Prostředky kryptografické ochrany informací, zkráceně CIPF, slouží k zajištění komplexní ochrany dat přenášených po komunikačních linkách. K tomu musíte dodržovat oprávnění a ochranu. elektronický podpis, autentizaci komunikujících stran pomocí protokolů TLS a IPSec a případně i ochranu samotného komunikačního kanálu.

V Rusku je používání kryptografických nástrojů pro bezpečnost informací většinou tajné, takže veřejně dostupných informací na toto téma je málo.

Metody používané v CIPF

  • Autorizace dat a zajištění bezpečnosti jejich právního významu při přenosu nebo uchovávání. K tomu jsou využívány algoritmy pro vytváření elektronického podpisu a jeho ověřování v souladu se zavedenými předpisy RFC 4357 a využívají certifikáty podle standardu X.509.
  • Ochrana důvěrnosti dat a kontrola jejich integrity. Využívá se asymetrické šifrování a ochrana proti imitaci, tedy proti falšování dat. Vyhovuje GOST R 34.12-2015.
  • Ochrana systémového a aplikačního softwaru. Sledování neoprávněných změn nebo poruch.
  • Správa nejdůležitějších prvků systému v přísné dodržování s přijatými předpisy.
  • Autentizace stran, které si vyměňují data.
  • Ochrana připojení pomocí protokolu TLS.
  • Ochrana IP připojení pomocí protokolů IKE, ESP, AH.

Metody jsou podrobně popsány v následujících dokumentech: RFC 4357, RFC 4490, RFC 4491.

Mechanismy CIPF pro ochranu informací

  1. Důvěrnost uložených nebo přenášených informací je chráněna použitím šifrovacích algoritmů.
  2. Při navazování spojení je při autentizaci zajištěna identifikace pomocí elektronického podpisu (jak doporučuje X.509).
  3. Tok digitálních dokumentů je rovněž chráněn pomocí elektronického podpisu spolu s ochranou proti uložení nebo opakování, přičemž je sledována spolehlivost klíčů používaných k ověřování elektronických podpisů.
  4. Integrita informací je zajištěna prostředky digitální podpis.
  5. Použití funkcí asymetrického šifrování pomáhá chránit data. Kromě toho lze ke kontrole integrity dat použít hašovací funkce nebo algoritmy ochrany proti imitaci. Tyto metody však nepodporují určení autorství dokumentu.
  6. Ochrana proti přehrání probíhá pomocí kryptografických funkcí elektronického podpisu pro šifrování nebo ochranu před imitací. Zároveň je ke každé síťové relaci přidán jedinečný identifikátor, dostatečně dlouhý na to, aby se vyloučila její náhodná shoda, a ověření je realizováno přijímající stranou.
  7. Ochrana před uložením, tedy před pronikáním do komunikace zvenčí, je zajištěna pomocí elektronického podpisu.
  8. Další ochrana - proti záložkám, virům, úpravám operační systém atd. - poskytované prostřednictvím různých kryptografických nástrojů, bezpečnostních protokolů, antivirového softwaru a organizačních opatření.

Jak vidíte, algoritmy elektronického podpisu jsou základní součástí prostředků ochrany kryptografických informací. O nich bude řeč níže.

Požadavky při používání CIPF

CIPF je zaměřena na ochranu (ověřením elektronického podpisu) otevřených dat v různých informační systémy obecné použití a zajištění jejich důvěrnosti (ověření elektronického podpisu, ochrana před imitací, šifrování, ověřování hash) v podnikových sítích.

K ochraně osobních údajů uživatele se používá osobní prostředek ochrany kryptografických informací. Zvláštní pozornost by však měla být věnována informacím týkajícím se státního tajemství. K práci s ním ze zákona nelze použít CIPF.

Důležité: před instalací CIPF je prvním krokem kontrola samotného softwarového balíčku CIPF. Toto je první krok. Integrita instalačního balíčku se obvykle ověřuje porovnáním kontrolních součtů obdržených od výrobce.

Po instalaci byste měli určit úroveň ohrožení, na základě které můžete určit typy ochrany kryptografických informací nezbytné pro použití: software, hardware a hardware-software. Také je třeba mít na paměti, že při pořádání některých CIPF je nutné vzít v úvahu umístění systému.

Třídy ochrany

Podle nařízení FSB Ruska ze dne 10. července 2014, číslo 378, které upravuje používání kryptografických prostředků k ochraně informací a osobních údajů, je definováno šest tříd: KS1, KS2, KS3, KB1, KB2, KA1. Třída ochrany pro konkrétní systém je určena z analýzy dat na modelu narušitele, tedy z posouzení možné způsoby hackování systému. Ochrana je v tomto případě postavena na softwarové a hardwarové ochraně kryptografických informací.

AC (skutečné hrozby), jak je vidět z tabulky, existují 3 typy:

  1. Hrozby prvního typu jsou spojeny s nezdokumentovanými funkcemi v systémovém softwaru používaném v informačním systému.
  2. Hrozby druhého typu jsou spojeny s nezdokumentovanými vlastnostmi aplikačního softwaru používaného v informačním systému.
  3. Hrozba třetího typu se nazývá všechny ostatní.

Nedokumentované vlastnosti jsou funkce a vlastnosti software které nejsou popsány v oficiální dokumentace nebo se s tím neshodují. To znamená, že jejich použití může zvýšit riziko porušení důvěrnosti nebo integrity informací.

Pro jasnost zvažte modely narušitelů, pro jejichž zachycení je zapotřebí jedna nebo druhá třída nástrojů ochrany kryptografických informací:

  • KS1 - narušitel působí zvenčí, bez pomocníků uvnitř systému.
  • KS2 je zasvěcenec, ale nemá přístup k CIPF.
  • KS3 je zasvěcenec, který je uživatelem CIPF.
  • KV1 je vetřelec, který přitahuje zdroje třetích stran, jako jsou specialisté na ochranu kryptografických informací.
  • KV2 je vetřelec, za jehož akcemi stojí institut nebo laboratoř pracující v oblasti studia a vývoje kryptografických nástrojů ochrany informací.
  • KA1 - speciální služby států.

