrolle der Integrität des Dokuments (der Datei) gewährleistet;

Generierung einer elektronischen digitalen Signatur, die die Kontrolle der Integrität des Dokuments (der Datei) und die Authentifizierung der Person gewährleistet, die das Dokument (die Datei) unterzeichnet hat.

Dadurch wird aus dem geschützten Dokument (Datei) eine verschlüsselte Datei, die ggf. eine elektronische digitale Signatur enthält. Die digitale Signatur kann je nach Organisation des Inals separate Datei vom zu signierenden Dokument dargestellt werden. Diese Datei kann dann zur Lieferung per Kurier auf eine Diskette oder ein anderes Medium ausgegeben oder über ein beliebiges verfügbares Medium versendet werden Email, zum Beispiel über das Internet.

Dementsprechend werden beim Empfang einer verschlüsselten Datei per E-Mail oder auf dem einen oder anderen Medium die durchgeführten kryptografischen Schutzschritte in umgekehrter Reihenfolge durchgeführt (Entschlüsselung, Überprüfung auf Nachahmungen, Überprüfung der digitalen Signatur).

Implementieren Batterielebensdauer Die folgenden zertifizierten Mittel können mit CIPF verwendet werden:

Texteditor „Lexicon-Verba“, implementiert auf Basis des CIPF „Verba-O“ und CIPF „Verba“;

CIPF-Softwarepaket „Autonomous Workplace“, implementiert auf Basis von CIPF „Verba“ und „Verba-O“ für Windows 95/98/NT;

kryptografischer Festplattentreiber PTS „DiskGuard“.

Geschützt Textverarbeitungssystem„Lexikon-Verba“.

Das Lexikon-Verba-System ist ein voll ausgestatteter Texteditor mit Unterstützung für Dokumentenverschlüsselung und elektronische digitale Signaturen. Zum Schutz von Dokumenten werden die kryptografischen Systeme Verba und Verba-O verwendet. Die Einzigartigkeit dieses Produkts besteht darin, dass die Funktionen der Verschlüsselung und Textsignierung einfach in die Funktionen eines modernen integriert sind Texteditor. Das Verschlüsseln und Signieren eines Dokuments wird in diesem Fall von speziellen Vorgängen zu einfachen Standardaktionen bei der Arbeit mit einem Dokument.

Gleichzeitig sieht das Lexicon-Verba-System wie ein normaler Texteditor aus. Zu den Textformatierungsoptionen gehören: vollständige Anpassung Dokumentschriftarten und Absätze; Tabellen und Listen; Kopfzeilen, Fußnoten, Seitenleisten; Nutzung von Stilen und vielen weiteren Funktionen eines Texteditors, der modernen Anforderungen gerecht wird. Mit „Lexicon-Verba“ können Sie Dokumente in den Formaten Lexicon, RTF, MS Word 6/95/97 und MS Write erstellen und bearbeiten.

Autonomer Arbeitsplatz.

CIPF „Autonomous Workplace“ ist auf Basis von CIPF „Verba“ und „Verba-O“ für Windows 95/98/NT implementiert und ermöglicht dem Benutzer die interaktive Ausführung folgender Funktionen:

Verschlüsselung/Entschlüsselung von Dateien mithilfe von Schlüsseln; Verschlüsselung/Entschlüsselung von Dateien mit einem Passwort; Anbringen/Entfernen/Überprüfen elektronischer digitaler Signaturen (EDS) in Dateien;

Überprüfung verschlüsselter Dateien;

Anbringen einer digitalen Signatur + Verschlüsselung (in einer Aktion) von Dateien; Entschlüsselung + Entfernung der digitalen Signatur (in einer Aktion) unter Dateien;

Berechnung der Hash-Datei.

CIPF „Autonomous Workplace“ empfiehlt sich für die tägliche Arbeit von Mitarbeitern, die Folgendes bereitstellen müssen:

Elektronische Übermittlung vertraulicher Informationen per Express oder Kurier;

Versenden vertraulicher Informationen über ein öffentliches Netzwerk, einschließlich Internet;

Schutz vor unbefugtem Zugriff auf vertrauliche Informationen auf persönliche Computer Mitarbeiter.

Allerdings gibt es hier viele Nuancen: Die Abrechnung und Speicherung von Verschlüsselungstools, der Zugriff auf CIPF und die Regelungen zu deren Nutzung müssen streng nach gesetzlichen Vorgaben erfolgen.

Ein Verstoß gegen die Vorschriften zur Informationssicherheit kann gemäß Artikel 13.12 des Gesetzes über Ordnungswidrigkeiten der Russischen Föderation eine Reihe von Sanktionen nach sich ziehen: Geldstrafen für Beamte und Organisationen sowie die Beschlagnahme der Kryptoschutzmittel selbst. Die Folge kann die Unfähigkeit sein, elektronische Berichte zu versenden oder die Arbeit der Institution im Datenaustauschsystem zu blockieren.

Die regelmäßige Überwachung der Verwendung von Verschlüsselungstools zur Gewährleistung der Sicherheit personenbezogener Daten (im Folgenden „PD“ genannt) erfolgt auf der Grundlage der Anforderungen der folgenden Vorschriften:

Bundesgesetz vom 27. Juli 2006 Nr. 152-FZ „Über personenbezogene Daten“;
Beschluss des FSB Russlands vom 10. Juli 2014 Nr. 378;
FAPSI-Anweisung Nr. 152 vom 13. Juni 2001;
und eine Reihe anderer regulatorischer Dokumente.

