Środki kryptograficznej ochrony informacji, w skrócie CIPF, służą do zapewnienia kompleksowej ochrony danych przesyłanych liniami komunikacyjnymi. Aby to zrobić, musisz przestrzegać autoryzacji i ochrony. podpis elektroniczny, uwierzytelnianie komunikujących się stron za pomocą protokołów TLS i IPSec, a także ochrona samego kanału komunikacji, jeśli to konieczne.

W Rosji korzystanie z kryptograficznych narzędzi bezpieczeństwa informacji jest w większości tajne, dlatego niewiele jest publicznie dostępnych informacji na ten temat.

Metody stosowane w CIPF

  • Autoryzacja danych i zapewnienie bezpieczeństwa ich znaczenia prawnego podczas przesyłania lub przechowywania. W tym celu wykorzystywane są algorytmy tworzenia podpisu elektronicznego i jego weryfikacji zgodnie z ustalonymi przepisami RFC 4357 oraz certyfikaty zgodne ze standardem X.509.
  • Ochrona poufności danych i kontrola ich integralności. Stosowane jest szyfrowanie asymetryczne i ochrona przed imitacją, czyli przeciwdziałanie fałszowaniu danych. Zgodny z GOST R 34.12-2015.
  • Ochrona oprogramowania systemowego i aplikacyjnego. Śledzenie nieautoryzowanych zmian lub usterek.
  • Zarządzanie najważniejszymi elementami systemu w ścisła zgodność z przyjętym rozporządzeniem.
  • Uwierzytelnianie stron wymieniających dane.
  • Ochrona połączenia za pomocą protokołu TLS.
  • Ochrona połączeń IP z wykorzystaniem protokołów IKE, ESP, AH.

Metody zostały szczegółowo opisane w dokumentach: RFC 4357, RFC 4490, RFC 4491.

Mechanizmy CIPF do ochrony informacji

  1. Poufność przechowywanych lub przesyłanych informacji jest chroniona za pomocą algorytmów szyfrowania.
  2. Podczas nawiązywania połączenia identyfikacja jest realizowana za pomocą podpisu elektronicznego używanego podczas uwierzytelniania (zgodnie z zaleceniami X.509).
  3. Cyfrowy obieg dokumentów jest również chroniony podpisem elektronicznym wraz z ochroną przed nałożeniem lub powtórzeniem, a także monitorowana jest wiarygodność kluczy służących do weryfikacji podpisów elektronicznych.
  4. Integralność informacji jest zapewniona za pomocą środków podpis cyfrowy.
  5. Korzystanie z funkcji szyfrowania asymetrycznego pomaga chronić dane. Ponadto do sprawdzania integralności danych można wykorzystać funkcje mieszające lub algorytmy ochrony przed imitacją. Metody te nie obsługują jednak określania autorstwa dokumentu.
  6. Ochrona powtórek jest realizowana przez funkcje kryptograficzne podpisu elektronicznego służące do szyfrowania lub ochrony przed imitacją. Jednocześnie do każdej sesji sieciowej dodawany jest unikalny identyfikator, wystarczająco długi, aby wykluczyć jego przypadkowy zbieg okoliczności, a strona odbierająca realizuje walidację.
  7. Ochronę przed nałożeniem, czyli przenikaniem do komunikacji z zewnątrz, zapewnia podpis elektroniczny.
  8. Inna ochrona - przed zakładkami, wirusami, modyfikacjami system operacyjny itp. - dostarczane za pomocą różnych narzędzi kryptograficznych, protokołów bezpieczeństwa, oprogramowania antywirusowego i środków organizacyjnych.

Jak widać, algorytmy podpisu elektronicznego są fundamentalną częścią środków ochrony informacji kryptograficznej. Zostaną one omówione poniżej.

Wymagania dotyczące korzystania z CIPF

CIPF ma na celu ochronę (poprzez weryfikację podpisu elektronicznego) otwartych danych w różnych systemy informacyjne powszechne zastosowanie i zapewnienie ich poufności (weryfikacja podpisu elektronicznego, ochrona przed imitacją, szyfrowanie, weryfikacja hashowania) w sieciach korporacyjnych.

Do ochrony danych osobowych użytkownika stosuje się osobiste środki ochrony informacji kryptograficznej. Na szczególną uwagę zasługują jednak informacje dotyczące tajemnicy państwowej. Zgodnie z prawem CIPF nie może być używany do pracy z nim.