KS1 lze tedy nazvat základní třídou ochrany. Čím vyšší je tedy třída ochrany, tím méně specialistů je schopných ji poskytnout. Například v Rusku bylo podle údajů za rok 2013 pouze 6 organizací, které měly certifikát od FSB a byly schopny poskytnout ochranu třídy KA1.

Použité algoritmy

Zvažte hlavní algoritmy používané v nástrojích ochrany kryptografických informací:

  • GOST R 34.10-2001 a aktualizované GOST R 34.10-2012 - algoritmy pro vytváření a ověřování elektronického podpisu.
  • GOST R 34.11-94 a nejnovější GOST R 34.11-2012 - algoritmy pro vytváření hašovacích funkcí.
  • GOST 28147-89 a další nový GOST R 34.12-2015 - implementace algoritmů šifrování dat a ochrany před imitací.
  • Další kryptografické algoritmy jsou v RFC 4357.

Elektronický podpis

Využití nástrojů ochrany kryptografických informací si nelze představit bez použití algoritmů elektronického podpisu, které si získávají stále větší oblibu.

Elektronický podpis je speciální část dokumentu vytvořená kryptografickými transformacemi. Jeho hlavním úkolem je odhalit neoprávněné změny a určit autorství.

Certifikát elektronického podpisu je samostatný dokument, který prokazuje pravost a vlastnictví elektronického podpisu jeho majitelem pomocí veřejného klíče. Certifikát vydávají certifikační autority.

Vlastníkem certifikátu elektronického podpisu je osoba, na jejíž jméno je certifikát registrován. Je spojen se dvěma klíči: veřejným a soukromým. Soukromý klíč umožňuje vytvořit elektronický podpis. Veřejný klíč je určen k ověření pravosti podpisu kvůli kryptografickému vztahu se soukromým klíčem.

Druhy elektronického podpisu

Podle federálního zákona č. 63 se elektronický podpis dělí na 3 typy:

  • běžný elektronický podpis;
  • nekvalifikovaný elektronický podpis;
  • kvalifikovaný elektronický podpis.

Jednoduchý ES je vytvořen pomocí hesel uložených při otevírání a prohlížení dat nebo podobných prostředků, které nepřímo potvrzují vlastníka.

Nekvalifikovaný ES je vytvořen pomocí transformací kryptografických dat pomocí soukromého klíče. To vám umožní potvrdit osobu, která dokument podepsala, a prokázat skutečnost, že v datech byly provedeny neoprávněné změny.

Kvalifikovaný a nekvalifikovaný podpis se liší pouze tím, že v prvním případě musí certifikát pro ES vydat certifikační centrum certifikované FSB.

Rozsah elektronického podpisu

Níže uvedená tabulka pojednává o rozsahu působnosti EP.

ES technologie jsou nejaktivněji využívány při výměně dokumentů. V interním workflow ES funguje jako schvalování dokumentů, tedy jako osobní podpis nebo pečeť. V případě externí správy dokumentů je přítomnost ES kritická, protože se jedná o právní potvrzení. Za zmínku také stojí, že dokumenty podepsané ES mohou být uloženy po neomezenou dobu a neztrácejí svůj právní význam kvůli faktorům, jako jsou smazatelné podpisy, poškozený papír atd.

Další oblastí, ve které roste elektronická správa dokumentů, je reporting regulačním úřadům. Mnoho společností a organizací již ocenilo pohodlí práce v tomto formátu.

V právu Ruská Federace každý občan má právo používat ES při využívání veřejných služeb (například podepisování elektronické žádosti na úřady).

Online obchodování je další zajímavou oblastí, ve které se aktivně využívá elektronický podpis. Jde o potvrzení skutečnosti, že se aukce účastní skutečná osoba a její návrhy lze považovat za spolehlivé. Je také důležité, aby jakákoli smlouva uzavřená pomocí ES nabyla právní moci.

Algoritmy elektronického podpisu

  • Full Domain Hash (FDH) a Public Key Cryptography Standards (PKCS). Posledně jmenovaný je celá skupina standardních algoritmů pro různé situace.
  • DSA a ECDSA jsou americké standardy pro digitální podpis.
  • GOST R 34.10-2012 - standard pro vytváření elektronických podpisů v Ruské federaci. Tento standard nahradil GOST R 34.10-2001, který byl oficiálně ukončen po 31. prosinci 2017.
  • Euroasijská unie používá standardy, které jsou zcela podobné těm v Rusku.
  • STB 34.101.45-2013 - Běloruský standard pro digitální elektronický podpis.
  • DSTU 4145-2002 - standard pro vytváření elektronického podpisu na Ukrajině a mnoho dalších.

Je třeba také poznamenat, že algoritmy pro vytváření ES mají různé schůzky a cíle:

  • Skupinový elektronický podpis.
  • Jednorázový digitální podpis.
  • Důvěryhodné EP.
  • Kvalifikovaný a nekvalifikovaný podpis atd.

V tomto článku se dozvíte, co je CIPF a proč je potřeba. Tato definice se týká kryptografie – ochrany a ukládání dat. Ochrana informací v elektronické podobě může být provedena jakýmkoli způsobem – i odpojením počítače od sítě a instalací ozbrojených strážců se psy v jeho blízkosti. Mnohem snazší je to však provést pomocí nástrojů kryptografické ochrany. Podívejme se, co to je a jak se to implementuje v praxi.

Klíčové cíle kryptografie

Dešifrování CIPF zní jako „systém ochrany kryptografických informací“. V kryptografii může být kanál pro přenos informací zcela přístupný útočníkům. Všechna data jsou ale důvěrná a velmi dobře šifrovaná. Přes otevřenost kanálů proto útočníci nemohou získat informace.

Moderní prostředky CIPF se skládá z komplexu software-počítač. S jeho pomocí jsou informace chráněny nejdůležitějšími parametry, které budeme dále zvažovat.

