Mikä on kryptografinen suojaus. Kryptografia: salaustieteen perustiedot. Skzi: tyypit, sovellus

1.1. Tämä kryptografisten tietojen suojaustyökalujen soveltamista koskeva käytäntö ( Edelleen - Käytäntö ) määrittää menettelyn salauksen organisoimiseksi ja toiminnan varmistamiseksi ( kryptografinen) keinot, joiden tarkoituksena on suojella tietoja, jotka eivät sisällä valtiosalaisuuksia muodostavia tietoja ( Edelleen - CIPF, kryptovälineet ), jos niitä käytetään luottamuksellisten tietojen ja henkilötietojen turvallisuuden varmistamiseksi niiden käsittelyn aikana tietojärjestelmissä.

1.2. Tämä politiikka on laadittu seuraavien tavoitteiden mukaisesti:

• Liittovaltion laki "Tietoja henkilötiedoista" , Venäjän federaation hallituksen määräykset henkilötietojen turvallisuuden varmistamisesta;
• Liittovaltion laki nro 63-FZ "Tietoja sähköisestä allekirjoituksesta" ;
• Venäjän federaation FSB:n määräys nro 378 "Ohjelmiston ja teknisten toimenpiteiden koostumuksen ja sisällön hyväksymisestä henkilötietojen turvallisuuden varmistamiseksi niiden käsittelyn aikana henkilötietojärjestelmissä käyttämällä kryptografisia tietojen suojausvälineitä, jotka ovat välttämättömiä Venäjän federaation hallituksen asettamien tietosuojaa koskevien vaatimusten täyttämiseksi. henkilötiedot kullekin turvallisuustasolle";
• FAPSI tilaus nro 152 " Hyväksymisestä ohjeiden säilyttämisen, käsittelyn ja viestintäkanavien kautta siirtämisen järjestämistä ja turvallisuuden varmistamista salaussuojauskeinoja käyttävien tietojen, jotka eivät sisällä valtiosalaisuuksia muodostavia tietoja, hyväksymisestä»;
• Venäjän federaation FSB:n määräys N 66 " Salaustietoturvavälineiden kehittämistä, tuotantoa, myyntiä ja käyttöä koskevien määräysten hyväksymisestä (PKZ-2005 määräykset) »;

1.3. Tämä käytäntö koskee salaustyökaluja, jotka on suunniteltu varmistamaan luottamuksellisten tietojen ja henkilötietojen turvallisuus, kun niitä käsitellään tietojärjestelmissä;

1.4. Salausmenetelmät tietojen suojaamiseen ( Edelleen - CIPF ), salaus- ja sähköisiä allekirjoitustoimintoja toteuttavia käytetään suojaamaan sähköisiä asiakirjoja, jotka välitetään yleisissä viestintäkanavissa, esimerkiksi yleisessä Internetissä, tai puhelinverkkoyhteyden kautta.

1.5. Turvallisuuden varmistamiseksi on tarpeen käyttää CIPF:ää, joka:

• mahdollistaa integroinnin sähköisten viestien käsittelyn teknisiin prosesseihin, varmistaa vuorovaikutus sovellusohjelmistojen kanssa salausmuunnospyyntöjen käsittelyn ja tulosten antamisen tasolla;
• kehittäjät toimittavat niille täydelliset toiminnalliset asiakirjat, mukaan lukien kuvaus avainjärjestelmästä, sen kanssa työskentelemistä koskevat säännöt sekä perustelut tarvittavalle organisaatio- ja henkilöstötuelle;
• tukevat CIPF:n toiminnan kirjaamisprosessien jatkuvuutta ja ohjelmiston eheyden varmistamista CIPF-toimintaympäristöön, joka on joukko laitteisto- ja ohjelmistotyökaluja, joiden kanssa yhdessä tapahtuu CIPF:n normaali toiminta ja joka voi vaikuttaa CIPF:n vaatimusten täyttyminen;
• valtuutetun valtion elimen sertifioima tai Venäjän FSB:n lupa.

1.6. Henkilötietojen suojaamiseen käytettävän CIPF:n luokan on oltava vähintään KS2.

1.7. CIPF toteutetaan algoritmien perusteella, jotka ovat Venäjän federaation kansallisten standardien ja vastapuolen kanssa tehdyn sopimuksen ehtojen mukaisia.

1.8 Organisaatio ostaa CIPF:n, lisenssit, mukana olevat avainasiakirjat, ohjeet CIPF:lle itsenäisesti tai ne voidaan hankkia kolmannelta osapuolelta, joka käynnistää suojatun asiakirjavirran.

1.9. CIPF, mukaan lukien asennusvälineet, keskeiset asiakirjat, kuvaukset ja ohjeet CIPF:lle, muodostavat liikesalaisuuden luottamuksellisia tietoja koskevien asetusten mukaisesti.

1. CIPF:n käyttömenettely

2.1. Salaustietojen suojaustyökalujen asennus ja konfigurointi suoritetaan operatiivisen dokumentaation, Venäjän FSB:n ja muiden suojattuun sähköiseen asiakirjavirtaan osallistuvien organisaatioiden ohjeiden mukaisesti. Asennuksen ja konfiguroinnin päätyttyä CIPF:n käyttövalmius tarkistetaan, tehdään johtopäätökset niiden toiminnan mahdollisuudesta ja CIPF otetaan käyttöön.

CIPF:n sekä muiden kryptovaroilla toimivien laitteiden sijoittamisen ja asentamisen turvallisiin tiloihin pitäisi minimoida luvaton henkilöiden mahdollisuus päästä käsiksi näihin varoihin. Tällaisten laitteiden huolto ja salausavainten vaihto suoritetaan henkilöiden poissa ollessa, joilla ei ole oikeutta työskennellä CIPF-tietojen kanssa. On tarpeen toteuttaa organisatorisia ja teknisiä toimenpiteitä, jotta asiattomat henkilöt eivät voisi käyttää CIPF:ää. CIPF:n fyysisen sijoittamisen on varmistettava CIPF:n turvallisuus ja estettävä luvaton pääsy CIPF:ään. Henkilöiden pääsy tiloihin, joissa suojavarusteet sijaitsevat, on rajoitettu viranomaistarpeiden mukaisesti ja määräytyy johtajan hyväksymän luettelon mukaan.

Luokkien KS1 ja KS2 kryptorahastojen upottaminen tapahtuu ilman Venäjän FSB:n valvontaa ( jos tätä valvontaa ei ole määrätty tietojärjestelmän kehittämisen (modernisoinnin) toimeksiannossa).

Luokkien KS3, KB1, KB2 ja KA1 kryptovaluuttojen upottaminen tapahtuu vain Venäjän FSB:n valvonnassa.

Luokkien KS1, KS2 tai KS3 kryptotyökalujen upottamisen voi suorittaa joko salaustyökalun käyttäjä itse, jos hänellä on asianmukainen lisenssi Venäjän FSB:ltä, tai organisaatio, jolla on asianmukainen FSB:n lisenssi Venäjältä.

Luokkien KV1, KV2 tai KA1 kryptovaluuttojen upotuksen suorittaa organisaatio, jolla on asianmukainen Venäjän FSB:n lisenssi.

CIPF:n käytöstä poistamisessa noudatetaan menettelyjä, joilla varmistetaan, että pysyvästä muistista ja ulkoisista tietovälineistä poistetaan tiedot, joiden luvaton käyttö voi vahingoittaa organisaation liiketoimintaa, sekä tietoturvatyökalujen käyttämät tiedot ( lukuun ottamatta sähköisten asiakirjojen arkistoja ja sähköisen vuorovaikutuksen protokollia, joiden ylläpidosta ja säilyttämisestä tietyn ajan määrätään asiaa koskevissa säädöksissä ja (tai) sopimusasiakirjoissa) ja se on virallistettu lailla. CIPF tuhoutuu ( hävittää) kryptorahaston omistajan päätöksellä ja kryptorahastojen kopiokohtaisen kirjanpidon järjestämisen mukaisesti vastuussa olevalle organisaatiolle ilmoittamalla.

Tuhoon tarkoitettu ( kierrätys) CIPF voidaan poistaa laitteistosta, jonka kanssa ne toimivat. Tässä tapauksessa salaustyökalut katsotaan poistetuiksi laitteistosta, jos CIPF:n toiminnallisessa ja teknisessä dokumentaatiossa mainittu salaustyökalujen ohjelmiston poistomenettely on suoritettu loppuun ja ne on irrotettu kokonaan laitteistosta.

Yleiskäyttöiset laitteistokomponentit ja jatkokäyttöön soveltuvat osat, joita ei ole erityisesti suunniteltu salausalgoritmien tai muiden CIPF-toimintojen laitteistokäyttöön, sekä laitteet, jotka toimivat yhdessä salaustyökalujen kanssa ( näytöt, tulostimet, skannerit, näppäimistöt jne.), voidaan käyttää CIPF:n tuhoutumisen jälkeen ilman rajoituksia. Tässä tapauksessa tiedot, jotka voivat jäädä laitteen muistilaitteisiin ( esimerkiksi tulostimissa, skannereissa), on poistettava turvallisesti ( poistettu).

2.2. CIPF:n toimintaa hoitavat henkilöt, jotka on nimetty organisaation johtajan määräyksellä ja jotka on koulutettu työskentelemään heidän kanssaan. Jos CIPF-käyttäjiä on kaksi tai useampia, vastuut jaetaan heidän kesken ottaen huomioon henkilökohtainen vastuu kryptoomaisuuden, avaimen, toiminnallisen ja teknisen dokumentaation turvallisuudesta sekä määrätyistä työalueista.