Ważne: przed zainstalowaniem CIPF, pierwszym krokiem jest sprawdzenie samego pakietu oprogramowania CIPF. To pierwszy krok. Zazwyczaj integralność pakietu instalacyjnego jest weryfikowana przez porównanie sum kontrolnych otrzymanych od producenta.

Po instalacji należy określić poziom zagrożenia, na podstawie którego można określić rodzaje ochrony informacji kryptograficznej niezbędne do użytkowania: oprogramowanie, sprzęt i sprzęt-oprogramowanie. Należy również pamiętać, że organizując niektóre CIPF, należy wziąć pod uwagę lokalizację systemu.

Klasy ochrony

Zgodnie z rozporządzeniem FSB Rosji z dnia 10 lipca 2014 r. nr 378, regulującym stosowanie kryptograficznych środków ochrony informacji i danych osobowych, określono sześć klas: KS1, KS2, KS3, KB1, KB2, KA1. Klasa ochrony dla konkretnego systemu jest określana na podstawie analizy danych o modelu intruza, czyli z oceny możliwe sposoby hakowanie systemu. Ochrona w tym przypadku jest zbudowana z oprogramowania i sprzętowej ochrony informacji kryptograficznej.

AC (rzeczywiste zagrożenia), jak widać z tabeli, są 3 rodzaje:

  1. Zagrożenia pierwszego typu są związane z nieudokumentowanymi cechami oprogramowania systemowego używanego w systemie informatycznym.
  2. Zagrożenia drugiego typu są związane z nieudokumentowanymi funkcjami oprogramowania użytkowego używanego w systemie informatycznym.
  3. Zagrożenie trzeciego typu nazywa się całą resztą.

Nieudokumentowane cechy to funkcje i właściwości oprogramowanie które nie są opisane w oficjalna dokumentacja lub nie pasuje do tego. Oznacza to, że ich użycie może zwiększyć ryzyko naruszenia poufności lub integralności informacji.

Dla jasności rozważ modele osób naruszających zasady, do przechwycenia których potrzebna jest ta lub inna klasa narzędzi do ochrony informacji kryptograficznych:

  • KS1 - intruz działa z zewnątrz, bez pomocników wewnątrz systemu.
  • KS2 jest wtajemniczonym, ale nie ma dostępu do CIPF.
  • KS3 to insider, który jest użytkownikiem CIPF.
  • KV1 to intruz, który przyciąga zasoby stron trzecich, takie jak specjaliści od ochrony informacji kryptograficznych.
  • KV2 to intruz, za którego działaniami stoi instytut lub laboratorium zajmujące się badaniem i rozwojem narzędzi ochrony informacji kryptograficznej.
  • KA1 - służby specjalne państw.

W ten sposób KS1 można nazwać podstawową klasą ochrony. W związku z tym im wyższa klasa ochrony, tym mniej specjalistów jest w stanie ją zapewnić. Na przykład w Rosji według danych za 2013 r. tylko 6 organizacji posiadało certyfikat FSB i było w stanie zapewnić ochronę klasy KA1.

Używane algorytmy

Rozważ główne algorytmy używane w narzędziach do ochrony informacji kryptograficznych:

  • GOST R 34.10-2001 i zaktualizowany GOST R 34.10-2012 - algorytmy tworzenia i weryfikacji podpisu elektronicznego.
  • GOST R 34.11-94 i najnowszy GOST R 34.11-2012 - algorytmy tworzenia funkcji skrótu.
  • GOST 28147-89 i więcej nowy GOST R 34.12-2015 - Implementacja algorytmów szyfrowania danych i ochrony przed imitacją.
  • Dodatkowe algorytmy kryptograficzne znajdują się w RFC 4357.

Podpis elektroniczny

Nie można sobie wyobrazić wykorzystania narzędzi ochrony informacji kryptograficznej bez wykorzystania algorytmów podpisu elektronicznego, które zyskują coraz większą popularność.

Podpis elektroniczny to specjalna część dokumentu tworzona przez przekształcenia kryptograficzne. Jego głównym zadaniem jest wykrywanie nieautoryzowanych zmian i ustalanie autorstwa.

Certyfikat podpisu elektronicznego jest oddzielnym dokumentem potwierdzającym autentyczność i własność podpisu elektronicznego przez jego właściciela za pomocą klucza publicznego. Certyfikat wydawany jest przez urzędy certyfikacji.