Důvěrnost

Není možné číst informace, pokud k nim nejsou přístupová práva. Co je CIPF a jak šifruje data? Hlavní složkou systému je elektronický klíč. Jedná se o kombinaci písmen a číslic. Dostanete se pouze zadáním tohoto klíče požadovaný úsek na kterém je nainstalována ochrana.

Integrita a autentizace

to důležitý parametr, který určuje možnost neoprávněné úpravy údajů. Pokud neexistuje žádný klíč, nelze informace upravit ani odstranit.

Autentizace je postup pro ověření pravosti informací, které jsou zaznamenány na klíčovém médiu. Klíč musí odpovídat počítači, na kterém se informace dešifruje.

Autorství

Jedná se o potvrzení akcí uživatele a nemožnosti je odmítnout. Nejběžnějším typem potvrzení je EDS (elektronický digitální podpis). Obsahuje dva algoritmy - jeden vytváří podpis, druhý jej ověřuje.

Upozorňujeme, že všechny transakce, které jsou prováděny elektronickým podpisem, zpracovávají certifikovaná centra (nezávislá). Z tohoto důvodu je nemožné zfalšovat autorství.

Základní algoritmy šifrování dat

K dnešnímu dni bylo distribuováno mnoho certifikátů ochrany kryptografických informací, pro šifrování se používají různé klíče – symetrické i asymetrické. A délka klíčů je dostatečná k zajištění potřebné kryptografické složitosti.

Nejoblíbenější algoritmy, které se používají v kryptoochraně:

  1. Symetrický klíč - DES, AES, RC4, ruský Р-28147.89.
  2. S hashovacími funkcemi – například SHA-1/2, MD4/5/6, R-34.11.94.
  3. Asymetrický klíč - RSA.

Mnoho zemí má své vlastní standardy pro šifrovací algoritmy. Například ve Spojených státech se používá upravené šifrování AES, klíč může mít délku od 128 do 256 bitů.

Ruská federace má svůj vlastní algoritmus – R-34.10.2001 a R-28147.89, který používá 256bitový klíč. Vezměte prosím na vědomí, že v národních kryptografických systémech jsou prvky, které je zakázáno exportovat do jiných zemí. Všechny činnosti související s rozvojem CIPF vyžadují povinné licencování.

Hardwarová krypto ochrana

Při instalaci tachografů CIPF je možné zajistit maximální ochranu informace uložené v zařízení. To vše je implementováno na softwarové i hardwarové úrovni.

Hardwarovým typem prostředků ochrany kryptografických informací jsou zařízení, která obsahují speciální programy poskytující silné šifrování dat. S jejich pomocí se také ukládají, zaznamenávají a přenášejí informace.

Šifrovací zařízení je vyrobeno ve formě připojeného kodéru USB porty. Existují také zařízení, která jsou nainstalována na základní desky PC. Dokonce i specializované přepínače a síťové karty s kryptoochranou lze použít pro práci s daty.

Hardwarové typy CIPF se instalují poměrně rychle a jsou schopny vyměňovat informace vysokou rychlostí. Nevýhodou je však poměrně vysoká cena a také omezená možnost modernizace.

Softwarová krypto ochrana

Jedná se o sadu programů, které vám umožňují šifrovat informace uložené na různých médiích (flash disky, pevné a optické disky, atd.). Také, pokud existuje licence pro tento typ CIPF, je možné šifrovat data při jejich přenosu přes internet (např. E-mailem nebo chat).

Programů na ochranu existuje velké množství a dokonce existují i ​​bezplatné – mezi ně patří i DiskCryptor. Softwarový typ CIPF je také virtuální sítě, umožňující výměnu informací „přes internet“. Ty jsou známy mnoha sítím VPN. Součástí tohoto typu ochrany je i protokol HTTP, který podporuje šifrování SSL a HTTPS.

Software CIPF se většinou používá při práci na internetu a také na domácích počítačích. Tedy pouze v těch oblastech, kde nejsou vážné požadavky na stabilitu a funkčnost systému.

Hardwarově-softwarový typ kryptoochrany

Nyní víte, co je CIPF, jak funguje a kde se používá. Dále je nutné vyzdvihnout jeden typ – software a hardware, který obsahuje všechny nejlepší vlastnosti obou typů systémů. Tento způsob zpracování informací je zdaleka nejspolehlivější a nejbezpečnější. Navíc lze identifikovat uživatele různé způsoby- jak hardwarové (instalací flash disku nebo diskety), tak standardní (zadáním páru přihlašovací jméno / heslo).

Softwarové a hardwarové systémy podporují všechny dnes existující šifrovací algoritmy. Vezměte prosím na vědomí, že instalaci CIPF by měl provádět pouze kvalifikovaný personál developera komplexu. Je jasné, že takový CIPF by neměl být instalován na počítačích, které nezpracovávají důvěrná informace.

Ochrana kryptografických informací - ochrana informací pomocí jejich kryptografické transformace.

Kryptografické metody jsou v současnosti základní zajistit spolehlivou autentizaci stran výměny informací, ochranu.

Na prostředky ochrany kryptografických informací(CIPF) zahrnují hardware, firmware a software, které implementují kryptografické algoritmy pro konverzi informací za účelem:

Ochrana informací při jejich zpracování, ukládání a přenosu;

Zajištění spolehlivosti a integrity informací (včetně použití algoritmů digitálního podpisu) během jejich zpracování, ukládání a přenosu;

Vývoj informací používaných k identifikaci a ověřování subjektů, uživatelů a zařízení;

Vývoj informací používaných k ochraně autentizačních prvků zabezpečeného AS během jejich generování, ukládání, zpracování a přenosu.

Mezi kryptografické metody patří šifrování a kódování informací. Existují dvě hlavní metody šifrování: symetrické a asymetrické. V prvním z nich se stejný klíč (který je uchováván v tajnosti) používá k šifrování i dešifrování dat.