Kryptorahastojen käyttäjien tulee:

• eivät paljasta tietoja, joihin heillä on lupa, mukaan lukien tiedot CIPF:stä ja muista suojatoimenpiteistä;
• älä paljasta tietoja keskeisistä asiakirjoista;
• älä salli kopioiden tekemistä keskeisistä asiakirjoista;
• estää keskeisten asiakirjojen näyttämisen ( monitori) henkilökohtainen tietokone tai tulostin;
• älä salli ylimääräisten tietojen tallentamista avaintietovälineille;
• älä salli keskeisten asiakirjojen asentamista muihin henkilökohtaisiin tietokoneisiin;
• noudattaa tietoturvan varmistamista koskevia vaatimuksia, CIPF:n ja sen keskeisten asiakirjojen turvallisuuden varmistamista koskevia vaatimuksia;
• raportoida heidän tietoonsa tulleiden luvattomien henkilöiden yrityksistä saada tietoja käytetystä CIPF:stä tai keskeisistä asiakirjoista;
• ilmoittaa välittömästi CIPF:n katoamisesta tai puutteesta, niitä koskevista keskeisistä asiakirjoista, tilojen avaimista, varastotiloista, henkilökohtaisista sineteistä ja muista seikoista, jotka voivat johtaa suojattujen tietojen paljastamiseen;
• toimittaa CIPF:n, operatiiviset ja tekniset asiakirjat heille, keskeiset asiakirjat irtisanomisen tai viraltapanon yhteydessä kryptovaluuttojen käyttöön liittyvistä tehtävistä.

CIPF:n avulla tapahtuvan tietojenkäsittelyn turvallisuuden takaavat:

• käyttäjien luottamuksellisuuden noudattaminen käsitellessään tietoja, jotka on annettu heille tai jotka ovat tulleet heidän työssään tiedoksi, mukaan lukien tiedot käytetyn CIPF:n toiminnasta ja menettelystä turvallisuuden takaamiseksi sekä heille avainasiakirjat;
• CIPF-käyttäjien tarkka tietoturvavaatimusten noudattaminen;
• CIPF:n toiminnallisten ja teknisten asiakirjojen, avainasiakirjojen ja rajoitettujen jakeluvälineiden luotettava tallennus;
• havaitaan ajoissa asiattomien henkilöiden yritykset saada tietoja suojatuista tiedoista, käytetystä CIPF:stä tai heille tärkeistä asiakirjoista;
• välitön toimenpiteiden toteuttaminen suojattujen tietojen paljastamisen ja niiden mahdollisen vuotamisen estämiseksi, jos havaitaan CIPF:n, niitä koskevien avainasiakirjojen, sertifikaattien, kulkulupien, tilojen avainten, varastotilojen, kassakaapit () metalliset kaapit), henkilökohtaiset sinetit jne.

Jos CIPF:n organisaatiota ja toimintaa koskevia rajoitetun pääsyn palvelusanomia on välitettävä teknisillä viestintävälineillä, tulee nämä viestit välittää vain krypto-keinoin. Salausavaimien siirto teknisten viestintävälineiden kautta ei ole sallittua, lukuun ottamatta erityisesti organisoituja järjestelmiä, joissa on hajautettu kryptoavaimien tarjonta.

CIPF:t ovat kirjanpidon alaisia ​​indekseillä tai tavanomaisilla nimillä ja rekisteröintinumeroilla. Salausomaisuuden indeksien, koodinimien ja rekisteröintinumeroiden luettelon määrittää Venäjän federaation liittovaltion turvallisuuspalvelu.

Käytetyt tai säilytettävät CIPF:n käyttö- ja tekninen dokumentaatio, tärkeimmät asiakirjat tallennetaan kopio kopiolta. CIPF-lokikirjan muoto on esitetty tämän käytännön liitteessä nro 1, Key Media Logbook -liitteenä 2. Tällöin on otettava huomioon ohjelmistojen salaustietosuojajärjestelmät sekä laitteistot, joilla niiden normaali toiminta tapahtuu. Jos laitteisto tai laitteisto-ohjelmisto CIPF on kytketty järjestelmäväylään tai johonkin sisäisistä laitteistoliitännöistä, myös tällaiset salaustoimenpiteet huomioidaan yhdessä vastaavan laitteiston kanssa.

Avainasiakirjojen kopio kopio-kirjanpidon yksikkönä pidetään uudelleen käytettävää avaintietovälinettä, avainmuistio. Jos samaa avaintietovälinettä käytetään toistuvasti salausavaimien tallentamiseen, se tulee rekisteröidä joka kerta erikseen.

Kaikki vastaanotetut kryptovarojen kopiot, niiden toiminnallinen ja tekninen dokumentaatio, avainasiakirjat on annettava kuittia vastaan ​​asianmukaisessa kopio-kopio-rekisterissä salausomaisuuden käyttäjille, jotka ovat henkilökohtaisesti vastuussa turvallisuudestaan.

CIPF:n, niiden toiminnallisen ja teknisen dokumentaation sekä avainasiakirjojen siirto on sallittu vain kryptovarojen käyttäjien ja (tai) salausomaisuuden vastuullisen käyttäjän välillä asianmukaisissa päiväkirjoissa olevaa kuittia vastaan ​​henkilökohtaista kirjanpitoa varten. Tällainen kryptorahastojen käyttäjien välinen siirto on hyväksyttävä.

CIPF-asennusvälineiden, käyttö- ja teknisten asiakirjojen sekä avainasiakirjojen säilytys tapahtuu kaapeissa ( laatikot, säilytys) yksittäiseen käyttöön olosuhteissa, jotka estävät hallitsemattoman pääsyn niihin ja niiden tahattoman tuhoamisen.

Laitteistot, joiden kanssa CIPF toimii normaalisti, sekä laitteisto ja laitteisto-ohjelmisto CIPF on varustettava niiden avaamisen ohjaavilla välineillä ( sinetöity, sinetöity). Tiivistyspaikka ( tiivistys) kryptovaluutat, laitteiden on oltava sellaisia, että niitä voidaan seurata visuaalisesti. Jos se on teknisesti mahdollista, kryptorahastojen käyttäjien poissaollessa nämä varat on irrotettava tietoliikennelinjasta ja sijoitettava suljettuun varastoon.

Muutokset CIPF-ohjelmistoon ja CIPF:n tekniseen dokumentaatioon tehdään CIPF:n valmistajalta saatujen ja dokumentoitujen päivitysten perusteella, joissa on kirjattu tarkistussummat.

CIPF:n toiminta edellyttää vähintään kahden ohjelmiston varmuuskopion ja yhden avaintietovälineen varmuuskopion ylläpitämistä. CIPF:n toimivuuden palauttaminen hätätilanteissa tapahtuu käyttödokumentaation mukaisesti.

2.3. Avainasiakirjojen tuottamisen alkuperäisistä avaintiedoista suorittavat CIPF:n vastuulliset käyttäjät käyttämällä tavanomaisia ​​salaustyökaluja, jos operatiivisissa ja teknisissä asiakirjoissa tällainen mahdollisuus on säädetty Venäjän FSB:n lisenssin ollessa läsnä. avainasiakirjojen tuottaminen kryptotyökaluja varten.

Keskeiset asiakirjat voidaan toimittaa kuriirin välityksellä ( osasto mukaan lukien) viestintään tai erityisesti nimettyjen kryptorahastojen vastuullisten käyttäjien ja työntekijöiden kanssa, jollei toimenpiteistä ole mahdollista päästä käsiksi keskeisiin asiakirjoihin toimituksen aikana.

Keskeisten asiakirjojen lähettämistä varten ne on asetettava kestävään pakkaukseen, joka sulkee pois fyysisen vaurion ja ulkoisen vaikutuksen mahdollisuuden. Pakkaus osoittaa vastuullisen käyttäjän, jolle pakkaus on tarkoitettu. Tällaisissa pakkauksissa on merkintä "Henkilökohtaisesti". Pakkaukset on sinetöity siten, että niistä on mahdotonta poistaa sisältöä rikkomatta pakkauksia ja sinettejä.

Ennen ensimmäistä karkotusta ( tai palata) vastaanottajalle ilmoitetaan erillisellä kirjeellä hänelle lähetettyjen pakkausten kuvaus ja sinetit, joilla ne voidaan sulkea.

Keskeisten asiakirjojen lähettämistä varten laaditaan saatekirje, jossa on ilmoitettava: mitä lähetetään ja kuinka paljon, asiakirjojen rekisteröintinumerot sekä tarvittaessa lähetettävän lähetyksen tarkoitus ja käyttötapa. Saatekirje sisältyy yhteen pakkauksista.

Vastaanotetut paketit avaa vain sen kryptorahaston vastuullinen käyttäjä, jolle ne on tarkoitettu. Jos vastaanotetun pakkauksen sisältö ei vastaa saatekirjeessä ilmoitettua tai itse pakkaus ja sinetti eivät vastaa kuvaustaan ​​( painatus), ja myös jos pakkaus on vaurioitunut, jolloin sen sisältö pääsee vapaasti käsiksi, vastaanottaja laatii raportin, joka lähetetään lähettäjälle. Tällaisten lähetysten mukana saatuja keskeisiä asiakirjoja ei saa käyttää ennen kuin lähettäjältä on saatu ohjeet.

Jos viallisia avainasiakirjoja tai salausavaimia havaitaan, viallisesta tuotteesta tulee palauttaa yksi kopio valmistajalle tapahtuman syiden selvittämiseksi ja niiden korjaamiseksi tulevaisuudessa, ja loput kopiot tulee säilyttää, kunnes laitokselta saadaan lisäohjeita. valmistaja.

Keskeisten asiakirjojen vastaanottaminen on vahvistettava lähettäjälle saatekirjeessä määritellyllä tavalla. Lähettäjä on velvollinen valvomaan lähetystensä toimittamista vastaanottajille. Jos asianmukaista vahvistusta ei saada vastaanottajalta ajoissa, lähettäjän on lähetettävä hänelle pyyntö ja ryhdyttävä toimenpiteisiin lähetysten sijainnin selvittämiseksi.

Tilaus seuraavien avainasiakirjojen tuottamisesta, niiden tuotannosta ja jakelusta käyttöpaikoille olemassa olevien avainasiakirjojen oikea-aikaista korvaamista varten tehdään etukäteen. Ohjeen seuraavien avainasiakirjojen täytäntöönpanoon antaa kryptovarojen vastuullinen käyttäjä vasta saatuaan heiltä vahvistuksen, että seuraavat avainasiakirjat on vastaanotettu.

Käyttämättömät tai deaktivoidut avainasiakirjat tulee palauttaa vastuulliselle kryptovarojen käyttäjälle tai hänen määräyksestään tuhota paikan päällä.

Salausavainten tuhoaminen ( avaintiedot) voidaan tehdä tuhoamalla fyysisesti avaintietovälineet, joilla ne sijaitsevat, tai pyyhkimällä ( tuhoaminen) kryptoavaimet ( avaintiedot) vahingoittamatta avainmediaa ( sen uudelleenkäytettävyyden varmistamiseksi).