Właścicielem certyfikatu podpisu elektronicznego jest osoba, w imieniu której certyfikat jest zarejestrowany. Jest powiązany z dwoma kluczami: publicznym i prywatnym. Klucz prywatny umożliwia złożenie podpisu elektronicznego. Klucz publiczny ma na celu weryfikację autentyczności podpisu ze względu na związek kryptograficzny z kluczem prywatnym.

Rodzaje podpisu elektronicznego

Zgodnie z ustawą federalną nr 63 podpis elektroniczny dzieli się na 3 typy:

  • zwykły podpis elektroniczny;
  • niekwalifikowany podpis elektroniczny;
  • kwalifikowany podpis elektroniczny.

Prosty ES tworzony jest za pomocą haseł nałożonych na otwieranie i przeglądanie danych lub podobnych środków, które pośrednio potwierdzają właściciela.

Niekwalifikowany ES jest tworzony przy użyciu przekształceń danych kryptograficznych przy użyciu klucza prywatnego. Pozwala to potwierdzić osobę, która podpisała dokument oraz stwierdzić, że w danych dokonano nieautoryzowanych zmian.

Podpisy kwalifikowane i niekwalifikowane różnią się tylko tym, że w pierwszym przypadku certyfikat dla ES musi być wystawiony przez centrum certyfikacji certyfikowane przez FSB.

Zakres podpisu elektronicznego

Poniższa tabela przedstawia zakres PE.

Technologie ES są najaktywniej wykorzystywane w wymianie dokumentów. W obiegu wewnętrznym ES pełni funkcję zatwierdzania dokumentów, czyli osobistego podpisu lub pieczęci. W przypadku zarządzania dokumentami zewnętrznymi obecność ES ma kluczowe znaczenie, ponieważ jest potwierdzeniem prawnym. Warto również zauważyć, że dokumenty podpisane przez ES mogą być przechowywane bezterminowo i nie tracą na znaczeniu prawnym ze względu na takie czynniki jak podpisy kasowalne, uszkodzony papier itp.

Raportowanie do organów regulacyjnych to kolejny obszar, w którym rozwija się elektroniczne zarządzanie dokumentami. Wiele firm i organizacji doceniło już wygodę pracy w tym formacie.

Według prawa Federacja Rosyjska każdy obywatel ma prawo do korzystania z ES podczas korzystania z usług publicznych (np. podpisując elektroniczny wniosek do władz).

Handel online to kolejny interesujący obszar, w którym aktywnie wykorzystywany jest podpis elektroniczny. Jest to potwierdzenie, że w licytacji bierze udział prawdziwa osoba, a jej propozycje można uznać za wiarygodne. Nie bez znaczenia jest również to, że każda umowa zawarta z pomocą ES nabiera mocy prawnej.

Algorytmy podpisu elektronicznego

  • Pełne hash domeny (FDH) i standardy kryptografii klucza publicznego (PKCS). Ten ostatni to cała grupa standardowych algorytmów dla różnych sytuacji.
  • DSA i ECDSA to amerykańskie standardy podpisu cyfrowego.
  • GOST R 34.10-2012 - standard tworzenia podpisów elektronicznych w Federacji Rosyjskiej. Ten standard zastąpił GOST R 34.10-2001, który został oficjalnie zakończony po 31 grudnia 2017 r.
  • Unia Eurazjatycka stosuje standardy całkowicie podobne do tych w Rosji.
  • STB 34.101.45-2013 - białoruski standard cyfrowego podpisu elektronicznego.
  • DSTU 4145-2002 - standard tworzenia podpisu elektronicznego na Ukrainie i wielu innych.

Należy również zauważyć, że algorytmy tworzenia ES mają różne spotkania i cele:

  • Grupowy podpis elektroniczny.
  • Jednorazowy podpis cyfrowy.
  • Zaufany PE.
  • Podpis kwalifikowany i niekwalifikowany itp.

W tym artykule dowiesz się, czym jest CIPF i dlaczego jest potrzebny. Ta definicja odnosi się do kryptografii - ochrony i przechowywania danych. Ochronę informacji w formie elektronicznej można wykonać w dowolny sposób – nawet poprzez odłączenie komputera od sieci i zamontowanie w jego pobliżu uzbrojonych strażników z psami. Ale znacznie łatwiej jest to zrobić za pomocą narzędzi do ochrony kryptograficznej. Zobaczmy, co to jest i jak jest realizowane w praktyce.