Der FSB-Inspektionsplan für das Jahr wird auf der offiziellen Website der Generalstaatsanwaltschaft der Russischen Föderation veröffentlicht. Hier kann sich jede Organisation unter Verwendung ihrer TIN oder OGRN über bevorstehende Inspektionen in diesem Jahr, deren Dauer und Zeitraum informieren.

Um sich auf eine FSB-Inspektion vorzubereiten, ist es notwendig, eine Reihe organisatorischer Maßnahmen zu ergreifen, Dokumente im Zusammenhang mit der Arbeit mit kryptografischem Informationsschutz zu entwickeln und zu genehmigen.

Die Antworten auf die folgenden Fragen helfen Ihnen, Ihre Vorbereitung auf die Inspektion zu systematisieren und sich auf die notwendigen Maßnahmen zu konzentrieren:

Verfügt die Organisation über Mittel zum Schutz kryptografischer Informationen? Gibt es Belege für den Erwerb, werden Aufzeichnungen geführt? Welche Dokumente regeln die Übertragung von CIPF zur Veräußerung und Nutzung?
Welche Abteilung im Unternehmen ist für die Zusammenarbeit mit CIPF verantwortlich, nämlich: Erstellung von Schlussfolgerungen zur Einsatzmöglichkeit von CIPF, Entwicklung von Maßnahmen zur Gewährleistung der Funktionsfähigkeit und Sicherheit des verwendeten CIPF gemäß den Bedingungen der für sie ausgestellten Zertifikate, Kopie- Kopienbuchhaltung der genutzten CIPF, betriebliche und technische Dokumentation für sie, Buchhaltung der bedienten Inhaber vertraulicher Informationen, Überwachung der Einhaltung der Nutzungsbedingungen von CIPF, Untersuchung und Erstellung von Schlussfolgerungen zu Tatsachen von Verstößen gegen die Nutzungsbedingungen von CIPF , Entwicklung eines Schemas zur Organisation des kryptografischen Schutzes vertraulicher Informationen?
Welche Dokumente regeln die Gründung der oben genannten Abteilung und welche Dokumente ernennen die Personen, die für die Durchführung von Maßnahmen innerhalb dieser Abteilung verantwortlich sind?
Wurden Vorschriften zur Aufzeichnung und Speicherung von CIPF entwickelt?
Sind die Formen der CIPF-Buchhaltungsjournale genehmigt? Wie werden sie gepflegt?
Ist der Kreis der verantwortlichen Personen und Verantwortlichkeiten im Falle eines Verstoßes gegen die Regeln für die Zusammenarbeit mit CIPF festgelegt?
Wie erfolgt die Speicherung und Bereitstellung des Zugriffs auf SZKI?

Alle Dokumente müssen vom Leiter oder einer autorisierten Person der Organisation genehmigt werden; es sind keine Sicherheitsklassifizierungen erforderlich, die Dokumente dürfen jedoch nur für die Mitarbeiter und Inspektoren der Organisation bestimmt sein.

Unsere Erfahrung in der Unterstützung von Kunden bei FSB-Inspektionen ermöglichte es uns, die typischsten Blockaden zu identifizieren, auf die die Regulierungsbehörde achtet.

1. Organisation eines Systems organisatorischer Maßnahmen zum Schutz personenbezogener Daten

Was wird überprüft		Beratung
Anwendungsbereich von CIPF in Informationssystemen für personenbezogene Daten; Verfügbarkeit von Abteilungsdokumenten und Anordnungen zur Organisation des kryptografischen Schutzes	Abteilungsdokumente und Anordnungen zur Organisation des kryptografischen Informationsschutzes	Es ist notwendig, sich auf die Dokumente zu beziehen, die die obligatorische Verwendung von CIPF für die Verarbeitung und Übermittlung von Informationen definieren. Zum Schutz personenbezogener Daten in Staatssysteme Dies sind 17 und 21 FSTEC-Befehle

Was wird überprüft

Beratung

Anwendungsbereich von CIPF in Informationssystemen für personenbezogene Daten;

Verfügbarkeit von Abteilungsdokumenten und Anordnungen zur Organisation des kryptografischen Schutzes

Abteilungsdokumente und Anordnungen zur Organisation des kryptografischen Informationsschutzes

Es ist notwendig, sich auf die Dokumente zu beziehen, die die obligatorische Verwendung von CIPF für die Verarbeitung und Übermittlung von Informationen definieren. Zum Schutz personenbezogener Daten in Staatssysteme Dies sind 17 und 21 FSTEC-Befehle

2. Organisation eines Systems kryptografischer Informationsschutzmaßnahmen

3. Genehmigungen und Betriebsdokumentation

Was wird überprüft	Welche Unterlagen müssen vorgelegt werden?	Beratung
Verfügbarkeit der erforderlichen Lizenzen für die Nutzung von CIPF in Informationssystemen für personenbezogene Daten; Verfügbarkeit von Konformitätszertifikaten für das verwendete CIPF; Verfügbarkeit der Betriebsdokumentation für CIPF (Formulare, Betriebsregeln, Bedienungsanleitung usw.); Das Verfahren zur Aufzeichnung von CIPF, betrieblicher und technischer Dokumentation für sie	Verwendete Lizenzen und Zertifikate für das CIPF; Betriebsdokumentation für CIPF	Welche Dokumente meinen wir: 1) Softwarelizenzen, 2) die Verfügbarkeit von Distributionen für diese Lizenzen, die legal erworben wurden,

Was wird überprüft

Welche Unterlagen müssen vorgelegt werden?