Salausavaimet ( avaintiedot) pestään käyttäen tekniikkaa, joka on hyväksytty vastaaville tärkeille uudelleenkäytettäville aineille ( levykkeet, CD-levyt (CD-ROM), dataavain, älykortti, kosketusmuisti jne.). Suorat toimet salausavainten poistamiseksi ( avaintiedot), sekä mahdollisia rajoituksia vastaavien uudelleenkäytettävien avainvälineiden jatkokäytölle säätelevät asianomaisen CIPF:n toiminnalliset ja tekniset dokumentaatiot sekä kryptoavaimet tallentaneen organisaation ohjeet ( avaintiedot).

Keskeiset tietovälineet tuhotaan aiheuttamalla niille korjaamatonta fyysistä vahinkoa, sulkemalla pois niiden käyttömahdollisuus, sekä palauttamalla avaintiedot. Suoria toimia tietyntyyppisten avainvälineiden tuhoamiseksi säätelevät asianomaisen CIPF:n toiminnalliset ja tekniset dokumentaatiot sekä kryptoavaimet tallentavan organisaation ohjeet ( avaintiedot).

Paperi ja muut palavat avainvälineet tuhoutuvat polttamalla tai käyttämällä mitä tahansa paperinleikkauskoneita.

Keskeiset asiakirjat tuhotaan asianomaisen CIPF:n toiminnallisissa ja teknisissä asiakirjoissa määritellyissä määräajoissa. Tuhoaminen kirjataan vastaaviin kopiokohtaisiin päiväkirjoihin.

Lain mukaisen tuhoamisen suorittaa vähintään kahden hengen toimikunta. Laki määrittelee mitä tuhotaan ja kuinka paljon. Teoksen lopussa tehdään lopullinen tietue (numeroin ja sanoin) tuhoutuvien avainasiakirjojen ja kopioiden määrästä, CIPF:n asennusvälineistä, toiminnallisesta ja teknisestä dokumentaatiosta. Lain tekstiin tehdyt korjaukset on sovittava ja varmennettava kaikkien tuhoamiseen osallistuneiden toimikunnan jäsenten allekirjoituksin. Toteutetusta tuhoamisesta tehdään muistiinpanot asianmukaisiin päiväkirjoihin yksittäisille tietueille.

Salausavaimet, joiden epäillään vaarantuneen, sekä muut niiden yhteydessä toimivat kryptoavaimet on poistettava välittömästi toiminnasta, ellei CIPF:n operatiivisessa ja teknisessä dokumentaatiossa toisin määrätä. Hätätapauksissa, kun ei ole olemassa salausavaimia vaarantuneiden tilalle, on salausvarojen vastuullisen käyttäjän operaattorin kanssa sovitulla päätöksellä sallittua käyttää vaarantuneita kryptoavaimia. Tässä tapauksessa vaarantuneiden kryptoavainten käyttöajan tulee olla mahdollisimman lyhyt ja suojatun tiedon tulee olla mahdollisimman arvokasta.

Tietoja rikkomuksista, jotka voivat johtaa kryptoavaimien, niiden komponenttien tai lähetettyjen ( tallennettu) kryptorahastojen käyttäjät ovat velvollisia ilmoittamaan salausrahastojen vastuulliselle käyttäjälle tietojen käytön yhteydessä.

Luvattomien henkilöiden suorittamaa uudelleenkäytettävien avaintietovälineiden tarkastusta ei pitäisi pitää epäilynä salausavainten vaarantumisesta, jos tämä sulkee pois mahdollisuuden niiden kopioimiseen ( lukeminen, toisto).

Jos keskeisistä asiakirjoista on pulaa, esittämättä jättäminen tai niiden sijainti on epävarma, vastuullinen käyttäjä ryhtyy kiireellisiin toimenpiteisiin löytääkseen ne ja paikallistaakseen avainasiakirjojen vaarantamisen seuraukset.

1. Avainjärjestelmän hallintamenettely

Avainten hallintaoikeudet omaavien henkilöiden rekisteröinti tapahtuu CIPF:n toimintadokumentaation mukaisesti.

Avaintenhallinta on tietoprosessi, joka sisältää kolme osaa:

— avainten luominen;

— avainten kertyminen;

— avainten jakelu.

Organisaation tietojärjestelmät käyttävät erityisiä laitteisto- ja ohjelmistomenetelmiä satunnaisten avainten luomiseen. Pääsääntöisesti käytetään pseudosatunnaislukuantureita ( Edelleen - PSCH ), joiden sukupolvessa on melko korkea satunnaisuusaste. Ohjelmistoavaingeneraattorit, jotka laskevat PFR:n nykyisen ajan kompleksina funktiona ja ( tai) käyttäjän syöttämä numero.

Avainten keräämisellä tarkoitetaan niiden säilytyksen, kirjanpidon ja poiston järjestämistä.

Yksityisiä avaimia ei saa kirjoittaa nimenomaisesti välineelle, jota voidaan lukea tai kopioida.

Kaikki tiedot käytetyistä avaimista on tallennettava salatussa muodossa. Avaimia, jotka salaavat avaintiedot, kutsutaan yleisavaimiksi. Jokaisen käyttäjän on tiedettävä pääavaimet ulkoa.

Tietoturvan varmistamiseksi on välttämätöntä päivittää ajoittain tietojärjestelmien keskeisiä tietoja. Tässä tapauksessa sekä tavalliset avaimet että pääavaimet määritetään uudelleen.

Avaimia jaettaessa on täytettävä seuraavat vaatimukset:

— jakelun tehokkuus ja tarkkuus;

— jaettujen avainten salassapito.

Vaihtoehtona on, että kaksi käyttäjää hankkii jaetun avaimen keskusviranomaiselta, Key Distribution Centeristä (KDC), jonka kautta he voivat viestiä turvallisesti. CRC:n ja käyttäjän välisen tiedonvaihdon järjestämiseksi viimeksi mainitulle allokoidaan rekisteröinnin yhteydessä erityinen avain, joka salaa heidän välillään välitetyt viestit. Jokaiselle käyttäjälle on varattu erillinen avain.

JULKISIIN AVAINJÄRJESTELMIIN PERUSTUVA AVAINHALLINTA

Ennen kuin käytät julkisen avaimen salausjärjestelmää tavallisten yksityisten avainten vaihtamiseen, käyttäjien on vaihdettava julkiset avaimensa.

Julkisia avaimia voidaan hallita online- tai offline-hakemistopalvelun kautta, ja käyttäjät voivat myös vaihtaa avaimia suoraan.

1. CIPF:n käytön seuranta ja valvonta

Turvallisuustason nostamiseksi CIPF:n käytössä järjestelmään tulee ottaa käyttöön valvontamenettelyt, jotka tallentavat kaikki sähköisen viestien vaihdon aikana tapahtuneet merkittävät tapahtumat ja kaikki tietoturvahäiriöt. Näiden menettelyjen kuvaus ja luettelo on esitettävä CIPF:n toiminta-asiakirjoissa.

Salaustietojen suojauksen käytön valvonta tarjoaa:

• tietoturvatyökalujen sekä laitteistojen ja ohjelmistojen, jotka voivat vaikuttaa tietoturvatyökalujen, säädös- ja teknisen dokumentaation vaatimusten täyttymiseen, asennuksen ja konfiguroinnin vaatimustenmukaisuuden seuranta;
• valvoa tietoturvatyökalujen toiminnassa käytettävien rajoitetun pääsyn tietojen säilyttämistä koskevien sääntöjen noudattamista ( erityisesti avain-, salasana- ja todennustiedot);
• valvoa luvattomien pääsyä tietoturvavälineisiin sekä laitteisiin ja ohjelmistoihin, jotka voivat vaikuttaa tietoturvavälineiden vaatimusten täyttymiseen;
• valvoa tietohäiriöihin reagoimista koskevien sääntöjen noudattamista ( katoamistasoista, avaimen, salasanan ja todennustiedoista vaarantumisesta sekä kaikista muista rajoitetusti saatavilla olevista tiedoista);
• CIPF:n laitteisto- ja ohjelmistotyökalujen yhteensopivuuden valvonta ja näiden työkalujen dokumentaatio viitenäytteillä ( toimittajan takuita tai valvontamekanismeja, joiden avulla voit itsenäisesti varmistaa tällaisen vaatimustenmukaisuuden);
• valvoa CIPF:n laitteiston ja ohjelmiston eheyttä sekä näiden työkalujen dokumentaatiota näiden työkalujen varastoinnin ja käyttöönoton aikana ( käyttäen sekä CIPF:n dokumentaatiossa kuvattuja ohjausmekanismeja että organisatorisia).

Lataa ZIP-tiedosto (43052)

Jos asiakirjoista on hyötyä, tykkää tai:

Konstantin Tcherezov, Johtava asiantuntija SafeLine, Informzashchita-yritysryhmä

KUN meitä pyydettiin laatimaan kriteerit koko Venäjän kryptografisten tietoturvatyökalujen (CIPF) markkinoiden vertailuun, olin hieman hämmentynyt. Venäjän kryptografisten tietojen suojausmarkkinoiden teknisen katsauksen tekeminen ei ole vaikeaa, mutta yhteisten vertailukriteerien määrittäminen kaikille osallistujille ja samalla objektiivisen tuloksen saaminen on mahdoton tehtävä.

Aloittaa alusta

Teatteri alkaa ripustimella ja tekninen tarkastelu alkaa teknisillä määritelmillä. CIPF on maassamme niin salainen (ne esitetään huonosti julkisesti), joten niiden viimeisin määritelmä löytyi valtion teknisen toimikunnan ohjeasiakirjasta, joka julkaistiin vuonna 1992: "CIPF on tietotekniikkatyökalu, joka suorittaa kryptografisen muunnoksen tietoa sen turvallisuuden takaamiseksi."