Kluczowe cele kryptografii

Odszyfrowywanie CIPF brzmi jak „system ochrony informacji kryptograficznych”. W kryptografii kanał transmisji informacji może być całkowicie dostępny dla atakujących. Ale wszystkie dane są poufne i bardzo dobrze zaszyfrowane. Dlatego pomimo otwartości kanałów atakujący nie mogą uzyskać informacji.

Nowoczesne środki CIPF składa się z kompleksu oprogramowania komputerowego. Z jego pomocą informacje są chronione najważniejszymi parametrami, które rozważymy dalej.

Poufność

Nie ma możliwości odczytania informacji, jeśli nie ma do nich praw dostępu. Co to jest CIPF i jak szyfruje dane? Głównym elementem systemu jest klucz elektroniczny. Jest to kombinacja liter i cyfr. Tylko wpisując ten klucz możesz dostać się do pożądana sekcja na którym zainstalowano ochronę.

Integralność i uwierzytelnianie

to ważny parametr, co określa możliwość nieuprawnionej modyfikacji danych. Jeśli nie ma klucza, informacji nie można edytować ani usunąć.

Uwierzytelnianie to procedura weryfikacji autentyczności informacji zapisanych na nośniku klucza. Klucz musi odpowiadać maszynie, na której odszyfrowywane są informacje.

Autorstwo

Jest to potwierdzenie działań użytkownika i niemożności ich odmowy. Najpopularniejszym rodzajem potwierdzenia jest EDS (elektroniczny podpis cyfrowy). Zawiera dwa algorytmy - jeden tworzy podpis, drugi go weryfikuje.

Należy pamiętać, że wszystkie transakcje dokonywane podpisami elektronicznymi są przetwarzane przez certyfikowane ośrodki (niezależne). Z tego powodu nie da się podrobić autorstwa.

Podstawowe algorytmy szyfrowania danych

Do tej pory rozprowadzono wiele certyfikatów ochrony informacji kryptograficznych, do szyfrowania używane są różne klucze - zarówno symetryczne, jak i asymetryczne. A długość kluczy jest wystarczająca, aby zapewnić niezbędną złożoność kryptograficzną.

Najpopularniejsze algorytmy wykorzystywane w ochronie kryptograficznej:

  1. Klucz symetryczny - DES, AES, RC4, rosyjski Р-28147.89.
  2. Z funkcjami skrótu - na przykład SHA-1/2, MD4/5/6, R-34.11.94.
  3. Klucz asymetryczny - RSA.

Wiele krajów ma własne standardy algorytmów szyfrowania. Na przykład w Stanach Zjednoczonych stosuje się zmodyfikowane szyfrowanie AES, klucz może mieć długość od 128 do 256 bitów.

Federacja Rosyjska ma własny algorytm - R-34.10.2001 i R-28147.89, który używa 256-bitowego klucza. Należy pamiętać, że w krajowych systemach kryptograficznych istnieją elementy, których eksportowanie do innych krajów jest zabronione. Wszystkie działania związane z rozwojem CIPF wymagają obowiązkowego licencjonowania.

Sprzętowa ochrona kryptograficzna

Podczas instalacji tachografów CIPF można zapewnić maksymalna ochrona informacje przechowywane w urządzeniu. Wszystko to realizowane jest zarówno na poziomie oprogramowania, jak i sprzętu.

Sprzętowym typem środków ochrony informacji kryptograficznych są urządzenia, które zawierają: programy specjalne, zapewniając silne szyfrowanie danych. Również za ich pomocą informacje są przechowywane, rejestrowane i przesyłane.

Urządzenie szyfrujące jest wykonane w postaci enkodera podłączonego do Porty USB. Istnieją również urządzenia, które są zainstalowane na płyty główne PC. Nawet specjalistyczne przełączniki i karty sieciowe z ochroną kryptograficzną może być używany do pracy z danymi.

Typy sprzętowe CIPF są instalowane dość szybko i są w stanie szybko wymieniać informacje. Ale wadą jest dość wysoki koszt, a także ograniczona możliwość modernizacji.

Ochrona kryptograficzna oprogramowania

Jest to zestaw programów umożliwiających szyfrowanie informacji przechowywanych na różnych nośnikach (dyski flash, twarde i dyski optyczne itp.). Ponadto, jeśli istnieje licencja na tego typu CIPF, możliwe jest szyfrowanie danych podczas przesyłania ich przez Internet (na przykład przez E-mail lub czat).