Beratung

Verfügbarkeit der erforderlichen Lizenzen für die Nutzung von CIPF in Informationssystemen für personenbezogene Daten;

Verfügbarkeit von Konformitätszertifikaten für das verwendete CIPF;

Verfügbarkeit der Betriebsdokumentation für CIPF (Formulare, Betriebsregeln, Bedienungsanleitung usw.);

Das Verfahren zur Aufzeichnung von CIPF, betrieblicher und technischer Dokumentation für sie

Verwendete Lizenzen und Zertifikate für das CIPF;

Betriebsdokumentation für CIPF

Welche Dokumente meinen wir:

1) Softwarelizenzen,

2) die Verfügbarkeit von Distributionen für diese Lizenzen, die legal erworben wurden,

4. Anforderungen an das Servicepersonal

Was wird überprüft	Welche Unterlagen müssen vorgelegt werden?	Beratung
Das Verfahren zur Registrierung von Personen, die zur Arbeit bei CIPF berechtigt sind; Verfügbarkeit funktionaler Verantwortlichkeiten verantwortlicher Benutzer von CIPF; Besetzung regulärer Stellen mit Personal und deren Ausreichendheit zur Lösung von Problemen im Zusammenhang mit der Organisation des kryptografischen Informationsschutzes; Organisation des Schulungsprozesses für Personen, die CIPF nutzen	Genehmigte Listen; Dokumente, die die funktionalen Verantwortlichkeiten der Mitarbeiter bestätigen; Benutzerprotokoll kryptografische Mittel; Dokumente, die den Abschluss der Mitarbeiterschulung bestätigen	Sie müssen über folgende Dokumente verfügen: 1) Anweisungen zum Arbeiten mit CIPF, 2) Ernennung der für die Zusammenarbeit mit CIPF Verantwortlichen durch interne Anordnung

Was wird überprüft

Welche Unterlagen müssen vorgelegt werden?

Beratung

Das Verfahren zur Registrierung von Personen, die zur Arbeit bei CIPF berechtigt sind;

Verfügbarkeit funktionaler Verantwortlichkeiten verantwortlicher Benutzer von CIPF;

Besetzung regulärer Stellen mit Personal und deren Ausreichendheit zur Lösung von Problemen im Zusammenhang mit der Organisation des kryptografischen Informationsschutzes;

Organisation des Schulungsprozesses für Personen, die CIPF nutzen

Genehmigte Listen;

Dokumente, die die funktionalen Verantwortlichkeiten der Mitarbeiter bestätigen;

Benutzerprotokoll kryptografische Mittel;

Dokumente, die den Abschluss der Mitarbeiterschulung bestätigen

Sie müssen über folgende Dokumente verfügen:

1) Anweisungen zum Arbeiten mit CIPF,

2) Ernennung der für die Zusammenarbeit mit CIPF Verantwortlichen durch interne Anordnung

5. Betrieb von CIPF

Was wird überprüft	Welche Unterlagen müssen vorgelegt werden?	Beratung
Überprüfung der korrekten Inbetriebnahme; Beurteilung des technischen Zustands des kryptografischen Informationsschutzsystems; Termintreue und Vollständigkeit Wartung; Überprüfung der Einhaltung der Regeln für die Nutzung von CIPF und des Verfahrens zum Umgang mit den damit verbundenen Schlüsseldokumenten	Bescheinigungen über die Inbetriebnahme von CIPF; Journal of Copy-by-Instance Accounting von CIPF; Zeitschrift für die Aufzeichnung und Ausgabe von Medien mit Schlüsselinformationen	Folgende Dokumente müssen erstellt werden: 1) Installationszertifikate von CIPF, 2) Anordnung zur Genehmigung von Logbuchformularen

Was wird überprüft

Welche Unterlagen müssen vorgelegt werden?

Beratung

Überprüfung der korrekten Inbetriebnahme;

Beurteilung des technischen Zustands des kryptografischen Informationsschutzsystems;

Termintreue und Vollständigkeit Wartung;

Überprüfung der Einhaltung der Regeln für die Nutzung von CIPF und des Verfahrens zum Umgang mit den damit verbundenen Schlüsseldokumenten

Bescheinigungen über die Inbetriebnahme von CIPF;

Journal of Copy-by-Instance Accounting von CIPF;

Zeitschrift für die Aufzeichnung und Ausgabe von Medien mit Schlüsselinformationen

Folgende Dokumente müssen erstellt werden:

1) Installationszertifikate von CIPF,

2) Anordnung zur Genehmigung von Logbuchformularen

6. Organisatorische Maßnahmen

Was wird überprüft	Welche Unterlagen müssen vorgelegt werden?	Beratung
Erfüllung der Anforderungen an die Platzierung, spezielle Ausrüstung, Sicherheit und Organisation des Regimes in Räumlichkeiten, in denen kryptografische Informationsschutzsysteme installiert oder Schlüsseldokumente dafür gespeichert sind; Übereinstimmung des Speichermodus von CIPF und der Schlüsseldokumentation mit den Anforderungen; Beurteilung des Umfangs der Bereitstellung von Kryptoschlüsseln für den Betreiber und Organisation ihrer Lieferung; Überprüfung der Verfügbarkeit von Anweisungen zur Wiederherstellung der Kommunikation im Falle einer Kompromittierung bestehender Schlüssel zu CIPF	Betriebsdokumentation für CIPF; Zugeteilte Räumlichkeiten für die Installation von CIPF und die Aufbewahrung wichtiger Dokumente dafür; Anweisungen für den Fall einer Kompromittierung vorhandener CIPF-Schlüssel	1) Einhaltung der Anforderungen der Anweisung 152 des FAPSI. Hängt von bestimmten Bedingungen ab; es kann erforderlich sein, Sicherheitsvorrichtungen anzubringen, Vorhänge an Fenstern anzubringen, einen Safe zu kaufen usw. 2) Anleitung zum Arbeiten mit CIPF

Was wird überprüft

Welche Unterlagen müssen vorgelegt werden?