Käsitteen "tietokonelaitteisto" (CTF) määritelmä löytyi toisesta valtion teknisen toimikunnan asiakirjasta: "CTF:llä tarkoitetaan joukkoa ohjelmistoja ja tietojenkäsittelyjärjestelmien teknisiä elementtejä, jotka voivat toimia itsenäisesti tai osana muita järjestelmiä. ”

CIPF on siis joukko tietojenkäsittelyjärjestelmien ohjelmistoja ja teknisiä elementtejä, jotka voivat toimia itsenäisesti tai osana muita järjestelmiä ja suorittaa tiedon kryptografista muuntamista sen turvallisuuden varmistamiseksi.

Määritelmä osoittautui kattavaksi. Pohjimmiltaan CIPF on mikä tahansa laitteisto, laitteisto-ohjelmisto tai ohjelmistoratkaisu, joka tavalla tai toisella suorittaa kryptografisen tiedon suojauksen. Ja jos muistamme Venäjän federaation hallituksen asetuksen nro 691, niin se esimerkiksi CIPF:lle rajoittaa selvästi kryptografisen avaimen pituutta - vähintään 40 bittiä.

Edellä esitetystä voidaan päätellä, että Venäjän CIPF-markkinoiden katsaus on mahdollista tehdä, mutta niiden yhdistäminen, jokaiselle yhteisten kriteerien löytäminen, vertailu ja objektiivisen tuloksen saaminen on mahdotonta.

Keskimääräinen ja yleinen

Kaikilla venäläisillä CIPF:illä on kuitenkin yhteiset yhteyspisteet, joiden perusteella on mahdollista koota tietty luettelo kriteereistä kaikkien salauskeinojen yhdistämiseksi. Tällainen kriteeri Venäjälle on FSB:n (FAPSI) myöntämä CIPF-sertifikaatti, koska Venäjän lainsäädäntö ei sisällä käsitettä "salaussuojaus" ilman asianmukaista varmennetta.

Toisaalta minkä tahansa CIPF:n "yhteisiä kosketuspisteitä" ovat itse työkalun tekniset ominaisuudet, esimerkiksi käytetyt algoritmit, avaimen pituus jne. Kuitenkin, kun CIPF:ää verrataan näiden kriteerien mukaan, kokonaiskuva osoittautuu täysin vääräksi. Loppujen lopuksi se, mikä on hyvää ja oikein ohjelmistototeutetulle kryptopalveluntarjoajalle, on täysin epäselvästi totta laitteistosalauksen yhdyskäytävälle.

On vielä yksi tärkeä seikka (antakoon "kollegani" minulle anteeksi). Tosiasia on, että CIPF:stä yleisesti vallitsee kaksi melko erilaista näkemystä. Puhun "teknisistä" ja "kuluttajista".

CIPF:n "tekninen" näkymä kattaa valtavan valikoiman tuotteen parametreja ja teknisiä ominaisuuksia (salausavaimen pituudesta toteutettujen protokollien luetteloon).

"Kuluttaja" poikkeaa olennaisesti "teknisestä" näkemyksestä siinä mielessä, että tietyn tuotteen toiminnallisia ominaisuuksia ei pidetä hallitsevina. Useat täysin erilaiset tekijät ovat etusijalla - hintapolitiikka, helppokäyttöisyys, ratkaisun skaalautuvuus, riittävän teknisen tuen saatavuus valmistajalta jne.

CIPF-markkinoilla on kuitenkin edelleen yksi tärkeä parametri, jonka avulla voit yhdistää kaikki tuotteet ja saada samalla melko riittävän tuloksen. Puhun kaiken CIPF:n jakamisesta käyttöalueisiin ja tiettyjen ongelmien ratkaisemiseen: luotettava tallennus; viestintäkanavien suojaaminen; suojatun asiakirjavirran (EDS) käyttöönotto jne.

Tässä julkaisussa on jo tehty temaattisia vertailevia katsauksia erilaisten venäläisten CIPF:ien, esimerkiksi venäläisten VPN:ien eli viestintäkanavien suojauksen, soveltamisen alalla. Ehkä tulevaisuudessa CIPF:n muille soveltamisalueille omistetaan katsauksia.

Mutta tässä tapauksessa yritettiin yksinkertaisesti yhdistää kaikki Venäjän markkinoilla esitellyt salaustietosuojaratkaisut yhdeksi taulukoksi yhteisten "kontaktipisteiden" perusteella. Tämä taulukko ei tietenkään tarjoa objektiivista vertailua tiettyjen tuotteiden toimivuudesta, vaan se on vain katsausmateriaali.

Yleistävät kriteerit - kaikille

Venäjän kryptografisten tietojen suojausmarkkinoiden yleiselle taulukolle voidaan viime kädessä laatia seuraavat kriteerit:

• Yrityksen valmistaja. Julkisesti saatavilla olevien tietojen (Internet) mukaan Venäjällä on tällä hetkellä noin 20 CIPF:ää kehittävää yritystä.
• Toteutustyyppi (laitteisto, ohjelmisto, laitteisto-ohjelmisto). Pakollinen jako, jolla on kuitenkin hyvin epäselvät rajat, koska siellä on esimerkiksi CIPF:t, jotka saadaan asentamalla jokin ohjelmistokomponentti - ohjaustyökalut ja itse kryptokirjasto, ja sen seurauksena ne sijoitetaan laitteistoksi ja ohjelmistoksi, vaikka itse asiassa ne ovat edustaa vain BY:tä.
• Venäjän FSB:n nykyisten vaatimustenmukaisuustodistusten ja suojausluokkien saatavuus. Venäjän CIPF-markkinoiden edellytyksenä on lisäksi, että 90 prosentilla ratkaisuista on sama suojausluokka.
• Toteutetut salausalgoritmit (täsmennä GOST-standardit). Edellytyksenä on myös GOST 28147-89:n läsnäolo.
• Tuetut käyttöjärjestelmät. Melko kiistanalainen indikaattori, tärkeä ohjelmistolla toteutetulle kryptokirjastolle ja täysin merkityksetön puhtaasti laitteistoratkaisulle.
• Mukana ohjelmistokäyttöliittymä. Merkittävä toiminnallinen indikaattori, yhtä tärkeä sekä "teknisen" että "kuluttajan" näkökulmasta.
• SSL/TLS-protokollan toteutuksen saatavuus. Ehdottomasti "tekninen" indikaattori, jota voidaan laajentaa muiden protokollien toteuttamisen näkökulmasta.
• Tuetut keskeiset mediatyypit. "Tekninen" kriteeri, joka antaa erittäin epäselvän indikaattorin erityyppisille CIPF-toteutuksille - laitteistolle tai ohjelmistolle.
• Integrointi Microsoftin tuotteisiin ja ratkaisuihin sekä muiden valmistajien tuotteisiin ja ratkaisuihin. Molemmat kriteerit liittyvät enemmän "crypto-kirjasto"-tyyppisiin salaustietosuojajärjestelmiin, kun taas näiden kriteerien käyttö esimerkiksi VPN:n rakentamiseen tarkoitetussa laitteistokompleksissa vaikuttaa hyvin kyseenalaiselta.
• Tuotteen jakelusarjan saatavuus ilmaiseksi valmistajan verkkosivuilla, jälleenmyyjän jakeluverkostossa ja tukipalvelussa (aikakriteeri). Kaikki nämä kolme kriteeriä ovat selvästi "kuluttaja", ja ne tulevat esiin vasta, kun CIPF:n erityinen toiminnallisuus, sovellusalue ja ratkaistavien tehtävien valikoima on jo ennalta määrätty.

johtopäätöksiä

Lopuksi keskitän lukijan huomion tämän katsauksen kahteen tärkeimpään kohtaan.

Ensinnäkin CIPF:n valinnan on aluksi perustuttava soveltamisalaan, mikä kaventaa merkittävästi mahdollisten ratkaisujen valikoimaa.

Toiseksi CIPF:n "tekniset" ja "kuluttajat" eivät saa olla ristiriidassa CIPF:n ainutlaatuisten toimintojen kanssa valittaessa valmistajaa, jolla on laaja tuotejakeluverkosto, edullinen hinnoittelu ja riittävät tekniset tukipalveluratkaisut. .

Salaustietojen suojaustyökaluja käytetään viestintälinjojen kautta lähetettyjen henkilökohtaisten tai salaisten tietojen suojaamiseen. Tietojen luottamuksellisuuden säilyttämiseksi on suositeltavaa suorittaa valtuutus, todentaa osapuolet TLS- ja IPSec-protokollia käyttäen sekä varmistaa sähköisen allekirjoituksen ja itse viestintäkanavan turvallisuus.

ISBC tarjoaa brändin alla tehokkaita ratkaisuja tärkeiden tietojen suojatun tallennustilan käyttöön, sähköisiin allekirjoituksiin ja pääsysuojaukseen ohjausjärjestelmiä käytettäessä. Meidän kanssamme tekevät yhteistyötä suurimmat valtionhallinnon organisaatiot, mukaan lukien Venäjän liittovaltion verovirasto, johtavat salaustietoturvatyökalujen valmistajat ja ohjelmistokehittäjät, Venäjän eri alueilla toimivat sertifiointikeskukset.

CIPF: tyypit, sovellus

CIPF:ää käytettäessä käytetään seuraavia menetelmiä:

1. Tietojen valtuuttaminen varmistaen niiden oikeudellisen merkityksen salaussuojan siirron ja tallennuksen aikana. Tätä tarkoitusta varten algoritmeja käytetään sähköisen avaimen luomiseen ja sen tarkistamiseen määriteltyjen määräysten mukaisesti.
2. Henkilökohtaisten tai salaisten tietojen salaussuojaus, niiden eheyden valvonta. Epäsymmetrisen salauksen soveltaminen, jäljitelmäsuojaus (tietojen korvaamisen mahdollisuuden poistaminen).
3. Sovellus- ja järjestelmäohjelmistojen salaussuojaus. Luvattomien muutosten ja virheellisen toiminnan hallinnan varmistaminen.
4. Järjestelmän pääelementtien hallinta vahvistettujen määräysten mukaisesti.
5. Tietoja vaihtavien osapuolten todennus.
6. Tietojen siirron salaussuojaus TLS-protokollaa käyttäen.
7. Salaussuojauksen käyttäminen IP-yhteyksille ESP:n, IKE:n, AH:n avulla.

Täydellinen kuvaus kryptografisten tietojen suojausvälineiden käytöstä on asianmukaisissa asiakirjoissa.