Istnieje wiele programów służących do ochrony, a są nawet darmowe – w tym DiskCryptor. Typ oprogramowania CIPF jest również sieci wirtualne, umożliwiający wymianę informacji „przez Internet”. Są one znane wielu sieciom VPN. Ten rodzaj ochrony obejmuje również protokół HTTP, który obsługuje szyfrowanie SSL i HTTPS.

Oprogramowanie CIPF jest najczęściej używane podczas pracy w Internecie, a także na domowych komputerach PC. Innymi słowy tylko w tych obszarach, w których nie ma poważnych wymagań dotyczących stabilności i funkcjonalności systemu.

Sprzętowo-programowe zabezpieczenie kryptograficzne

Teraz wiesz, czym jest CIPF, jak działa i gdzie jest używany. Niezbędne jest również wyróżnienie jednego typu - oprogramowania i sprzętu, który zawiera wszystkie najlepsze właściwości obu typów systemów. Ta metoda przetwarzania informacji jest zdecydowanie najbardziej niezawodna i bezpieczna. Ponadto użytkownik może zostać zidentyfikowany różne sposoby- zarówno sprzętowego (poprzez zainstalowanie pendrive'a lub dyskietki), jak i standardowego (poprzez wprowadzenie pary login/hasło).

Systemy programowe i sprzętowe obsługują wszystkie istniejące obecnie algorytmy szyfrowania. Należy pamiętać, że instalacja CIPF powinna być wykonywana wyłącznie przez wykwalifikowany personel dewelopera kompleksu. Oczywiste jest, że taki CIPF nie powinien być instalowany na komputerach, które nie przetwarzają poufna informacja.

Ochrona informacji kryptograficznych - ochrona informacji poprzez ich transformację kryptograficzną.

Metody kryptograficzne są obecnie podstawowy zapewnienie wiarygodnego uwierzytelnienia stron wymiany informacji, ochrony.

Do środki ochrony informacji kryptograficznej,(CIPF) obejmują sprzęt, oprogramowanie układowe i oprogramowanie, które implementują algorytmy kryptograficzne do konwersji informacji w celu:

Ochrona informacji podczas ich przetwarzania, przechowywania i przesyłania;

Zapewnienie wiarygodności i integralności informacji (w tym z wykorzystaniem algorytmów podpisu cyfrowego) podczas ich przetwarzania, przechowywania i przesyłania;

Opracowywanie informacji wykorzystywanych do identyfikacji i uwierzytelniania podmiotów, użytkowników i urządzeń;

Opracowanie informacji wykorzystywanych do ochrony elementów uwierzytelniających bezpiecznego AS podczas ich generowania, przechowywania, przetwarzania i transmisji.

Metody kryptograficzne obejmują szyfrowanie i kodowanie informacji. Istnieją dwie główne metody szyfrowania: symetryczne i asymetryczne. W pierwszym z nich ten sam klucz (który jest utrzymywany w tajemnicy) jest używany zarówno do szyfrowania, jak i odszyfrowywania danych.

Opracowano bardzo wydajne (szybkie i niezawodne) metody szyfrowania symetrycznego. Istnieje również norma krajowa dla takich metod - GOST 28147-89 „Systemy przetwarzania informacji. Ochrona kryptograficzna. Algorytm transformacji kryptograficznej”.

Metody asymetryczne wykorzystują dwa klucze. Jeden z nich, niesklasyfikowany (może być publikowany razem z innymi otwarte informacje o użytkowniku) służy do szyfrowania, inny (tajny, znany tylko odbiorcy) jest używany do odszyfrowania. Najpopularniejszą z asymetrycznych jest metoda RSA, która opiera się na operacjach na dużych (100-cyfrowych) liczbach pierwszych i ich iloczynach.

Metody kryptograficzne pozwalają niezawodnie kontrolować integralność zarówno poszczególnych części danych, jak i ich zestawów (takich jak przepływ wiadomości); określić autentyczność źródła danych; zagwarantować niemożność odmowy podjętych działań („niezaprzeczalność”).

Kontrola integralności kryptograficznej opiera się na dwóch koncepcjach:

Podpis elektroniczny (ES).

Funkcja skrótu to trudna do odwracalności transformacja danych (funkcja jednokierunkowa), która jest zwykle realizowana za pomocą szyfrowania symetrycznego z łączeniem bloków. Wynik zaszyfrowania ostatniego bloku (w zależności od wszystkich poprzednich) jest wynikiem funkcji haszującej.

Kryptografia jako sposób ochrony (zamykania) informacji zyskuje coraz większe znaczenie w działalności komercyjnej.