Beratung

Erfüllung der Anforderungen an die Platzierung, spezielle Ausrüstung, Sicherheit und Organisation des Regimes in Räumlichkeiten, in denen kryptografische Informationsschutzsysteme installiert oder Schlüsseldokumente dafür gespeichert sind;

Übereinstimmung des Speichermodus von CIPF und der Schlüsseldokumentation mit den Anforderungen;

Beurteilung des Umfangs der Bereitstellung von Kryptoschlüsseln für den Betreiber und Organisation ihrer Lieferung;

Überprüfung der Verfügbarkeit von Anweisungen zur Wiederherstellung der Kommunikation im Falle einer Kompromittierung bestehender Schlüssel zu CIPF

Betriebsdokumentation für CIPF;

Zugeteilte Räumlichkeiten für die Installation von CIPF und die Aufbewahrung wichtiger Dokumente dafür;

Anweisungen für den Fall einer Kompromittierung vorhandener CIPF-Schlüssel

1) Einhaltung der Anforderungen der Anweisung 152 des FAPSI. Hängt von bestimmten Bedingungen ab; es kann erforderlich sein, Sicherheitsvorrichtungen anzubringen, Vorhänge an Fenstern anzubringen, einen Safe zu kaufen usw.

2) Anleitung zum Arbeiten mit CIPF

Alle oben genannten Anforderungen ergeben sich aus den Vorschriften zur Durchführung von FSB-Inspektionen. Spezifische Maßnahmen werden gemäß der FAPSI-Verordnung Nr. 152 vom 13. Juni 2001 durchgeführt.

Die Einhaltung zumindest eines Teils der Anforderungen erhöht die Wahrscheinlichkeit erheblich, alle Regulierungsverfahren ohne Bußgeld zu bestehen. Im Allgemeinen gibt es keine Redundanz in den Anforderungen; alle Maßnahmen sind wirklich wichtig und dienen dem Schutz der Interessen der Organisation.

Nikita Jarkow, Leiter der Lizenzgruppe bei SKB Kontur, Kontur-Safety-Projekt

Valery Konyavsky
Wissenschaftlicher Direktor von VNIIPVTI,
wissenschaftlicher Berater von OKB SAPR

Jede Operation mit einer Zufallszahl ergibt Zufallszahl. Eine dem Klartext hinzugefügte Zufallssequenz erzeugt einen zufälligen Kryptotext. Wie Bessere Qualität Gamma, desto unwahrscheinlicher ist es, den Kryptotext zu entschlüsseln. Wenn das Gamma wirklich zufällig ist, kann der Kryptotext nicht entschlüsselt werden.

Vernam-Chiffre

Kryptografische Informationsschutztools (CIPF) können in Verschlüsselungstools und elektronische Signaturtools (EDS) unterteilt werden.

Die Übertragung des Farbraums in Form riesiger Rollen gestanzter Papierbänder war nicht sehr praktisch und ziemlich teuer. Daher kam es manchmal zu Problemen bei der Wiederverwendung und in der Folge zum Verlust wichtiger Informationen.

Um nicht Rollen mit gestanzten Papierstreifen über teure Kanäle übertragen zu müssen, entwickelten sie Möglichkeiten, aus einem zufälligen, aber kurzen Schlüssel ein langes Gamma zu erzeugen. Zu diesem Zeitpunkt verstreichen Sie den Kurzschluss Zufallsschlüssel es war einfacher als das lange.

Zertifiziertes CIPF

Mit dem Advent moderne Medien Informationen hat sich die Situation dramatisch verändert, und jetzt gibt es kein Problem mehr, Gigabyte Gamma zu produzieren und zu übertragen – solange das DNG gut ist. Softwaregeneratoren der Pseudozufallsfolge (PSP) können hier nur aus Verzweiflung eingesetzt werden, weil es keinen guten physikalischen Generator gibt.

Kryptografische Standards definieren Abfolgen von Operationen, die es ermöglichen, auf der Grundlage eines guten Schlüssels einen sicher verschlüsselten Klartext zu erhalten. Allerdings müssen Schlüssel immer noch mit guten Sensoren hergestellt werden.

Die Regulierungsbehörde legt die Regeln fest, Prüflabore prüfen, ob die Anforderungen an Operationen, Schlüssel und die Abwesenheit einer Beeinflussung dieser Prozesse durch andere Prozesse erfüllt sind – so sehen zertifizierte kryptografische Informationsschutzsysteme aus.

Verschlüsselung und elektronische Signatur

Gamma muss die folgenden Eigenschaften haben:

wirklich zufällig sein, d. h. durch physische, analoge und nicht durch digitale Prozesse gebildet werden;
der angegebenen Klartextgröße entsprechen oder diese überschreiten;
nur einmal auf jede Nachricht angewendet und dann vernichtet werden.

Diese Chiffre wird Vernam-Chiffre genannt und ist die einzige Chiffre mit absoluter kryptografischer Stärke. Ein Beweis seiner Stärke ist jetzt nicht mehr erforderlich, da dies bereits 1945 von K. Shannon durchgeführt wurde. Eine große Gammalänge, ihre Entstehung auf der Grundlage physikalischer Prozesse und garantierte Zerstörung sind die Voraussetzungen für die Stärke der Chiffre.