Byly vyvinuty velmi účinné (rychlé a spolehlivé) metody symetrického šifrování. Existuje také národní standard pro takové metody - GOST 28147-89 „Systémy zpracování informací. Kryptografická ochrana. Algoritmus kryptografické transformace“.

Asymetrické metody používají dva klíče. Jeden z nich, nezařazený (lze ho publikovat společně s jinými otevřené informace o uživateli) slouží k šifrování, jiný (tajný, známý pouze příjemci) slouží k dešifrování. Nejoblíbenější z asymetrických je metoda RSA, která je založena na operacích s velkými (100místnými) prvočísly a jejich součiny.

Kryptografické metody umožňují spolehlivě řídit integritu jak jednotlivých částí dat, tak jejich sad (jako je tok zpráv); určit pravost zdroje dat; zaručit nemožnost odmítnout přijatá opatření („neodmítnutí“).

Řízení kryptografické integrity je založeno na dvou konceptech:

Elektronický podpis (ES).

Hašovací funkce je těžko vratná transformace dat (jednosměrná funkce), která se obvykle realizuje pomocí symetrického šifrování s propojováním bloků. Výsledkem zašifrování posledního bloku (v závislosti na všech předchozích) je výsledek hashovací funkce.

Kryptografie jako prostředek ochrany (uzavření) informací nabývá na významu v komerčních aktivitách.


K transformaci informací se používají různé metody. kryptografickými prostředky: prostředky pro šifrování dokumentů, včetně přenosných, prostředky pro šifrování řeči (telefonické a rozhlasové hovory), prostředky pro šifrování telegrafních zpráv a přenos dat.

K ochraně obchodního tajemství na mezinárodním i domácím trhu, různé technická zařízení a sady profesionálního vybavení pro šifrování a kryptoochranu telefonní a rádiové komunikace, obchodní korespondence atd.

Široko používané jsou scramblery a maskery, které nahrazují řečový signál digitálním přenosem dat. Vyrábí se ochranné prostředky pro dálnopisy, dálnopisy a faxy. Pro tyto účely se používají kodéry, prováděné ve formě samostatných zařízení, ve formě nástavců na zařízení nebo zabudované do konstrukce telefonů, faxmodemů a dalších komunikačních zařízení (rozhlasových stanic a dalších). Elektronický digitální podpis je široce používán k zajištění spolehlivosti přenášených elektronických zpráv.

Prostředky ochrany kryptografických informací (CIPF)

"... Prostředky ochrany kryptografických informací (CIPF) - hardware a (nebo) software certifikovaný způsobem předepsaným právními předpisy Ruské federace, který zajišťuje šifrování, kontrolu integrity a použití EDS při výměně elektronických dokumentů;. .."

Zdroj:

„Metodická doporučení pro poskytování organizací zabývajících se výrobou a (nebo) obratem (s výjimkou dovozu a maloobchodního prodeje) lihu, alkoholu a výrobků obsahujících alkohol na území Ruské federace, softwarových nástrojů jednotného státního automatizovaného informačního systému pro evidenci objemu výroby a obratu lihu, lihu a výrobků s obsahem alkoholu a jejich instalaci v technických prostředcích pro evidenci a přenos informací o objemu výroby a obratu lihu, lihu a lihu -obsahující výrobky do jednotného státního automatizovaného informačního systému pro evidenci objemu výroby a obratu lihu, lihu a výrobků s obsahem alkoholu" (schváleno Rosalkogolregulirovanie)

„... Prostředky ochrany kryptografických informací (CIPF) – soubor softwaru a hardwaru, který implementuje kryptografické transformace s základní informace a funkce generování a ověřování elektronického digitálního podpisu...“

Zdroj:

představenstva Penzijního fondu Ruské federace ze dne 26. ledna 2001 N 15 „O zavedení do systému penzijní fond Ruská federace pro kryptografickou ochranu informací a elektronický digitální podpis“ (spolu s „Předpisy pro registraci a připojení právních a Jednotlivci do systému elektronické správy dokumentů Penzijního fondu Ruské federace")


Oficiální terminologie. Akademik.ru. 2012.

Podívejte se, co je „Means of cryptographic information protection (CIPF)“ v jiných slovnících:

    CIPF- prostředky kryptografické ochrany informací CIPF prostředky kontroly bezpečnosti informací Zdroj: http://pcweek.ru/?ID=476136 ... Slovník zkratek a zkratek

    Dokument s pokyny. Ochrana před neoprávněným přístupem k informacím. Termíny a definice- Dokument s pokyny k terminologii. Ochrana před neoprávněným přístupem k informacím. Termíny a definice: 29. Bezpečnostní administrátor Subjekt přístupu odpovědný za ochranu automatizovaného systému před neoprávněným přístupem k ... ... Slovník-příručka termínů normativní a technické dokumentace

    EToken- čipová karta a USB klíč eToken PRO, eToken NG FLASH, eToken NG OTP, eToken PRO (Java) a eToken PASS eToken (z angličtiny electronic a angl. token sign, token) ochranná známka pro řadu osobních produktů ... ... Wikipedia

    OPTIMA-WorkFlow- Tento článek nebo sekce obsahuje seznam zdrojů resp externí odkazy, ale zdroje jednotlivých prohlášení zůstávají nejasné kvůli nedostatku poznámek pod čarou. Článek můžete vylepšit přidáním přesnějších odkazů na zdroje... Wikipedie - Hardwarové šifrování je šifrovací proces prováděný pomocí specializovaných výpočetních zařízení. Obsah 1 Úvod 2 Výhody a nevýhody hardwarového šifrování ... Wikipedie

1.1. Tyto zásady pro používání nástrojů na ochranu kryptografických informací ( Dále - Politika ) určuje postup organizace a zajištění fungování šifrování ( kryptografických prostředky určené k ochraně informací, které neobsahují informace představující státní tajemství ( Dále - CIPF, krypto-prostředky ), pokud jsou využívány k zajištění bezpečnosti důvěrných informací a osobních údajů při jejich zpracování v informačních systémech.