Do przekształcania informacji stosuje się różne metody. środki kryptograficzne: środki szyfrowania dokumentów, w tym przenośne, środki szyfrowania mowy (rozmowy telefoniczne i radiowe), środki szyfrowania wiadomości telegraficznych i transmisji danych.

W celu ochrony tajemnic handlowych na rynku międzynarodowym i krajowym, różne urządzenia techniczne oraz zestawy profesjonalnego sprzętu do szyfrowania i kryptoochrony łączności telefonicznej i radiowej, korespondencja biznesowa itp.

Scramblery i maskery są szeroko stosowane, zastępując sygnał mowy cyfrową transmisją danych. Produkowane są środki ochrony dalekopisów, teleksów i faksów. Do tych celów wykorzystywane są enkodery, wykonywane w postaci oddzielnych urządzeń, w postaci przystawek do urządzeń lub wbudowane w konstrukcję telefonów, faksmodemów i innych urządzeń komunikacyjnych (stacje radiowe i inne). Elektroniczny podpis cyfrowy jest szeroko stosowany w celu zapewnienia wiarygodności przesyłanych wiadomości elektronicznych.

Środki ochrony informacji kryptograficznej (CIPF)

„...Środki ochrony informacji kryptograficznych (CIPF) - sprzęt i (lub) oprogramowanie certyfikowane w sposób określony przez ustawodawstwo Federacji Rosyjskiej, które zapewniają szyfrowanie, kontrolę integralności i wykorzystanie EDS w wymianie dokumentów elektronicznych;... ”.

Źródło:

„Zalecenia metodyczne dotyczące dostarczania organizacjom zajmującym się produkcją i (lub) obrotem (z wyjątkiem importu i sprzedaży detalicznej) alkoholu etylowego, wyrobów alkoholowych i zawierających alkohol na terytorium Federacji Rosyjskiej, narzędzia programowe jednolitego państwowego zautomatyzowanego systemu informacyjnego rejestrującego wielkość produkcji i obrotu alkoholem etylowym, alkoholem i wyrobami zawierającymi alkohol oraz ich instalację w środkach technicznych do rejestrowania i przekazywania informacji o wielkości produkcji i obrotu alkoholem etylowym, alkoholem i alkoholem -zawierające produkty w jednolity stan zautomatyzowany system informacyjny do rejestrowania wielkości produkcji i obrotu alkoholem etylowym, alkoholem i produktami zawierającymi alkohol” (zatwierdzony przez Rosalkogolregulirovanie)

„... Środki ochrony informacji kryptograficznej (CIPF) - zestaw oprogramowania i sprzętu, które wdrażają transformacje kryptograficzne za pomocą informacje ogólne oraz funkcję generowania i weryfikacji elektronicznego podpisu cyfrowego..."

Źródło:

Zarządu Funduszu Emerytalnego Federacji Rosyjskiej z dnia 26 stycznia 2001 r. N 15 „O wprowadzeniu do systemu Fundusz emerytalny Federacji Rosyjskiej w sprawie kryptograficznej ochrony informacji i elektronicznego podpisu cyfrowego” (wraz z „Regulaminem rejestracji i łączenia prawnych i osoby fizyczne do elektronicznego systemu zarządzania dokumentami Funduszu Emerytalnego Federacji Rosyjskiej")


Oficjalna terminologia. Akademik.ru. 2012 .

Zobacz, co „Środki ochrony informacji kryptograficznych (CIPF)” znajduje się w innych słownikach:

    CIPF- środki kryptograficznej ochrony informacji CIPF środki kontroli bezpieczeństwa informacji Źródło: http://pcweek.ru/?ID=476136 ... Słownik skrótów i skrótów

    Dokument z wytycznymi. Ochrona przed nieuprawnionym dostępem do informacji. Warunki i definicje- Wytyczne terminologiczne. Ochrona przed nieuprawnionym dostępem do informacji. Terminy i definicje: 29. Administrator bezpieczeństwa Podmiot dostępu odpowiedzialny za ochronę zautomatyzowanego systemu przed nieautoryzowanym dostępem do ... ... Słownik-odnośnik terminów dokumentacji normatywnej i technicznej

    Etoken- karta inteligentna i klucz USB eToken PRO, eToken NG FLASH, eToken NG OTP, eToken PRO (Java) i eToken PASS eToken (z angielskiego elektroniczny i angielski znak tokena, token) znak towarowy linii produktów osobistych ... ... Wikipedia