Die Verschlüsselung ist notwendig, um sicherzustellen, dass nur diejenigen Zugriff auf Informationen haben, die auch Zugriff darauf haben. Mit der elektronischen Signatur wird der Wille einer Person erfasst. Und wenn CIPF kryptografische Transformationen in einer bewährten Umgebung korrekt durchführen muss, reicht dies für eine elektronische Signatur nicht aus. Es müssen alle Maßnahmen ergriffen werden, um sicherzustellen, dass die freier Wille einer Person. Darauf zielt das Bundesgesetz 63 ab, weshalb eine seiner wichtigsten Anforderungen die Anforderung an die korrekte Visualisierung des von einer Person unterschriebenen Dokuments ist. Im Gegensatz zu CIPF kommen daher für qualifizierte SES Prüfungen von Visualisierungstools hinzu. Natürlich ist alles erledigt notwendige Kontrollen kryptografische Algorithmen.

Bei der Analyse eines bestimmten elektronischen Signaturschemas wird normalerweise die Frage gestellt: „Ist es möglich, schnell zwei verschiedene (aussagekräftige) Nachrichten auszuwählen, die dieselben elektronischen Signaturen haben werden?“ Die Antwort hier ist normalerweise nein. Wenn eine gute Hash-Funktion ohne einen effektiven Kollisionserkennungsmechanismus verwendet wird, ist der Angriff fast immer zum Scheitern verurteilt. Mikhail Gruntovich (siehe Seite 48) stellte die Frage anders: „Ist es möglich, bei zwei Nachrichten Signaturschlüssel so auszuwählen, dass die elektronischen Signaturen übereinstimmen?“ Und es stellte sich heraus, dass dies äußerst einfach zu bewerkstelligen ist!

Gruntovichs Angriff

Betrachten wir die konkreten Bedingungen für die Umsetzung dieses Angriffs (in einer stark vereinfachten Version) am Beispiel einer Signatur nach dem El-Gamal-Schema. Der Glaube an die Stärke dieses Schemas basiert auf der (hypothetischen) Komplexität des Problems des diskreten Logarithmus, aber es ist nicht das Problem der diskreten Mathematik, das hier angegriffen wird.

CIPF muss Hardware sein. Sie müssen einen physischen RNG der erforderlichen Qualität enthalten und sicherstellen, dass nicht nur der Signaturschlüssel, sondern auch andere kryptografische Elemente, die sich auf die Stärke der Algorithmen auswirken, nicht wiederhergestellt werden können.

Führen wir die folgende Notation ein:

H – kryptografische Hash-Funktion;
Zn – Zahlenmenge (0,1, …, n – 1), n – natürliche Zahl;
a (mod p) – der Rest der Division der ganzen Zahl a durch die natürliche Zahl p.

Für das ElGamal-Signaturgenerierungsschema:

eine Primzahl p ausreichender Breite ist fest und g ist ein primitives Element mod p;
Der private Schlüssel der Signatur ist eine beliebige Zahl x aus Zp.

Berechnung der Nachrichtensignatur m:

Hash-Code h = H(m) wird berechnet;
Es wird eine Zufallszahl k ausgewählt, die teilerfremd zu p – 1:1 ist< k < p - 1;
r = g k (mod p) wird berechnet;
s = k -1 (h - xr) (mod p - 1) wird berechnet;
die Signatur ist das Paar c = (r, s).

Schauen wir uns nun an, was ein Angreifer tun muss, um einen Angriff auszuführen. Es sollte Hash-Codes generieren:

h 1 = H(m 1), h 2 = H(m 2)

und passende Signaturen mit derselben Zufallszahl k:

s = k -1 (h 1 - x 1 r)(mod p - 1) und
s = k -1 (h 2 - x 2 r)(mod p - 1).

Und das bedeutet:

h 1 - x 1 r (mod p - 1) = h 2 - x 2 r(mod p - 1).

Einige Funktionen, auf die Sie bei der Verwendung von CIPF achten sollten.
1. Wenn in der Dokumentation des CIPF angegeben ist, in welchem Betriebssystem es verwendet werden kann, sollte es in diesem System verwendet werden. Andernfalls müssen Sie, selbst wenn das CIPF funktioniert, noch Nachforschungen über die korrekte Integration des bekannten CIPF in die neue Umgebung anstellen. Dies ist für Hardware-CIPFs (relativ) nicht schwierig, für Software-CIPFs jedoch ziemlich schwierig.
2. Wenn das Hardware-CIPF nicht über ein verifiziertes DFS verfügt und keine verifizierten Selbsttest-Tools vorhanden sind (und es nicht anders in CIPF implementiert werden kann, das auf universellen Smartcard-Chips implementiert ist), dann beachten Sie die Dokumente zur Installation und zum Betrieb. Da von irgendwoher Entropie hinzugefügt und Tests durchgeführt werden müssen, kann sich herausstellen, dass dieser CIPF für eine sehr kurze Zeit, beispielsweise zwei oder drei Tage, autonom verwendet werden kann. Das ist nicht immer bequem.
3. Wenn Ihnen ein Token angeboten wird und Ihnen mitgeteilt wird, dass dieser für die Klasse KS2 oder höher zertifiziert ist, glauben Sie ihm nicht. Höchstwahrscheinlich gibt es in der Dokumentation eine Anforderung, dieses Token in einer sicheren Umgebung zu verwenden elektronisches Schloss. Ohne dies wird die Klasse nicht höher als KS1 sein.