1.2. Tyto zásady byly vyvinuty v souladu s:

  • federální zákon "O osobních údajích" , regulační akty vlády Ruské federace v oblasti zajištění bezpečnosti osobních údajů;
  • Federální zákon č. 63-FZ "O elektronickém podpisu" ;
  • Rozkaz FSB Ruské federace č. 378 „O schválení Složení a obsahu organizačních a technických opatření k zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech osobních údajů využívajících kryptografické nástroje ochrany informací nezbytných pro splnění požadavků stanovených vládou Ruské federace na ochranu osobní údaje pro každou z úrovní zabezpečení“;
  • FAPSI objednávka č. 152" Po schválení Pokynu k organizaci a zajištění bezpečnosti uchovávání, zpracování a přenosu prostřednictvím komunikačních kanálů využívajících kryptografickou ochranu informací s omezeným přístupem, které neobsahují informace představující státní tajemství»;
  • Rozkaz Federální bezpečnostní služby Ruské federace N 66 " O schválení Nařízení o vývoji, výrobě, prodeji a provozování šifrovacích (kryptografických) prostředků ochrany informací (Nařízení PKZ-2005) »;

1.3. Tyto Zásady se vztahují na krypto nástroje určené k zajištění bezpečnosti důvěrných informací a osobních údajů při jejich zpracování v informačních systémech;

1.4. Kryptografické nástroje informační bezpečnost ( Dále - CIPF ), které implementují šifrování a funkce elektronického podpisu se používají k ochraně elektronické dokumenty přenášené veřejnými komunikačními kanály, např. veřejná síť Internet nebo dial-up komunikační kanály.

1.5. Pro zajištění bezpečnosti je nutné použít CIPF, který:

  • umožňují integraci do technologických procesů pro zpracování elektronických zpráv, zajišťují interakci s aplikačním softwarem na úrovni zpracování požadavků na kryptografické transformace a vydávání výsledků;
  • dodávané vývojáři s kompletní set provozní dokumentace včetně popisu klíčového systému, pravidel pro práci s ním, jakož i zdůvodnění potřebného organizačního a personálního zajištění;
  • podporovat kontinuitu procesů evidování provozu CIPF a zajišťování integrity softwaru pro prostředí fungování CIPF, což je soubor hardwarových a softwarových nástrojů, společně s nimiž probíhá běžné fungování CIPF a které mohou ovlivnit plnění požadavků na CIPF;
  • certifikováno oprávněným státním orgánem nebo mít povolení od FSB Ruska.

1.6. CIPF používaný k ochraně osobních údajů musí mít třídu alespoň KS2.

1.7. CIPF jsou implementovány na základě algoritmů, které jsou v souladu s národními standardy Ruské federace, podmínkami smlouvy s protistranou.

1.8. CIPF, licence, související klíčové dokumenty a pokyny pro CIPF získává organizace nezávisle nebo je lze získat od organizace třetí strany, která spouští bezpečný tok dokumentů.

1.9. CIPF, včetně instalačních médií, klíčových dokumentů, popisů a pokynů pro CIPF, představuje obchodní tajemství v souladu s Předpisy o důvěrných informacích.

  1. Postup pro použití CIPF

2.1. Instalace a konfigurace nástrojů na ochranu kryptografických informací se provádí v souladu s provozní dokumentací, pokyny Federální bezpečnostní služby Ruska a dalších organizací zapojených do bezpečné správy elektronických dokumentů. Po dokončení instalace a konfigurace je zkontrolována připravenost CIPF k použití, jsou vypracovány závěry o možnosti jejich provozu a CIPF jsou uvedeny do provozu.

Umístění a instalace CIPF, stejně jako dalších zařízení pracujících s krypto-prostředky, v citlivých prostorách by měla minimalizovat možnost nekontrolovaného přístupu neoprávněných osob k těmto prostředkům. Údržba takového zařízení a změna šifrovacích klíčů se provádí v nepřítomnosti osob, které nemají oprávnění pracovat s daty CIPF. Je nutné zajistit organizační a technická opatření, která vyloučí možnost využití CIPF neoprávněnými osobami. Fyzické umístění CIPF by mělo zajistit bezpečnost CIPF a zabránit neoprávněnému přístupu k CIPF. Přístup osob do prostor, kde se ochranné prostředky nacházejí, je omezen v souladu s potřebou obsluhy a je dán seznamem schváleným ředitelem.

Vkládání krypto-prostředků třídy KS1 a KS2 je prováděno bez kontroly ze strany FSB Ruska ( pokud tato kontrola není k dispozici podmínky zadání na rozvoj (modernizaci) informačního systému).

Vkládání kryptografických nástrojů tříd KS3, KB1, KB2 a KA1 se provádí pouze pod kontrolou FSB Ruska.

Vložení kryptografických nástrojů třídy KS1, KS2 nebo KS3 může provést buď uživatel kryptografického nástroje, pokud má příslušnou licenci od FSB Ruska, nebo organizace, která má příslušnou licenci od FSB Ruska. Rusko.

Vložení kryptografického nástroje třídy KV1, KV2 nebo KA1 provádí organizace, která má příslušnou licenci od FSB Ruska.

Vyřazení CIPF z provozu se provádí v souladu s postupy, které zajišťují zaručené odstranění informací, jejichž neoprávněné použití může poškodit obchodní činnost organizace, a informací používaných nástroji informační bezpečnosti z permanentní paměť a z externích médií ( s výjimkou archivů elektronických dokumentů a protokolů elektronické interakce, jejichž údržbu a uchování po určitou dobu stanoví příslušné regulační a (nebo) smluvní dokumenty) a je vypracován zákonem. CIPF zničit ( disponovat) rozhodnutím vlastníka kryptografického nástroje a po oznámení odpovědné organizace v souladu s organizací evidence kopií kryptografických nástrojů.

naplánováno na zničení recyklace) CIPF podléhají stažení hardwaru, se kterým fungovaly. Kryptografické nástroje se zároveň považují za stažené z hardwaru, pokud je dokončen postup pro odstranění softwaru kryptografických nástrojů stanovený provozní a technickou dokumentací k CIPF a jsou zcela odpojeny od hardwaru.