    OPTIMA-WorkFlow- Ten artykuł lub sekcja zawiera listę źródeł lub Zewnętrzne linki, ale źródła poszczególnych wypowiedzi pozostają niejasne ze względu na brak przypisów. Możesz ulepszyć artykuł, dodając dokładniejsze odniesienia do źródeł ... Wikipedia - Szyfrowanie sprzętowe to proces szyfrowania wykonywany przy użyciu wyspecjalizowanych urządzeń obliczeniowych. Spis treści 1 Wstęp 2 Zalety i wady szyfrowania sprzętowego ... Wikipedia

1.1. Niniejsza Polityka dotycząca korzystania z narzędzi ochrony informacji kryptograficznej ( Dalej - Polityka ) określa procedurę organizacji i zapewnienia funkcjonowania szyfrowania ( kryptograficzny) środki przeznaczone do ochrony informacji niezawierających informacji stanowiących tajemnicę państwową ( Dalej - CIPF, krypto-środki ), jeżeli są wykorzystywane w celu zapewnienia bezpieczeństwa informacji poufnych i danych osobowych podczas ich przetwarzania w systemach informatycznych.

1.2. Niniejsza Polityka została opracowana zgodnie z:

  • prawo federalne "O danych osobowych" akty regulacyjne Rządu Federacji Rosyjskiej w zakresie zapewnienia bezpieczeństwa danych osobowych;
  • Ustawa federalna nr 63-FZ "O podpisie elektronicznym" ;
  • Zamówienie FSB Federacji Rosyjskiej nr 378 „Po zatwierdzeniu Składu i treści środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych z wykorzystaniem narzędzi kryptograficznej ochrony informacji niezbędnych do spełnienia wymagań ustanowionych przez Rząd Federacji Rosyjskiej w zakresie ochrony dane osobowe dla każdego z poziomów bezpieczeństwa";
  • Zamówienie FAPSI nr 152" Po zatwierdzeniu Instrukcji organizacji i zapewnienia bezpieczeństwa przechowywania, przetwarzania i przesyłania kanałami komunikacji z wykorzystaniem kryptograficznej ochrony informacji o ograniczonym dostępie, które nie zawierają informacji stanowiących tajemnicę państwową»;
  • Zarządzenie Federalnej Służby Bezpieczeństwa Federacji Rosyjskiej N 66 ” W sprawie zatwierdzenia Rozporządzenia w sprawie rozwoju, produkcji, sprzedaży i eksploatacji szyfrujących (kryptograficznych) środków ochrony informacji (Rozporządzenie PKZ-2005) »;

1.3. Niniejsza Polityka dotyczy narzędzi kryptograficznych zaprojektowanych w celu zapewnienia bezpieczeństwa informacji poufnych i danych osobowych podczas ich przetwarzania w systemach informatycznych;

1.4. Narzędzia kryptograficzne bezpieczeństwo informacji ( Dalej - CIPF ), które implementują funkcje szyfrowania i podpisu elektronicznego służą do ochrony dokumenty elektroniczne transmitowane za pośrednictwem publicznych kanałów komunikacyjnych, na przykład sieć publiczna Internet lub kanały komunikacji dial-up.

1.5. Dla zapewnienia bezpieczeństwa konieczne jest zastosowanie CIPF, który:

  • umożliwiają integrację z procesami technologicznymi przetwarzania wiadomości elektronicznych, zapewniają interakcję z oprogramowaniem aplikacyjnym na poziomie przetwarzania żądań przekształceń kryptograficznych i wystawiania wyników;
  • dostarczane przez programistów z kompletny zestaw dokumentację operacyjną, w tym opis systemu kluczowego, zasady pracy z nim oraz uzasadnienie niezbędnej organizacji i kadry;
  • wspierać ciągłość procesów logowania pracy CIPF i zapewnienia integralności oprogramowania dla środowiska funkcjonowania CIPF, czyli zestawu narzędzi sprzętowych i programowych, wraz z którym odbywa się regularne funkcjonowanie CIPF oraz które mogą mieć wpływ na spełnienie wymagań CIPF;
  • certyfikowany przez upoważniony organ państwowy lub mieć pozwolenie FSB Rosji.

1.6. CIPF używany do ochrony danych osobowych musi mieć klasę co najmniej KS2.

1.7. CIPF są realizowane na podstawie algorytmów zgodnych z krajowymi standardami Federacji Rosyjskiej, warunkami umowy z kontrahentem.