Wie Sie sehen, stimmen die Signaturen überein, wenn Sie die Schlüssel x 1 und x 2 so auswählen, dass die obige Bedingung erfüllt ist, obwohl die zu signierenden Nachrichten unterschiedlich sind! Beachten Sie, dass zur Berechnung von x 2 aus einem bekannten x 1 die erforderlichen Berechnungen im Vergleich zum Problem des subexponentiellen diskreten Logarithmus minimal sind.

Allerdings ist nicht alles so gruselig. Tatsache ist, dass die erzielten Ergebnisse die Realität nicht in Misskredit bringen kryptografische Stärke der elektronischen Signatur. Sie zeigen mögliche Verwundbarkeit, wenn Missbrauch EP-Mechanismen.

Dieses Beispiel zeigt deutlich die Schwachstellen, die bei einer fehlerhaften Implementierung des CIPF entstehen. Der beschriebene Angriff ist möglich, wenn der Benutzer seinen Signaturschlüssel kennt und die Zufallszahl herausfinden kann.

Es gibt eine radikale Möglichkeit, Angriffe dieser Art zu bekämpfen – dazu benötigen Sie lediglich ein Gerät, in dem:

ein Signaturschlüssel wird generiert;
der Signaturprüfschlüssel wird berechnet;
Öffentlicher Schlüssel exportiert, auch zur Zertifizierung durch eine Zertifizierungsstelle;
Der Signaturschlüssel wird zur Generierung der digitalen Signatur nur innerhalb des Geräts verwendet; er kann nicht exportiert werden! IN In letzter Zeit solche Geräte werden als Geräte mit nicht abziehbarem Schlüssel bezeichnet;
Eine Zufallszahl erscheint nie in der Computerumgebung, sie wird generiert und zerstört, nachdem sie im Gerät verwendet wurde.

Von hier aus ist klar, dass SEP und CIPF in Form von Geräten die zuverlässigere Option sind. In diesem Fall kann eine ausreichende Qualität des RNG und eine zuverlässige Speicherung des Signaturschlüssels gewährleistet werden.

Verschlüsselung

Kehren wir nun zur Verschlüsselung zurück und sprechen darüber, wann und warum sie sowohl von Einzelpersonen als auch von juristischen Personen verwendet werden sollte.

Lassen Sie uns zunächst die wichtigsten Arten der Verschlüsselung hervorheben, und zwar Abonnenten und Kanäle. Wie der Name schon sagt, verschlüsselt der Abonnent bei der Abonnentenverschlüsselung zunächst Informationen (Datei, Dokument) und überträgt sie dann in geschlossener Form an den Kanal. Bei der Kanalverschlüsselung wird der Kanal selbst durch kryptografische Methoden geschützt, und der Abonnent muss sich nicht um die Verschlüsselung von Informationen kümmern, bevor er diese über den Kanal überträgt. Wenn es sich bei dem Kanal um eine Punkt-zu-Punkt-Verbindung handelt, werden Kanal-Encoder verwendet. Handelt es sich bei dem Kanal nicht um Kabel, sondern um eine aktive Struktur wie das Internet, dann muss nicht alles verschlüsselt werden, sondern nur die Daten. Adressen dürfen nicht verfälscht werden, sonst erreichen die Pakete den Empfänger einfach nicht. Dabei kommen Mechanismen des Virtual Private Network (VPN) zum Einsatz. Die bekanntesten Protokolle sind IPsec und SSL. Fast alle VPN-Produkte auf dem Markt implementieren eines dieser Protokolle.

VPN

Um sich bewusst für das eine oder andere Produkt zu entscheiden, müssen Sie verstehen, wie sie sich unterscheiden und auf welche Schwierigkeiten Sie beim Betrieb dieser Produkte stoßen werden. Folgendes sollten Sie mindestens beachten:

Der kryptografische Schutz von Kanälen sollte verwendet werden, wenn die Gefahr besteht, dass die von Ihnen übertragenen Daten für einen Eindringling so interessant sind, dass er sich dem Kanal anschließt und beginnt, Ihren gesamten Austausch zu „lauschen“. Natürlich müssen Sie mit dem Schutz der Kanäle beginnen, nachdem Sie zuverlässig geschützt haben internes Netzwerk, da ein Insider in der Regel günstiger ist als ein Angriff auf einen Kanal; 1 beide Protokolle – diese Protokolle sind nicht für die Interaktion zwischen Clients, sondern zwischen Netzwerken konzipiert und daher schwierig zu konfigurieren. Daher sind Netzwerksicherheitskontrollen von entscheidender Bedeutung und sollten zuerst ausgewählt werden;
Im TCP/IP-Protokollstapel arbeitet IPsec auf der IP-Ebene und SSL auf der TCP-Ebene. Das heißt, wenn IPsec Schutz auf Systemebene bietet, bietet SSL Schutz auf Anwendungsebene. Da IPsec deutlich „niedriger“ arbeitet, „kapselt“ es dadurch eine deutlich größere Anzahl von Protokollen in die Sicherheitsdomäne als SSL, was natürlich besser ist;
Beim Betrieb eines VPN liegt Ihre Hauptaufgabe in der Schlüsselverwaltung. Schlüssel müssen zeitnah ausgegeben, geändert – kurzum – verwaltet werden. Jedes CIPF verfügt über ein eigenes Schlüsselgenerierungs- und -verwaltungssystem. Wenn Sie bereits ein Schlüsselsystem im Einsatz haben, nutzen Sie es weiterhin. Starten Sie keinen „Zoo“ – die Wartung auch nur eines Systems ist schwierig, geschweige denn mehrere – eine fast unmögliche Aufgabe;
Wenn Ihre Aufgabe darin besteht, die Aktivitäten vieler im Weltraum verteilter Informationsobjekte sicherzustellen, verwenden Sie ein VPN. Dies gilt nur für solche Objekte, zwischen denen eine intensive Informationsinteraktion unter Verwendung geschützter Daten stattfindet, die für den Eindringling möglicherweise so interessant sind, dass er bereit ist, die Kanäle „abzuhören“. Wenn nicht alles gut läuft, beschränken Sie sich auf den kryptografischen Informationsschutz der Abonnenten.