Jednotky a části univerzálního hardwaru vhodného pro další použití, které nejsou speciálně navrženy pro hardwarovou implementaci kryptografických algoritmů nebo jiných funkcí ochrany kryptografických informací, jakož i zařízení, která pracují ve spojení s kryptografickými nástroji ( monitory, tiskárny, skenery, klávesnice atd.), je povoleno používat po zničení CIPF bez omezení. Současně mohou zůstat informace, které mohou zůstat v paměťových zařízeních zařízení ( například tiskárny, skenery), musí být bezpečně odstraněny ( vymazáno).

2.2. Provoz CIPF zajišťují osoby jmenované příkazem ředitele organizace a proškolené k práci s nimi. Pokud jsou dva nebo více uživatelů CIPF, jsou povinnosti mezi nimi rozděleny s ohledem na osobní odpovědnost za bezpečnost kryptoprostředků, klíče, provozní a technické dokumentace, jakož i za přidělené oblasti práce.

Uživatelé kryptoměn jsou povinni:

  • nezveřejňovat informace, ke kterým mají přístup, včetně informací o CIPF a dalších ochranných opatřeních;
  • nezveřejňovat informace o klíčových dokumentech;
  • zabránit vytváření kopií klíčových dokumentů;
  • zabránit zobrazení klíčových dokumentů ( monitor) osobní počítač nebo tiskárna;
  • neumožňují záznam cizích informací na klíčovém nosiči;
  • zabránit instalaci klíčových dokumentů na jiné osobní počítače;
  • dodržovat požadavky na zajištění bezpečnosti informací, požadavky na zajištění bezpečnosti CIPF a klíčových dokumentů k nim;
  • hlásit pokusy neoprávněných osob, o kterých se dozvěděly, získat informace o používaných nástrojích ochrany kryptografických informací nebo o klíčových dokumentech pro ně;
  • neprodleně informovat o skutečnostech ztráty nebo nedostatku CIPF, klíčových dokumentů k nim, klíčů od prostor, trezorů, osobních pečetí a dalších skutečností, které mohou vést k prozrazení chráněných informací;
  • předat CIPF, provozní a technickou dokumentaci k nim, klíčové dokumenty při propuštění nebo odvolání z výkonu povinností souvisejících s používáním kryptografických nástrojů.

Bezpečnost zpracování informací pomocí CIPF je zajištěna:

  • dodržování mlčenlivosti ze strany uživatelů při nakládání s informacemi, které jsou jim svěřeny nebo které se dozvědí při práci, včetně informací o fungování a bezpečnostních postupech používaných nástrojů ochrany kryptografických informací a pro ně klíčových dokumentů;
  • přesné plnění požadavků na informační bezpečnost uživateli CIPF;
  • spolehlivé uložení provozní a technické dokumentace pro CIPF, klíčové dokumenty, média omezené distribuce;
  • včasné odhalení pokusů neoprávněných osob získat informace o chráněných informacích, o používaných CIPF nebo k nim klíčových dokumentech;
  • přijetí okamžitých opatření k zamezení prozrazení chráněných informací, jakož i jejich možnému úniku při odhalení skutečnosti ztráty nebo nedostatku CIPF, klíčových dokumentů k nim, certifikátů, průkazů, klíčů od prostor, trezorů, trezorů ( kovové skříně), osobní pečeti atd.

V případě potřeby přeneste technické prostředky komunikaci služeb s omezeným přístupem souvisejících s organizací a provozem CIPF, tyto zprávy musí být přenášeny pouze pomocí kryptografických nástrojů. Přenos krypto klíčů prostřednictvím technických komunikačních prostředků není povolen, s výjimkou speciálně organizovaných systémů s decentralizovanou dodávkou krypto klíčů.

CIPF podléhají účtování pomocí indexů nebo podmíněných jmen a registračních čísel. Je určen seznam indexů, podmíněných názvů a registračních čísel kryptoměn Federální služba bezpečnost Ruské federace.

Použité nebo uložené CIPF, provozní a technická dokumentace k nim, klíčové dokumenty podléhají účtování kopií. Vzor Deníku CIPF je uveden v Příloze č. 1, Deník klíčových dopravců v Příloze č. 2 těchto Zásad. Současně je třeba vzít v úvahu softwarové CIPF spolu s hardwarem, se kterým je prováděn jejich běžný provoz. Jsou-li hardwarové nebo hardwarově-softwarové prostředky ochrany kryptografických informací připojeny k systémové sběrnici nebo k jednomu z vnitřních hardwarových rozhraní, jsou tyto kryptografické prostředky také brány v úvahu společně s odpovídajícím hardwarem.

Jednotka evidence kopií klíčových dokumentů je považována za opakovaně použitelný nosič klíčů, klíčový poznámkový blok. Pokud je k záznamu krypto klíčů opakovaně použito stejné klíčové médium, mělo by být registrováno pokaždé samostatně.

Všechny obdržené kopie krypto-prostředků, provozní a technická dokumentace k nim, klíčové dokumenty musí být vydány proti přijetí v příslušném registru jednotlivých případů uživatelům krypto-prostředků, kteří jsou osobně odpovědní za jejich bezpečnost.

Přenos nástrojů ochrany kryptografických informací, provozní a technické dokumentace k nim, klíčových dokumentů je povolen pouze mezi uživateli kryptografických nástrojů a (nebo) odpovědným uživatelem kryptografických nástrojů proti přijetí do příslušných protokolů účtování jednotlivých instancí. Takový přenos mezi uživateli kryptografických nástrojů musí být autorizován.

Skladování instalačních médií CIPF, provozní a technické dokumentace, klíčových dokumentů se provádí ve skříních ( krabice, sklad) individuální použití v podmínkách, které vylučují nekontrolovaný přístup k nim, jakož i jejich neúmyslné zničení.