CIPF-ratkaisut

Tietoturvan varmistamisessa CIPF käyttää seuraavia menetelmiä:

1. Todennus sovelluksissa tapahtuu Blitz Identity Provider -palvelun ansiosta. Todennuspalvelin mahdollistaa yhden tilin avulla minkä tahansa tyyppisten yhdistettyjen resurssien hallinnan (alkuperäiset, verkko-, työpöytäsovellukset), tarjoaa tiukan käyttäjien todennuksen tunnuksella, älykortilla.
2. Yhteyden muodostushetkellä osapuolten tunnistaminen varmistetaan sähköisen allekirjoituksen ansiosta. Inter-PRO tarjoaa HTTP-liikenteen suojauksen, mahdollisuuden muokata ja hallita digitaalisia allekirjoituksia verkossa.
3. Digitaalisen asiakirjavirran luottamuksellisuuteen käytetyt salaussuojausvälineet käyttävät myös sähköistä allekirjoitusta. Sähköisen avaimen käyttämiseen verkkosovellusmuodossa käytetään Blitz Smart Card Plugin -laajennusta.
4. Salausturvakeinojen käyttö eliminoi sulautettujen laitteiden ja haittaohjelmien käyttöönoton sekä järjestelmän muuttamisen.

CIPF:n luokitus

Eri järjestelmissä avoimen tiedon salaussuojaukseen käytetyt työkalut, jotka varmistavat luottamuksellisuuden avoimissa verkoissa, tähtäävät tiedon eheyden suojaamiseen. On tärkeää, että tällaisten työkalujen käyttö valtiosalaisuuksien säilyttämiseen on laissa kiellettyä, mutta soveltuu varsin henkilötietojen turvallisuuden varmistamiseen.

Salaustietojen suojaamiseen käytettävät keinot luokitellaan todennäköisen uhan ja järjestelmän todennäköisen hakkerointitavan arvioinnin mukaan. Ne riippuvat dokumentoimattomien ominaisuuksien olemassaolosta tai ilmoitettujen ominaisuuksien noudattamatta jättämisestä, jotka voivat sisältää:

1. järjestelmäohjelmistot;
2. sovellusohjelma;
3. muita tallennusvälineen haittoja.

Ohjelmistosuojausta edustaa joukko ratkaisuja, jotka on suunniteltu salaamaan eri tallennusvälineillä olevia viestejä. Tällaisia ​​tallennusvälineitä voivat olla muistikortit, flash-asemat tai kiintolevyt. Yksinkertaisimmat niistä löytyvät julkisista. Ohjelmistollinen salaussuojaus sisältää virtuaaliverkot, jotka on suunniteltu "Internetin päällä" toimivien viestien vaihtoon, esimerkiksi VPN:t, laajennukset, joissa on HTTP-protokolla, HTTPS-laajennuksia tukevat SSL-salaukset. Tietojen vaihtamiseen käytettyjä protokollia käytetään Internet-sovellusten luomiseen IP-puhelimessa.

Ohjelmiston salaussuojaus on kätevä käyttää kotitietokoneissa, Internetissä surffaamiseen ja muilla alueilla, joissa järjestelmän toimivuudelle ja luotettavuudelle ei aseteta suuria vaatimuksia. Tai, kuten Internetiä käytettäessä, sinun on luotava suuri määrä erilaisia ​​suojattuja yhteyksiä.

Laitteiston kryptografiset suojausjärjestelmät

Laitteiston kryptografiset suojausvälineet ovat fyysisiä laitteita, jotka liittyvät tiedonsiirtojärjestelmään ja jotka tarjoavat salauksen, tallennuksen ja tiedon siirron. Laitteet voivat olla henkilökohtaisia ​​laitteita tai näyttää tältä:

• USB-salauslaitteet, flash-asemat.

Näiden laitteiden avulla voit rakentaa täysin turvallisia tietokoneverkkoja.

Laitteiston salaussuojaustyökalut on helppo asentaa ja tarjoavat korkean vastenopeuden. Korkean kryptografisen suojan tarjoamiseen tarvittavat tiedot sijaitsevat laitteen muistissa. Se voidaan lukea kontaktia tai ei-kontaktia.

Kun käytät ESMART-tuotemerkillä tuotettua CIPF:ää, saat tehokkaita tekniikoita, jotka tarjoavat tehokkaan salaussuojauksen online- tai offline-tilassa, käyttäjätodennuksen käyttämällä tunnuksia, älykortteja tai biometrisiä tietoja. Laitteistomenetelmien ja ohjelmistoratkaisujen yhdistäminen mahdollistaa korkeimman suojan tason saavuttamisen vähällä ajalla ja vaivalla tiedonvaihtoprosessissa.

ESMART® kryptografisen suojauksen tuotelinjan tärkeä ominaisuus on ainutlaatuinen tuote - joka perustuu Mikron PJSC:n kotimaiseen MIK 51 -siruun, jonka avulla voit ratkaista tehokkaasti monia turvallisuuteen ja tietosuojaan liittyviä ongelmia. . Se on CIPF, jolla on laitteistotuki venäläisille GOST-salausalgoritmeille, jotka perustuvat kotimaiseen siruun.

CIPF ESMART® Token GOST myönnetään älykorttien ja rahakkeiden muodossa. ESMART-yrityksen kehitys on Venäjän FSB:n sertifioima luokkiin KS1/KS2/KS3. Sertifikaatti nro SF/124-3668 todistaa, että CIPF ESMART Token GOST täyttää Venäjän FSB:n vaatimukset luokan KS1/KS2/KS3 salausvälineille (salakirjoitusvälineille), vaatimukset sähköisille allekirjoituksille, jotka on hyväksytty FSB:n määräyksellä nro. 796 ja sitä voidaan käyttää salaustietojen suojaamiseen, ei sisällä valtiosalaisuutta muodostavia tietoja. Huomautus ABPN.1-2018 sallii GOST R 34.10-2001:n käytön ESMART Token GOST CIPF:ssä varmenteen voimassaoloaikana GOST R 34.10-2012:een siirtymisen lykkääntymisen vuoksi 1.1.2020 asti. Lisäksi ESMART® Token GOST:ia voidaan käyttää avainten luomiseen, sähköisten allekirjoitusten luomiseen ja tarkistamiseen, tiukkaan monitekijäiseen käyttäjän todentamiseen jne.

ESMART-yritys tarjoaa nykyaikaisten kryptografisten tietojen suojausjärjestelmien ostamista valmistajalta parhaaseen hintaan. Suunnittelu- ja kehityskeskuksemme ja tuotantomme sijaitsevat Zelenogradissa. Venäläisten sirujen käyttö antaa meille mahdollisuuden tarjota parhaat ja kilpailukykyiset hinnat salaustiedon suojausvälineille valtion projekteille, yrityksille ja organisaatioille.

AST:n toteuttamat yritysten salaustyökalut voivat tukea GOST-salausalgoritmeja ja tarjota tarvittavat salaussuojausluokat riippuen vaaditusta suojausasteesta, sääntelykehyksestä ja yhteensopivuusvaatimuksista muiden, mukaan lukien ulkoisten järjestelmien kanssa.

Salaustietosuojatyökalut (CIPF) ovat tärkeä osa tietoturvan varmistamista ja auttavat takaamaan korkean tietoturvan tason, vaikka salatut sähköiset asiakirjat joutuisivat kolmansien osapuolten käsiin tai jos niiden mukana oleva tallennusväline varastetaan tai menetetty. CIPF:ää käytetään nykyään lähes kaikissa yrityksissä - useammin vuorovaikutuksessa automatisoitujen pankkijärjestelmien ja valtion tietojärjestelmien kanssa; harvemmin - yritystietojen tallentamiseen ja vaihtoon. Samaan aikaan se on viimeisin salauksen käyttö, jonka avulla voit suojata yritystäsi kriittisen arvokkaan tiedon vaarallisilta vuodoilta jopa 99 prosentin takuulla, vaikka inhimillinen tekijä otetaan huomioon.

Toiminnallisesti CIPF:n käytön tarvetta määrää myös sähköisen dokumentinhallinnan, arkistoinnin ja paperittoman vuorovaikutuksen kasvava suosio. Tällaisissa järjestelmissä käsiteltyjen asiakirjojen merkitys sanelee tarpeen varmistaa korkea tietoturva, jota ei voida saavuttaa ilman salauksen ja sähköisten allekirjoitusten käyttöä.

CIPF:n käyttöönotto yrityskäytännössä sisältää laitteisto- ja ohjelmistokompleksin luomisen, jonka arkkitehtuuri ja koostumus määräytyvät tietyn asiakkaan tarpeiden, lakisääteisten vaatimusten, osoitettujen tehtävien sekä tarvittavien menetelmien ja salausalgoritmien perusteella. Näitä voivat olla salausohjelmistokomponentit (salauksentarjoajat), VPN-organisaatiotyökalut, tunnistustyökalut, työkalut avainten ja digitaalisten allekirjoitusten luomiseen ja tarkistamiseen, joita käytetään laillisesti merkittävän asiakirjavirran järjestämiseen, sekä laitteiston tallennusvälineitä.

AST:n toteuttamat yritysten salaustyökalut voivat tukea GOST-salausalgoritmeja ja tarjota tarvittavat salaussuojausluokat riippuen vaaditusta suojausasteesta, sääntelykehyksestä ja yhteensopivuusvaatimuksista muiden, mukaan lukien ulkoisten järjestelmien kanssa. Samalla salaustyökalut suojaavat kaikkia tietokomponentteja - tiedostoja, hakemistoja tiedostoineen ja arkistoja, fyysisiä ja virtuaalisia tallennusvälineitä, kokonaisia ​​palvelimia ja tallennusjärjestelmiä.

Ratkaisu pystyy tarjoamaan täyden valikoiman toimenpiteitä tietojen luotettavaan suojaamiseen sen tallennuksen, siirron ja käytön aikana sekä itse CIPF:n hallintaan, mukaan lukien:

• Tietojen luottamuksellisuuden varmistaminen
• Tietojen eheyden varmistaminen
• Tietojen aitouden takuu
• Kohdennettu tietojen suojaus, mukaan lukien:
  — Salaus ja salauksen purku
  — Digitaalisen allekirjoituksen luominen ja todentaminen
• CIPF:n konfiguroinnin, hallinnan ja käytön joustavuus
• CIPF:n suojaus, mukaan lukien toimintahäiriötapausten, luvattoman pääsyn yritysten ja avainten vaarantumisen valvonta ja havaitseminen.