Abonnent CIPF

Sie zeichnen sich nicht durch Algorithmen (definiert durch Standards) aus, sondern durch Dienstprogramme, die die Verwendung dieser CIPF ermöglichen, und durch die Bedingungen, die erfüllt sein müssen. Es ist wünschenswert, dass die Verwendung dieser Mittel bequem ist.

Und vor allem: Denken Sie daran, ausreichend Schutzausrüstung dabei zu haben. Es besteht keine Notwendigkeit, teure CIPF zu verwenden, wenn Sie darauf verzichten können.

Und noch etwas: Es gibt CIPF und SEP, die alle von uns besprochenen Anforderungen erfüllen. Bis Klasse KV2. Ich nenne sie nicht nur, damit der Artikel nicht zur Werbung wird.

Literatur

Konyavsky V.A. Computerkriminalität. T. II. – M., 2008.
Jaschtschenko V.V. Einführung in die Kryptographie. Neue mathematische Disziplinen. – M., 2001.

Kommentare...

Alexey, guten Tag!
Die Antwort des 8. Zentrums weist nicht auf die Notwendigkeit hin, zertifiziertes CIPF zu verwenden. Aber es gibt „Methodische Empfehlungen...“, genehmigt von der Leitung des 8. Zentrums des FSB Russlands vom 31. März 2015 Nr. 149/7/2/6-432, in der es im zweiten Absatz den folgenden Absatz gibt Teil:

Um die Sicherheit personenbezogener Daten während ihrer Verarbeitung im ISPD zu gewährleisten, muss das bestandene CIPF verwendet werden in der vorgeschriebenen Weise Konformitätsbewertungsverfahren. Die Liste der vom FSB Russlands zertifizierten CIPF wird auf der offiziellen Website des Zentrums für Lizenzierung, Zertifizierung und Schutz von Staatsgeheimnissen des FSB Russlands veröffentlicht (www.clsz.fsb.ru). Weitere Informationen Es wird empfohlen, Informationen zu bestimmten Informationssicherheitstools direkt von den Entwicklern oder Herstellern dieser Tools und gegebenenfalls von spezialisierten Organisationen einzuholen, die Fallstudien zu diesen Tools durchgeführt haben.

Warum ist dies keine Voraussetzung für die Verwendung eines zertifizierten CIPF?

Es gibt einen Beschluss des FSB Russlands vom 10. Juli 2014 Nr. 378, in dem es in Absatz 5 Unterabsatz „d“ heißt: „Der Einsatz von Informationssicherheitstools, die das Verfahren zur Bewertung der Einhaltung der gesetzlichen Anforderungen bestanden haben.“ der Russischen Föderation im Bereich der Informationssicherheit, in Fällen, in denen der Einsatz solcher Mittel zur Neutralisierung aktueller Bedrohungen erforderlich ist.“

Dies „wenn der Einsatz solcher Mittel notwendig ist, um aktuelle Bedrohungen zu neutralisieren“, ist ein wenig verwirrend. Aber all dieses Bedürfnis muss im Eindringlingsmodell beschrieben werden.

Aber auch in diesem Fall heißt es in Abschnitt 3 der „Methodischen Empfehlungen...“ von 2015: „Bei der Verwendung von Kommunikationskanälen (Leitungen), von denen aus es unmöglich ist, geschützte Informationen abzufangen, die über sie übertragen werden und (oder) in denen sie sich befinden.“ Unerlaubte Einflussnahmen sind nicht möglich. Diese Informationen müssen in der allgemeinen Beschreibung von Informationssystemen angegeben werden:
- Beschreibung der Methoden und Mittel zum Schutz dieser Kanäle vor unbefugtem Zugriff;
- Schlussfolgerungen, die auf den Ergebnissen von Studien zur Sicherheit dieser Kommunikationskanäle (Leitungen) vor unbefugtem Zugriff auf geschützte Informationen basieren, die über sie durch eine Organisation übertragen werden, die das Recht hat, solche Studien durchzuführen, unter Bezugnahme auf das Dokument, das diese Schlussfolgerungen enthält.“

Was ich damit meine: Ja, es besteht keine Notwendigkeit, immer und überall kryptografischen Informationsschutz zu verwenden, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Dazu muss jedoch ein Modell des Täters erstellt werden, in dem all dies beschrieben und nachgewiesen werden kann. Sie haben über zwei Fälle geschrieben, in denen Sie sie verwenden müssen. Aber die Tatsache, dass die Sicherheit der Verarbeitung personenbezogener Daten gewährleistet ist offene Kanäle Kommunikation oder wenn die Verarbeitung dieser personenbezogenen Daten über die Grenzen der kontrollierten Zone hinausgeht, können Sie nicht zertifiziertes CIPF verwenden – so einfach ist das nicht. Und es kann vorkommen, dass es einfacher ist, zertifizierte Geräte zum Schutz kryptografischer Informationen zu verwenden und alle Anforderungen während ihres Betriebs und ihrer Speicherung einzuhalten, als nicht zertifizierte Produkte zu verwenden und mit der Regulierungsbehörde in Konflikt zu geraten, die sich in einer solchen Situation sehr bemühen wird, sich zu reiben ihre Nase rein.