Hardware, se kterým se provádí běžná funkce CIPF, stejně jako hardware a hardware-software CIPF musí být vybaveny prostředky pro ovládání jejich otevírání ( zapečetěno, zapečetěno). Místo těsnění ( těsnění) krypto-znamená, že hardware by měl být takový, aby jej bylo možné vizuálně ovládat. V přítomnosti technická proveditelnost v době nepřítomnosti uživatelů kryptografických nástrojů musí být tyto prostředky odpojeny od komunikační linky a uloženy v zapečetěných trezorech.

Provádění změn softwaru CIPF a technické dokumentace pro CIPF se provádí na základě obdržených od výrobce CIPF a zdokumentovaných aktualizací s fixací kontrolních součtů.

Provoz CIPF zahrnuje udržování alespoň dvou záložních kopií softwaru a jedné záloha klíčoví dopravci. Obnova výkonu ČIPF v havarijních situacích se provádí v souladu s provozní dokumentací.

2.3. Vytváření klíčových dokumentů z původních klíčových informací provádějí odpovědní uživatelé CIPF za použití běžných kryptografických nástrojů, pokud takovou možnost poskytuje provozní a technická dokumentace za přítomnosti licence od Federální bezpečnostní služby Rusko pro výrobu klíčových dokumentů pro kryptografické nástroje.

Klíčové dokumenty lze doručit kurýrem ( včetně oddělení) komunikaci nebo se speciálně určenými odpovědnými uživateli kryptografických nástrojů a zaměstnanci, s výhradou opatření, která vylučují nekontrolovaný přístup ke klíčovým dokumentům během doručování.

Pro zaslání klíčových dokumentů musí být uloženy v pevném obalu, který vylučuje možnost jejich fyzického poškození a vnějšího vlivu. Na obalech uveďte odpovědného uživatele, pro kterého jsou tyto obaly určeny. Takové balíčky jsou označeny „Osobně“. Obaly jsou zapečetěny tak, že z nich není možné vytáhnout obsah bez porušení obalů a otisků pečetí.

Před první deportací ( nebo vrátit) adresát je samostatným dopisem informován o popisu jemu zaslaných balíků a pečetích, kterými je lze zapečetit.

K zaslání klíčových dokumentů je připraven průvodní dopis, ve kterém je nutné uvést: co se zasílá a v jakém množství, čísla účtů dokumentů, případně účel a postup použití zasílané věci. V jednom z balíků je přiložen průvodní dopis.

Přijaté balíčky otevírá pouze odpovědný uživatel kryptografických nástrojů, pro které jsou určeny. Pokud obsah převzatého balíku neodpovídá obsahu uvedenému v průvodním dopise nebo samotném balíku a pečeti - jejich popis ( dojem), a také v případě, že je obal poškozen, což má za následek volný přístup k jeho obsahu, vyhotoví příjemce akt, který je zaslán odesílateli. Klíčové dokumenty obdržené s takovými zásilkami nelze použít, dokud od odesílatele neobdržíte pokyny.

Pokud jsou nalezeny vadné klíčové dokumenty nebo šifrovací klíče, jedna kopie vadného produktu by měla být vrácena výrobci, aby se zjistily příčiny incidentu a v budoucnu byly odstraněny, a zbývající kopie by měly být uchovány, dokud nebudou vydány další pokyny od výrobce. přijaté.

Převzetí klíčových dokumentů musí být potvrzeno odesílateli v souladu s postupem uvedeným v průvodním dopise. Odesílatel je povinen kontrolovat doručování svých zásilek adresátům. Nebylo-li od adresáta včas obdrženo příslušné potvrzení, musí mu odesílatel zaslat žádost a učinit opatření k objasnění umístění zásilek.

V předstihu je zadána objednávka na výrobu dalších klíčových dokumentů, jejich výrobu a distribuci do míst použití pro včasnou výměnu stávajících klíčových dokumentů. Označení vstupu v platnost dalších klíčových dokumentů dává odpovědný uživatel kryptografických nástrojů až poté, co od něj obdrží potvrzení, že další klíčové dokumenty byly přijaty.

Nepoužité nebo nefunkční klíčové dokumenty musí být vráceny odpovědnému uživateli kryptografických nástrojů nebo musí být na jeho pokyn na místě zničeny.

Zničení krypto klíčů ( úvodní klíčové informace) lze provést fyzickým zničením klíčového média, na kterém se nacházejí, nebo vymazáním ( zničení) kryptoklíče ( úvodní klíčové informace) bez poškození nosiče klíče ( aby bylo možné jej znovu použít).

Krypto klíče ( původní klíčové informace) se vymažou podle technologie přijaté pro odpovídající klíčová opakovaně použitelná média ( diskety, kompaktní disky (CD-ROM), datový klíč, čipová karta, dotyková paměť atd.). Přímé akce k vymazání krypto klíčů ( úvodní klíčové informace), jakož i případná omezení dalšího použití příslušných klíčů opakovaně použitelných médií upravuje provozní a technická dokumentace k příslušným nástrojům ochrany kryptografických informací a také pokyny organizace, která kryptoklíče zaznamenala ( úvodní klíčové informace).

Klíčové nosiče jsou zničeny tím, že na nich dojde k nenapravitelnému fyzickému poškození, s vyloučením možnosti jejich použití a také obnovením klíčových informací. Přímé akce ke zničení konkrétního typu nosiče klíčů jsou upraveny provozní a technickou dokumentací k příslušným nástrojům ochrany kryptografických informací a také pokyny organizace, která šifrovací klíče zaznamenala ( úvodní klíčové informace).

Papír a další hořlavé nosiče klíčů se ničí spálením nebo použitím jakýchkoliv strojů na řezání papíru.

Klíčové dokumenty jsou likvidovány ve lhůtách uvedených v provozně technické dokumentaci příslušné ČIPF. Skutečnost zničení je zdokumentována v příslušných rejstříkech jednotlivých případů.