Valmiit projektit

Aiheeseen liittyvät palvelut:

• Tapahtumavalvonta ja tietoturvahäiriöiden hallinta

  Tietoturvan (IS) varmistamisessa tärkein tekijä on täydellisen ja luotettavan tiedon saatavuus tapahtumista

  [...]
• Verkon turvallisuuden ja kehän suojauksen varmistaminen

  Verkkoinfrastruktuuri on teknisesti kaikkien yritysten IT-järjestelmien taustalla ja on tiedon kulkuväylä,

  [...]
• Suojaus kohdennettuja hyökkäyksiä vastaan

  Kohteena on yksi tietoturvallisuuden (IS) kannalta vakavimmista ja vaarallisimmista uhista liiketoiminnalle

  [...]
• Automatisoitu prosessinohjausjärjestelmän suojaus

  Tuotannon automatisoitu prosessinohjausjärjestelmä (APCS) on perusratkaisu

  [...]
• Haavoittuvuusanalyysi- ja hallintajärjestelmät

  Aivan kuten ei ole täysin terveitä ihmisiä, ei ole täysin turvallisia tietojärjestelmiä. IT-infrastruktuurin komponentit

  [...]
• Suojaus tietovuotoja vastaan ​​(DLP-järjestelmä)

  Jokaisella organisaatiolla on rajoitettu pääsy asiakirjoihin, jotka sisältävät yhtä tai toista luottamuksellista tietoa. Heidän putoamisen vieraisiin

Kryptografisten tietojen suojaustyökalut (CIPF) sisältävät laitteiston, laiteohjelmiston ja ohjelmiston, jotka toteuttavat salausalgoritmeja tietojen muuntamiseksi seuraaviin tarkoituksiin:

Tietojen suojaaminen sen käsittelyn, tallennuksen ja siirron aikana AS-kuljetusympäristön kautta;

Tietojen luotettavuuden ja eheyden varmistaminen (mukaan lukien digitaalisten allekirjoitusalgoritmien käyttö) sen käsittelyn, tallennuksen ja siirron aikana AS-siirtoympäristön kautta;

Kohteiden, käyttäjien ja laitteiden tunnistamiseen ja todentamiseen käytettyjen tietojen luominen;

Tietojen luominen, joita käytetään suojatun AS:n todennuselementtien suojaamiseen niiden luomisen, tallennuksen, käsittelyn ja siirron aikana.

Oletetaan, että CIPF:ää käytetään joissakin AS:issa (useissa lähteissä - tieto- ja televiestintäjärjestelmässä tai viestintäverkossa) sekä mekanismeja turvallisuuspolitiikan toteuttamiseksi ja takaamiseksi.

Kryptografisella muunnolla on useita merkittäviä ominaisuuksia:

CIPF toteuttaa tietyn tiedon muunnosalgoritmin (salaus, sähköinen digitaalinen allekirjoitus, eheyden valvonta)

Salausmuunnoksen tulo- ja lähtöargumentit ovat läsnä AS:ssa jossain aineellisessa muodossa (AS-objektit)

CIPF käyttää joitain luottamuksellisia tietoja (avaimia) toimiakseen.

Salausmuunnosalgoritmi toteutetaan jonkin materiaalisen objektin muodossa, joka on vuorovaikutuksessa ympäristön kanssa (mukaan lukien suojatun AS:n subjektit ja objektit).

Siten CIPF:n rooli suojatussa AS:ssa on objektien muuntaminen. Jokaisessa erityistapauksessa tällä muutoksella on omat erityispiirteensä. Näin ollen salausproseduuri käyttää syöttöparametreina objektia - selväteksti ja objekti -avainta, muunnoksen tulos on objekti - salateksti; päinvastoin, salauksenpurkumenettely käyttää salatekstiä ja avainta syöttöparametreina; digitaalisen allekirjoituksen kiinnittämisessä käytetään syöttöparametreina objektia - viestiä ja objektia - salaista allekirjoitusavainta, digitaalisen allekirjoituksen tulos on objekti - allekirjoitus, yleensä objektiin integroitu - viesti. Voidaan sanoa, että CIPF suojaa esineitä semanttisella tasolla. Samanaikaisesti objektit - kryptografisen muunnoksen parametrit ovat täysimittaisia ​​AS-objekteja ja voivat olla jonkin suojauspolitiikan objekteja (esimerkiksi salausavaimet voidaan ja pitäisi suojata luvattomalta käytöltä, julkiset avaimet digitaalisen allekirjoituksen tarkistamiseksi muutoksilta) . Joten CIPF:llä osana suojattuja järjestelmiä on erityinen toteutus - se voi olla erillinen tietokoneeseen sisäänrakennettu erikoislaite tai erikoisohjelma. Seuraavat kohdat ovat välttämättömiä:

CIPF vaihtaa tietoja ulkoisen ympäristön kanssa, nimittäin: avaimet syötetään siihen, pelkkä teksti salauksen aikana

CIPF käyttää laitteistototeutuksen yhteydessä rajoitetun luotettavuuden peruspohjaa (eli CIPF:n muodostavat osat ovat alttiina toimintahäiriöille tai häiriöille)

Ohjelmistojen käyttöönoton tapauksessa CIPF suoritetaan rajoitetun luotettavuuden omaavassa prosessorissa ja ohjelmistoympäristössä, joka sisältää kolmannen osapuolen ohjelmia, jotka voivat vaikuttaa sen toiminnan eri vaiheisiin

CIPF on tallennettu konkreettiselle tietovälineelle (ohjelmistototeutuksen tapauksessa) ja se voidaan tahallisesti tai vahingossa vääristää tallennuksen aikana

CIPF on vuorovaikutuksessa ulkoisen ympäristön kanssa epäsuorasti (virtalähteenä, lähettää sähkömagneettisia kenttiä)

CIPF:n valmistaa ja/tai käyttää henkilö, joka voi tehdä virheitä (tahallisesti tai vahingossa) kehityksen ja käytön aikana

Tietoliikenneverkkojen olemassa olevat tietosuojatyökalut voidaan jakaa kahteen ryhmään avainjärjestelmän ja todennusjärjestelmän rakentamisen periaatteen perusteella. Ensimmäiseen ryhmään kuuluvat työkalut, jotka käyttävät symmetrisiä salausalgoritmeja avainjärjestelmän ja todennusjärjestelmän rakentamiseen, ja toiseen ryhmään kuuluvat epäsymmetriset.

Suoritetaan näiden järjestelmien vertaileva analyysi. Lähetettäväksi valmis, alun perin avoin ja suojaamaton informaatiosanoma salataan ja muunnetaan siten salakirjoitukseksi eli suljetuksi tekstiksi tai asiakirjan graafiseksi kuvaksi. Tässä muodossa viesti välitetään viestintäkanavan kautta, vaikka se ei olisikaan suojattu. Valtuutettu käyttäjä, vastaanotettuaan viestin, purkaa sen salauksen (eli avaa sen) käänteisellä muuntamalla kryptogrammia, mikä johtaa viestin alkuperäiseen, selkeään muotoon, joka on valtuutettujen käyttäjien saatavilla. Muunnosmenetelmä kryptografisessa järjestelmässä vastaa erityisalgoritmin käyttöä. Tällaisen algoritmin toiminnan käynnistää yksilöllinen numero (bittisarja), jota yleensä kutsutaan salausavaimeksi.

Useimmissa järjestelmissä avaimen generaattoripiiri voi olla joukko ohjeita ja komentoja tai laitteiston osa tai tietokoneohjelma tai kaikki nämä, mutta joka tapauksessa salausprosessi (salauksen purku) toteutetaan vain tällä erikoisella. avain. Jotta salattujen tietojen vaihto onnistuisi, sekä lähettäjän että vastaanottajan on tiedettävä oikea avainasetus ja pidettävä se salassa. Minkä tahansa suljetun viestintäjärjestelmän vahvuus määräytyy siinä käytetyn avaimen salassapitoasteen mukaan. Tämä avain on kuitenkin oltava muiden verkon käyttäjien tiedossa, jotta he voivat vapaasti vaihtaa salattuja viestejä. Tässä mielessä kryptografiset järjestelmät auttavat myös ratkaisemaan vastaanotetun tiedon todentamisen (aitouden määrittämisen) ongelman. Jos viesti siepataan, hyökkääjä käsittelee vain salattua tekstiä, ja todellinen vastaanottaja, joka vastaanottaa yksityisiä viestejä hänen ja lähettäjän tuntemalla avaimella, on luotettavasti suojattu mahdolliselta väärältä tiedolta. Lisäksi on mahdollista salata tietoa yksinkertaisemmalla tavalla -la. Pseudosatunnaislukugeneraattorin käyttö sisältää salausgamman generoinnin käyttämällä, joka on annettu tietyllä avaimella, ja soveltamalla tuloksena olevaa gammaa avoimeen dataan palautuvalla tavalla. Tämä salaussuojausmenetelmä on melko helppo toteuttaa ja tarjoaa melko suuren salausnopeuden, mutta ei ole riittävän kestävä salauksen purkamista vastaan.

Klassiselle kryptografialle on ominaista yhden salaisen yksikön - avaimen - käyttö, jonka avulla lähettäjä voi salata viestin ja vastaanottaja purkaa sen. Kun salataan magneettiselle tai muulle tallennusvälineelle tallennettuja tietoja, avaimella voit salata tiedot kirjoitettaessa medialle ja purkaa sen salauksen, kun luet niistä.

"Tietoturvallisuuden organisatoriset ja juridiset menetelmät"

Valtionsalaisuuksiin liittyvät perussäädökset, säädös- ja viiteasiakirjat

Tänään maamme on luonut vakaan lainsäädäntökehyksen tietosuojan alalla. Peruslakia voidaan kutsua Venäjän federaation liittovaltiolakiksi "Tiedosta, tietotekniikasta ja tietosuojasta". "Tiedonsuoja-alan suhteiden valtiollinen sääntely toteutetaan asettamalla vaatimukset tietojen suojaamiselle sekä vastuulle Venäjän federaation tieto-, tietotekniikka- ja tietoturvalainsäädännön rikkomisesta." tiedonhaltijoiden ja tietojärjestelmien ylläpitäjien vastuut.