Unbekannte Kommentare...

Der Fall, wenn der Einsatz solcher Mittel zur Neutralisierung aktueller Bedrohungen erforderlich ist: die Anforderung der Verordnung des FSTEC Russlands Nr. 17 vom 11. Februar 2013 (Anforderungen an staatliche und kommunale ISPDn),

Klausel 11. Um den Schutz der darin enthaltenen Informationen zu gewährleisten Informationssystem Es werden Informationssicherheitsmittel eingesetzt, die die Konformitätsbewertung in Form einer obligatorischen Zertifizierung für die Einhaltung der Infogemäß Artikel 5 des Bundesgesetzes vom 27. Dezember 2002 Nr. 184-FZ „Über technische Vorschriften“ bestanden haben.

Alexey Lukatsky kommentiert...

Proximo: FSB-Empfehlungen sind illegitim. Die Verordnung 378 ist legitim, muss aber im Kontext aller Rechtsvorschriften betrachtet werden und besagt, dass die Einzelheiten der Konformitätsbewertung von der Regierung oder dem Präsidenten festgelegt werden. Weder das eine noch das andere erließ solche Rechtsakte

Alexey Lukatsky kommentiert...

Anton: In der Landesregierung ist die Zertifizierungspflicht gesetzlich festgelegt, die 17. Verordnung wiederholt sie lediglich. Und wir reden über PDn

Unbekannte Kommentare...

Alexey Lukatsky: Nein. FSB-Empfehlungen sind illegitim.“ Wie illegitim? Ich spreche von Dokument Nr. 149/7/2/6-432 vom 19. Mai 2015 (http://www.fsb.ru/fsb/science/ single.htm!id%3D10437608 %40fsbResearchart.html), jedoch nicht über das Dokument vom 21.02.2008 Nr. 149/54-144.

Zu einem ähnlichen Thema hatte bereits zuvor auch ein anderer Fachmann eine Anfrage an den FSB gerichtet und ihm mitgeteilt, dass die „Methodik...“ und „Empfehlungen...“ des FSB aus dem Jahr 2008 nicht herangezogen werden müssten, wenn es um die Diskussion gehe diese Dokumente. Aber auch diese Dokumente wurden nicht offiziell annulliert. Und ob diese Dokumente legitim sind oder nicht, werden meiner Meinung nach die FSB-Inspektoren während der Inspektion vor Ort entscheiden.

Das Gesetz besagt, dass personenbezogene Daten geschützt werden müssen. Verordnungen der Regierung, des FSB und des FSTEC legen genau fest, wie sie geschützt werden müssen. In den Vorschriften des FSB heißt es: „Verwenden Sie ein Zertifikat. Wenn Sie kein Zertifikat wünschen, beweisen Sie, dass Sie es verwenden können. Und seien Sie so freundlich, hierzu eine Schlussfolgerung eines Unternehmens beizufügen, das eine Lizenz zur Ausstellung solcher Schlussfolgerungen besitzt.“ Irgendwie so...

Alexey Lukatsky kommentiert...

1. Jede Empfehlung ist eine Empfehlung und keine zwingende Voraussetzung.
2. Das Handbuch von 2015 hat nichts mit PD-Betreibern zu tun – es bezieht sich auf Regierungsbeamte, die Bedrohungsmodelle für nachgeordnete Institutionen schreiben (unter Berücksichtigung von Punkt 1).
3. Der FSB hat nicht das Recht, Inspektionen bei kommerziellen PD-Betreibern durchzuführen, und für Regierungsbehörden lohnt sich die Frage der Verwendung nicht zertifizierter CIPF nicht – sie sind verpflichtet, zertifizierte Lösungen zu verwenden, unabhängig von der Verfügbarkeit von PD – das sind die Anforderungen des Bundesgesetzes-149.
4. Die Satzung sagt Ihnen, wie Sie sich schützen können, und das ist normal. Sie können jedoch nicht die Form der Bewertung von Schutzausrüstung festlegen – dies kann nur durch die Verordnungen der Regierung oder des Präsidenten erfolgen. Der FSB ist hierzu nicht befugt

Unbekannte Kommentare...

Gemäß Dekret 1119:

4. Die Wahl der Informationssicherheitsmittel für das System zum Schutz personenbezogener Daten erfolgt durch den Betreiber gemäß den vom Föderalen Sicherheitsdienst der Russischen Föderation und dem Föderalen Dienst für technische und Exportkontrolle gemäß Teil 4 erlassenen Rechtsakten des Artikels 19 des Bundesgesetzes „Über personenbezogene Daten“.
13.g. Der Einsatz von Informationssicherheitstools, die einer Bewertung der Einhaltung der Anforderungen der Gesetzgebung der Russischen Föderation im Bereich der Informationssicherheit unterzogen wurden, in Fällen, in denen der Einsatz solcher Tools zur Neutralisierung aktueller Bedrohungen erforderlich ist.

Wie lässt sich die Nicht-Relevanz der Bedrohung bei der Übermittlung personenbezogener Daten über die Kanäle eines Telekommunikationsbetreibers rechtfertigen?

Diese. Wenn nicht CIPF, dann anscheinend
- Terminalzugriff und Thin Clients, gleichzeitig aber auch Daten zur Informationssicherheit des Terminals
Der Zugang muss zertifiziert sein.
- Schutz der Kanäle durch den Telekommunikationsbetreiber, Verantwortung für den Telekommunikationsbetreiber (Anbieter).

Alexey Lukatsky kommentiert...

Die Bedeutungslosigkeit wird vom Betreiber bestimmt und er braucht dafür niemanden