Likvidaci podle zákona provádí komise složená nejméně ze dvou osob. Zákon specifikuje, co se ničí a v jakém množství. Na konci aktu se provede konečný zápis (číslem i slovem) o počtu předmětů a kopií klíčových dokumentů, které mají být zničeny, o instalaci médií CIPF, provozní a technické dokumentace. Opravy v textu zákona musí být upřesněny a ověřeny podpisy všech členů komise, kteří se na likvidaci podíleli. O provedeném zničení se zapisují do příslušných deníků evidence kopií.

Kryptoklíče, které jsou podezřelé z kompromitace, stejně jako další kryptoklíče fungující ve spojení s nimi, musí být okamžitě deaktivovány, pokud není v provozní a technické dokumentaci CIPF uvedeno jinak. V nouzových případech, kdy neexistují žádné kryptoklíče, které by nahradily kompromitované, je na základě rozhodnutí odpovědného uživatele krypto nástrojů po dohodě s provozovatelem povoleno použít kompromitované kryptoklíče. V tomto případě by doba používání kompromitovaných krypto klíčů měla být co nejkratší a chráněné informace by měly být co nejméně cenné.

O porušení, která mohou vést ke kompromitaci kryptoklíčů, jejich základní části nebo přeneseny ( uloženy) při použití dat jsou uživatelé kryptografických nástrojů povinni hlásit se odpovědnému uživateli kryptografických nástrojů.

Kontrola klíčů opakovaně použitelných médií neoprávněnými osobami by neměla být považována za podezření na kompromitaci kryptoklíčů, pokud to vylučuje možnost jejich kopírování ( čtení, reprodukce).

V případě nedostatku, nepředložení klíčových dokumentů, jakož i nejistoty jejich umístění, přijímá odpovědný uživatel naléhavá opatření k jejich vyhledání a lokalizaci následků kompromitování klíčových dokumentů.

  1. Postup správy klíčového systému

Registrace osob s právy správy klíčů se provádí v souladu s provozní dokumentací pro CIPF.

Správa klíčů je informační proces, který zahrnuje tři prvky:

- generování klíčů;

— hromadění klíčů;

- distribuce klíčů.

V informačních systémech organizace se používají speciální hardwarové a softwarové metody pro generování náhodných klíčů. Zpravidla se používají generátory pseudonáhodných čísel ( Dále - PSCH ), s dostatkem vysoký stupeň náhodnost jejich generace. Zcela přijatelné jsou generátory softwarových klíčů, které počítají PRNG jako komplexní funkci aktuálního času a ( nebo) číslo zadané uživatelem.

Pod akumulací klíčů se rozumí organizace jejich ukládání, účtování a mazání.

Tajné klíče by neměly být zapsány výslovně na médiu, které lze číst nebo kopírovat.

Veškeré informace o použitých klíčích musí být uloženy v zašifrované podobě. Klíče, které šifrují informace o klíčích, se nazývají hlavní klíče. Každý uživatel musí znát hlavní klíče nazpaměť, je zakázáno je ukládat na jakákoli hmotná média.

Pro podmínku informační bezpečnosti je nutné periodicky aktualizovat klíčové informace v informačních systémech. Tím se změní přiřazení běžných i hlavních klíčů.

Při distribuci klíčů musí být splněny následující požadavky:

- účinnost a přesnost distribuce;

— utajení distribuovaných klíčů.

Alternativou je, že dva uživatelé získají sdílený klíč od centrálního úřadu, centra distribuce klíčů (KDC), jehož prostřednictvím mohou bezpečně komunikovat. Pro organizaci výměny dat mezi CRC a uživatelem je uživateli při registraci přidělen speciální klíč, který šifruje zprávy přenášené mezi nimi. Každému uživateli je přidělen samostatný klíč.

KLÍČOVÝ MANAGEMENT ZALOŽENÝ NA SYSTÉMECH VEŘEJNÝCH KLÍČŮ

Před použitím kryptosystému veřejného klíče pro výměnu běžných tajné klíče uživatelé by si měli vyměnit své veřejné klíče.

Správu veřejných klíčů lze provádět prostřednictvím online nebo offline adresářové služby a uživatelé si mohou klíče také přímo vyměňovat.

  1. Sledování a kontrola používání CIPF

Pro zvýšení úrovně bezpečnosti při provozu ochrany kryptografických informací v systému je nutné implementovat monitorovací postupy, které zaznamenávají všechny významné události, ke kterým došlo během výměny elektronické zprávy a všechny incidenty zabezpečení informací. Popis a seznam těchto postupů by měly být uvedeny v provozní dokumentaci pro CIPF.

Kontrola používání CIPF zajišťuje:

  • kontrola souladu nastavení a konfigurace nástrojů informační bezpečnosti, jakož i hardwarových a softwarových nástrojů, které mohou ovlivnit plnění požadavků na nástroje informační bezpečnosti, regulační a technickou dokumentaci;
  • sledování dodržování pravidel pro uchovávání informací s omezeným přístupem používaných při provozu nástrojů informační bezpečnosti ( zejména klíč, heslo a autentizační údaje);
  • kontrola možnosti přístupu neoprávněných osob k nástrojům informační bezpečnosti, jakož i k hardwarovým a softwarovým nástrojům, které mohou ovlivnit plnění požadavků na nástroje informační bezpečnosti;
  • sledování dodržování pravidel reakce na incidenty informační informace (o skutečnostech ztráty, ohrožení klíče, hesla a autentizačních informací, jakož i jakýchkoli dalších informací s omezeným přístupem);
  • kontrola souladu technických a softwarových prostředků CIPF a dokumentace k těmto prostředkům s referenčními vzorky ( dodavatelské záruky nebo kontrolní mechanismy, které umožňují, aby takový soulad byl stanoven nezávisle);
  • kontrola integrity hardwaru a softwaru CIPF a dokumentace k těmto nástrojům během skladování a uvádění těchto nástrojů do provozu ( jak pomocí kontrolních mechanismů popsaných v dokumentaci k CIPF, tak pomocí organizačních).

Stáhnout soubor ZIP (43052)

Dokumenty se hodily - dejte "like":