Mitä tulee tietoturvan "kodifioituun" sääntelyyn, Venäjän federaation hallintorikoslain ja Venäjän federaation rikoslain normit sisältävät myös tarvittavat artiklat. Art. Venäjän federaation hallintorikoslain 13.12 puhuu tietosuojasääntöjen rikkomisesta. Myös Art. 13.13, jossa säädetään rangaistuksista tietoturva-alan laittomasta toiminnasta. Ja Art. 13.14. joka sisältää rangaistuksia rajoitetun tiedon paljastamisesta. Artikla 183. Venäjän federaation rikoslaki määrää rangaistuksen liike-, vero- tai pankkisalaisuutta sisältävien tietojen laittomasta vastaanottamisesta ja paljastamisesta.

Liittovaltion laissa "Tiedosta, tietojenkäsittelystä ja tietosuojasta" säädetään, että Venäjän federaation valtion tietoresurssit ovat avoimia ja julkisesti saatavilla. Poikkeuksen muodostavat dokumentoidut tiedot, jotka on lain mukaan luokiteltu rajoitetusti saataville.

Valtionsalaisuuksien käsite on määritelty valtiosalaisuuksista annetussa laissa "valtion sotilaallisen, ulkopoliittisen, taloudellisen, tiedustelu-, vastatiedustelu- ja operatiivisen tutkintatoiminnan alalla suojaamaan tietoon, jonka levittäminen voi vahingoittaa turvallisuutta Venäjän federaatiosta." Siten valtion, yhteiskunnan ja kansalaisten etujen tasapainon perusteella lain soveltamisala on rajoitettu tietyntyyppisiin toimiin: sotilaalliseen, ulkopolitiikkaan, talous-, tiedustelu-, vastatiedustelu- ja operatiiviseen tutkintatoimintaan.

Lain mukaan pääkriteerinä on, että turvaluokiteltu tieto kuuluu valtiolle.

Laissa perustettiin myös joukko valtiosalaisuuksien suojelun alalla toimivia elimiä, erityisesti ministeriöiden välinen valtiosalaisuuksien suojelukomissio, perustettiin virkamiesinstituutio, jolla on valtuudet luokitella tiedot valtiosalaisuudeksi. aikaa osoittaa heille henkilökohtaista vastuuta toimista, joilla suojellaan valtiosalaisuuksia heidän toimivaltansa alueella.

Teknisin keinoin käsiteltyjen tietojen suojaamiseen tähtäävän työn yleisestä organisoinnista ja koordinoinnista maassa huolehtii kollegiaalinen elin - Venäjän federaation presidentin alainen liittovaltion tekninen ja vientivalvontapalvelu (FSTEK), joka valvoo turvallisuutta valtion elimissä ja yrityksissä, jotka tekevät työtä puolustus- ja muiden salattujen aiheiden parissa.

Tarkoitus ja tehtävät tietoturvan varmistamisen alalla valtion tasolla

Valtion politiikka Venäjän federaation tietoturvan takaamiseksi määrittelee liittovaltion hallintoelinten ja Venäjän federaation muodostavien yksiköiden hallintoelinten pääasialliset toimintasuunnat tällä alueella, menettelyn niiden velvollisuuksien lujittamiseksi Venäjän federaation etujen suojelemiseksi. tietosfääriä toimintansa puitteissa ja perustuu yksilön, yhteiskunnan ja valtion etujen tasapainon ylläpitämiseen tietosfäärissä. Valtion politiikka Venäjän federaation tietoturvan varmistamisessa perustuu seuraaviin perusperiaatteisiin: Venäjän federaation perustuslain, Venäjän federaation lainsäädännön, yleisesti tunnustettujen kansainvälisen oikeuden periaatteiden ja normien noudattaminen tietojen turvaamiseen tähtäävien toimien yhteydessä. Venäjän federaation turvallisuus; avoimuus liittovaltion hallintoelinten, Venäjän federaation muodostavien yksiköiden hallintoelinten ja julkisten järjestöjen tehtävien toteuttamisessa, tiedottamisesta yleisölle niiden toiminnasta ottaen huomioon Venäjän federaation lainsäädännössä asetetut rajoitukset; kaikkien tietovuorovaikutusprosessin osallistujien oikeudellinen tasa-arvo heidän poliittisesta, sosiaalisesta ja taloudellisesta asemastaan ​​riippumatta perustuen kansalaisten perustuslailliseen oikeuteen vapaasti etsiä, vastaanottaa, välittää, tuottaa ja levittää tietoa millä tahansa laillisella tavalla; kotimaisten nykyaikaisten tieto- ja televiestintätekniikoiden ensisijainen kehittäminen, laitteistojen ja ohjelmistojen tuotanto, jotka pystyvät varmistamaan kansallisten tietoliikenneverkkojen parantamisen, niiden liittämisen maailmanlaajuisiin tietoverkkoihin Venäjän federaation elintärkeiden etujen mukaisesti.

Valtio toteuttaessaan tehtäviään Venäjän federaation tietoturvan varmistamiseksi: suorittaa objektiivisen ja kattavan analyysin ja ennusteen Venäjän federaation tietoturvaan kohdistuvista uhista, kehittää toimenpiteitä sen varmistamiseksi; järjestää Venäjän federaation valtiovallan lainsäädäntö- (edustaja) ja toimeenpanoelinten työn toteuttaakseen joukon toimenpiteitä, joiden tarkoituksena on estää, torjua ja neutraloida Venäjän federaation tietoturvaan kohdistuvia uhkia; tukee julkisten yhdistysten toimintaa, jolla pyritään objektiivisesti tiedottamaan väestölle yhteiskunnallisesti merkittävistä julkisen elämän ilmiöistä ja suojelemaan yhteiskuntaa vääristyneeltä ja epäluotettavalta tiedolta; valvoo tietoturvatyökalujen suunnittelua, luomista, kehittämistä, käyttöä, vientiä ja tuontia niiden sertifioinnin ja tietoturva-alan toiminnan lisensoinnin kautta; harjoittaa tarvittavaa protektionistista politiikkaa tietojenkäsittely- ja tiedonsuojausvälineiden valmistajia kohtaan Venäjän federaation alueella ja ryhtyy toimenpiteisiin suojellakseen kotimarkkinoita heikkolaatuisten tietovälineiden ja tietotuotteiden tunkeutumiselta; auttaa tarjoamaan yksityisille ja oikeushenkilöille pääsyn maailman tietoresursseihin ja maailmanlaajuisiin tietoverkkoihin; muotoilee ja toteuttaa Venäjän valtion tiedotuspolitiikkaa; järjestää liittovaltion ohjelman kehittämisen Venäjän federaation tietoturvan varmistamiseksi yhdistäen valtion ja ei-valtiollisten järjestöjen toimet tällä alalla; edistää globaalien tietoverkkojen ja -järjestelmien kansainvälistymistä sekä Venäjän liittymistä globaaliin tietoyhteisöön tasa-arvoisen kumppanuuden ehdoilla.

Tietosfäärin suhteiden säätelyä koskevien oikeudellisten mekanismien parantaminen on valtion politiikan ensisijainen suunta Venäjän federaation tietoturvan varmistamisen alalla.

Tähän sisältyy: olemassa olevien lainsäädäntö- ja muiden säädösten soveltamisen tehokkuuden arviointi tiedotusalalla ja ohjelman kehittäminen niiden parantamiseksi; organisatoristen ja oikeudellisten mekanismien luominen tietoturvan varmistamiseksi; määrittää kaikkien tietoalan suhteiden subjektien, mukaan lukien tieto- ja televiestintäjärjestelmien käyttäjät, oikeudellinen asema ja vahvistaa heidän vastuunsa Venäjän federaation lainsäädännön noudattamisesta tällä alalla; järjestelmän luominen tietojen keräämiseksi ja analysoimiseksi Venäjän federaation tietoturvallisuutta uhkaavien uhkien lähteistä sekä niiden täytäntöönpanon seurauksista; sellaisten normatiivisten säädösten kehittäminen, jotka määrittävät tiedotusalan laittomien toimien tosiseikkojen tutkinnan järjestämisen ja oikeudenkäyntimenettelyn sekä menettelyn näiden laittomien toimien seurausten poistamiseksi; rikosten kehittäminen ottaen huomioon rikos-, siviili-, hallinnollisen, kurinpidollisen vastuun erityispiirteet ja asiaankuuluvien oikeudellisten normien sisällyttäminen rikos-, siviili-, hallinto- ja työlakiin sekä Venäjän federaation julkisia palveluja koskevaan lainsäädäntöön; Venäjän federaation tietoturvan varmistamisessa käytettävän henkilöstön koulutusjärjestelmän parantaminen.

Venäjän federaation tietoturvan oikeudellisen tuen tulisi perustua ennen kaikkea laillisuuden periaatteiden noudattamiseen, kansalaisten, yhteiskunnan ja valtion etujen tasapainoon tietosfäärissä. Laillisuusperiaatteen noudattaminen edellyttää, että liittovaltion hallintoelimet ja Venäjän federaation muodostavien yksiköiden hallintoelimet noudattavat tiukasti tämän alan suhteita sääteleviä lakeja ja muita säädöksiä, kun ne ratkaisevat tietoalalla syntyviä ristiriitoja. Kansalaisten, yhteiskunnan ja valtion etujen tasapainottamisen periaatteen noudattaminen tietosfäärissä edellyttää näiden etujen ensisijaisen aseman lainsäädännöllistä vahvistamista yhteiskunnan eri alueilla sekä julkisen valvonnan muotojen käyttöä liittohallituksen toiminnassa. Venäjän federaation muodostavien yksiköiden elimet ja hallintoelimet. Tietosfäärin toimintaan liittyvien ihmisten ja kansalaisten perustuslaillisten oikeuksien ja vapauksien takeiden toteuttaminen on valtion tärkein tehtävä tietoturvan alalla. Tietoturvan oikeudellisen tuen mekanismien kehittäminen Venäjän federaatiossa sisältää toimenpiteitä koko oikeusalan informatisoimiseksi. Valtio tukee julkisten neuvostojen, komiteoiden ja valiokuntien muodostamista liittovaltion hallintoelinten, Venäjän federaation muodostavien yksiköiden hallintoelinten ja muiden tiedotusalan suhteiden subjektien etujen tunnistamiseksi ja koordinoimiseksi ja tarvittavien päätösten kehittämiseksi. laajasti edustettuina julkisia järjestöjä ja helpottaa niiden tehokkaan työn järjestämistä.

Salauspalveluiden sertifioinnin ja standardoinnin ominaisuudet

Lähes kaikissa maissa, joissa on kehittynyt salaustekniikka, CIPF:n kehittäminen on hallituksen säännösten alaista. Valtion sääntely sisältää pääsääntöisesti salaustyökalujen kehittämiseen ja käyttöön liittyvien toimintojen lisensoinnin, CIPF:n sertifioinnin ja kryptografisten muunnosalgoritmien standardoinnin.

Seuraavat toiminnot ovat luvanvaraisia: valtion tai muun laillisesti suojatun salaisuuden muodostavaa tietoa sisältävien tietojen kryptografiseen suojaamiseen tarkoitettujen salaustyökalujen kehittäminen, tuotanto, sertifiointitestaus, myynti, käyttö sen käsittelyn, tallennuksen ja viestintäkanavien kautta siirron aikana, sekä palvelujen tarjoaminen näiden tietojen salauksen alalla; Venäjän federaation korkeimpien hallintoelinten televiestintäjärjestelmien ja kompleksien kehittäminen, tuotanto, sertifiointitestaus, käyttö; Venäjän federaation muodostavien yksiköiden viranomaisten, liittovaltion keskusviranomaisten, organisaatioiden, yritysten, pankkien ja muiden Venäjän federaation alueella sijaitsevien laitosten suljettujen järjestelmien ja tietoliikennekompleksien kehittäminen, tuotanto, sertifiointitestaus, käyttöönotto, käyttö niiden osastokohtainen kuuluvuus ja muodostaa omaisuutta (jäljempänä suljetut järjestelmät ja tietoliikennekompleksit), joka on tarkoitettu valtion tai muun lain suojaaman salaisuuden muodostavan tiedon välittämiseen; sertifiointitestien suorittaminen, sellaisten salaustyökalujen, suljettujen järjestelmien ja tietoliikennekompleksien käyttöönotto ja käyttö, jotka on tarkoitettu käsittelemään tietoja, jotka eivät sisällä valtion tai muun laillisesti suojatun salaisuuden muodostavaa tietoa sen käsittelyn, tallennuksen ja viestintäkanavien kautta siirron aikana, sekä palvelujen tarjoaminen näiden tietojen kentän salaus

Salaustyökaluja ovat: laitteistot, ohjelmistot ja laitteisto-ohjelmistotyökalut, jotka toteuttavat salausalgoritmeja tiedon muuntamiseksi, varmistaen tietojen turvallisuuden sen käsittelyn, tallennuksen ja viestintäkanavien kautta siirron aikana, mukaan lukien salaustekniikka; laitteistot, ohjelmistot ja laitteisto-ohjelmistokeinot suojaamaan tietojen luvattomalta pääsyltä sen käsittelyn ja tallennuksen aikana ja jotka toteuttavat salausalgoritmeja tiedon muuntamiseen; Salausalgoritmien toteuttaminen tietojen, laitteistojen, ohjelmistojen ja laitteisto-ohjelmistojen muuntamiseksi, jotka suojaavat väärien tietojen pakottamista vastaan, mukaan lukien keinot jäljitelmäsuojaukseen ja "digitaaliseen allekirjoitukseen"; laitteistot, laitteisto-ohjelmistot ja ohjelmistot avainasiakirjojen tuottamiseen salaustyökaluja varten riippumatta avaintietovälineen tyypistä.

Suljetut järjestelmät ja tietoliikennekompleksit sisältävät tietoliikennejärjestelmiä ja komplekseja, jotka varmistavat tietojen suojauksen salaustyökaluilla, turvallisilla laitteilla ja organisatorisilla toimenpiteillä.

Lisäksi seuraavat toiminnot ovat luvanvaraisia: salaustyökalujen ja/tai digitaalisten allekirjoitustyökalujen käyttö sekä salaustyökalut sähköisten maksujen suojaamiseksi muovisilla luottokorteilla ja älykorteilla; Tietosuoja- (salaus)palvelujen tarjoaminen; Salaustyökalujen ja/tai digitaalisten allekirjoitustyökalujen asennus, asennus, säätäminen, salaustyökalut sähköisten maksujen suojaamiseen muovisia luottokortteja ja älykortteja käyttäen; salaustyökalujen ja/tai digitaalisten allekirjoitustyökalujen, salaustyökalujen kehittäminen sähköisten maksujen suojaamiseksi muovisia luottokortteja ja älykortteja käyttäen

CIPF:n sertifiointimenettely on määritetty Venäjän valtion standardin kryptografisten tietojen suojaustyökalujen sertifiointijärjestelmässä ROSS.R11.0001.030001.

Salausmuunnosalgoritmien standardointi sisältää kattavan tutkimuksen ja julkaisun kryptografisten menettelyjen elementtien standardien muodossa tavoitteena käyttää CIPF-kehittäjien todistettuja kryptografisesti vahvoja muunnoksia, varmistaa erilaisten CIPF:ien yhteistoiminnan mahdollisuus sekä mahdollisuus testata. ja varmistaa, että CIPF-toteutus on standardin määrittämän algoritmin mukainen. Venäjällä on otettu käyttöön seuraavat standardit: kryptografinen muunnosalgoritmi 28147-89, hajautus-, kiinnitys- ja digitaalisen allekirjoituksen varmennusalgoritmit R34.10.94 ja R34.11.94. Ulkomaisista standardeista tunnetaan ja käytetään laajalti salausalgoritmit DES, RC2, RC4, hajautusalgoritmit MD2, MD4 ja MD5 sekä algoritmit digitaalisten allekirjoitusten kiinnittämiseen ja tarkistamiseen DSS ja RSA.

Tietoturvaa koskeva lainsäädäntökehys

Tietojärjestelmien tietoturvajärjestelmän (IS) suunnittelun ja arvioinnin peruskäsitteet, vaatimukset, menetelmät ja työkalut näkyvät seuraavissa perusasiakirjoissa:

National Computer Security Centerin "oranssi kirja".

"Euroopan maiden harmonisoidut kriteerit (ITSEC)";

Venäjän federaation presidentin alaisen valtionkomission laitonta toimintaa vastaan ​​suojaamisen käsite.

Tietoturvakonsepti

Kehitettävän järjestelmän turvallisuuskonsepti on ”joukko lakeja, sääntöjä ja käyttäytymisnormeja, jotka määräävät, miten organisaatio käsittelee, suojaa ja jakaa tietoa. Säännöt määräävät erityisesti, missä tapauksissa käyttäjällä on oikeus toimia tietyn kanssa Tietojoukot Mitä luotettavampi järjestelmä, sitä tiukempi ja monimuotoisempi turvallisuuskonsepti voidaan valita järjestelmän turvallisuuden varmistamiseksi. mukaan lukien mahdollisten uhkien analysointi ja vastatoimien valinta."

Orange Bookin mukaan kehitettävän järjestelmän turvallisuuskonseptin tulee sisältää seuraavat elementit:

Random Access Control;

Objektin uudelleenkäytön turvallisuus;

Turvatarrat;

Pakotettu kulunvalvonta.

Tarkastellaanpa lueteltujen elementtien sisältöä.

Random access control on tapa rajoittaa pääsyä objekteihin, jotka perustuvat sen kohteen tai ryhmän identiteetin huomioon ottamiseen, johon kohde kuuluu. Valvonnan mielivaltaisuus on sitä, että joku (yleensä esineen omistaja) voi oman harkintansa mukaan antaa tai ottaa muilta kohteilta käyttöoikeudet esineeseen.

Pääsynhallinnan tärkein etu on joustavuus, tärkeimmät haitat ovat ohjauksen hajaantuminen ja keskitetyn ohjauksen monimutkaisuus sekä käyttöoikeuksien eristäminen tiedoista, jonka avulla voit kopioida salaisia ​​tietoja julkisiin tiedostoihin.

Objektien uudelleenkäytön suojaus on tärkeä lisä käytännön hallintaan ja suojaa arkaluontoisten tietojen vahingossa tai tarkoituksella hakemiselta roskista. Uudelleenkäyttöturvallisuus on taattava RAM-alueille (erityisesti puskureille, joissa on näyttökuvia, salattuja salasanoja jne.), levylohkoille ja magneettisille tietovälineille yleensä.

Suojaustunnisteet liitetään aiheisiin ja objekteihin kulunvalvontaa varten. Kohteen tunniste kuvaa sen luotettavuutta, kohteen etiketti sen sisältämien tietojen luottamuksellisuuden astetta. Orange Bookin mukaan turvatarrat koostuvat kahdesta osasta - suojaustasosta ja kategorioiden luettelosta. Tärkein ongelma, joka on käsiteltävä tunnisteiden kanssa, on niiden eheyden varmistaminen. Ensinnäkin siinä ei saa olla merkitsemättömiä kohteita tai esineitä, muuten tunnistetussa tietoturvassa on helposti hyödynnettäviä aukkoja. Toiseksi tarrojen on pysyttävä oikeina tietojen kanssa käytettäessä. Yksi tapa varmistaa turvatarrojen eheys on erottaa laitteet monitasoisiin ja yksitasoisiin laitteisiin. Monitasoiset laitteet voivat tallentaa eri salaisuustasoja (tarkemmin sanottuna tietyllä tasoalueella). Yksitasoista laitetta voidaan pitää monitasoisen laitteen rappeutuneena tapauksena, jossa sallittu alue koostuu yhdestä tasosta. Tietäen laitteen tason järjestelmä voi päättää, saako siihen kirjoittaa tietyllä etiketillä varustettua tietoa.

Pakotettu kulunvalvonta perustuu kohteen ja objektin suojaustunnisteiden yhteensovittamiseen. Tätä kulunvalvontamenetelmää kutsutaan pakotetuksi, koska se ei riipu tutkittavien (edes järjestelmänvalvojien) tahdosta. Pakotettu pääsynhallinta on toteutettu monissa käyttöjärjestelmien ja DBMS-versioiden versioissa, joille on ominaista parannetut suojatoimenpiteet.