1.8. CIPF, licencje, powiązane kluczowe dokumenty, instrukcje CIPF są nabywane przez organizację niezależnie lub można je uzyskać od organizacji zewnętrznej inicjującej bezpieczny przepływ dokumentów.

1.9. CIPF, w tym nośniki instalacyjne, kluczowe dokumenty, opisy i instrukcje CIPF, stanowią tajemnicę handlową zgodnie z Regulaminem informacji poufnych.

  1. Procedura korzystania z CIPF

2.1. Instalacja i konfiguracja narzędzi do ochrony informacji kryptograficznych odbywa się zgodnie z dokumentacją operacyjną, instrukcjami Federalnej Służby Bezpieczeństwa Rosji, innymi organizacjami zaangażowanymi w bezpieczne zarządzanie dokumentami elektronicznymi. Po zakończeniu instalacji i konfiguracji sprawdzana jest gotowość CIPF do użycia, wyciągane są wnioski dotyczące możliwości ich działania i CIPF jest uruchamiany.

Umieszczenie i instalacja CIPF, a także innego sprzętu działającego za pomocą środków kryptograficznych, w wrażliwych pomieszczeniach powinno zminimalizować możliwość niekontrolowanego dostępu osób nieuprawnionych do tych środków. Konserwacja takiego sprzętu i zmiana kluczy kryptograficznych odbywa się pod nieobecność osób, które nie mogą pracować z danymi CIPF. Niezbędne jest zapewnienie środków organizacyjnych i technicznych wykluczających możliwość korzystania z CIPF przez osoby nieuprawnione. Fizyczna lokalizacja CIPF powinna zapewniać bezpieczeństwo CIPF, zapobiegając nieautoryzowanemu dostępowi do CIPF. Dostęp osób do pomieszczeń, w których znajduje się sprzęt ochronny, jest ograniczony zgodnie z potrzebą biznesową i określony jest listą zatwierdzoną przez dyrektora.

Wbudowanie krypto-środków klasy KS1 i KS2 odbywa się bez kontroli FSB Rosji ( jeśli ta kontrola nie jest zapewniona zakres zadań na rozwój (modernizację) systemu informatycznego).

Osadzanie narzędzi kryptograficznych klas KS3, KB1, KB2 i KA1 odbywa się wyłącznie pod kontrolą FSB Rosji.

Osadzanie narzędzi kryptograficznych klasy KS1, KS2 lub KS3 może być wykonane albo przez samego użytkownika narzędzia kryptograficznego, jeśli posiada odpowiednią licencję od FSB Rosji, albo przez organizację, która posiada odpowiednią licencję od FSB Rosji.

Osadzanie narzędzia kryptograficznego klasy KV1, KV2 lub KA1 jest wykonywane przez organizację posiadającą odpowiednią licencję FSB Rosji.

Likwidacja CIPF odbywa się z zachowaniem procedur zapewniających gwarantowane usunięcie informacji, których nieuprawnione wykorzystanie może zaszkodzić działalności biznesowej organizacji oraz informacji wykorzystywanych przez narzędzia bezpieczeństwa informacji z pamięć trwała oraz z mediów zewnętrznych ( z wyjątkiem archiwów dokumentów elektronicznych i protokołów interakcji elektronicznej, których utrzymanie i przechowywanie przez określony czas jest przewidziane w odpowiednich dokumentach regulacyjnych i (lub) umownych) i jest sporządzony w ustawie. CIPF zniszcz ( pozbyć się) decyzją właściciela instrumentu kryptograficznego i zawiadomieniem organizacji odpowiedzialnej zgodnie z organizacją księgowania kopii instrumentów kryptograficznych.

przeznaczony do zniszczenia recykling) CIPF podlegają wycofaniu ze sprzętu, na którym funkcjonowały. Jednocześnie narzędzia kryptograficzne uważa się za wycofane ze sprzętu, jeżeli procedura usuwania oprogramowania narzędzi kryptograficznych przewidziana w dokumentacji operacyjnej i technicznej CIPF została zakończona i są one całkowicie odłączone od sprzętu.

Jednostki i części sprzętu ogólnego przeznaczenia nadające się do dalszego użytku, które nie są specjalnie zaprojektowane do sprzętowej implementacji algorytmów kryptograficznych lub innych funkcji ochrony informacji kryptograficznych, a także sprzęt współpracujący z narzędziami kryptograficznymi ( monitory, drukarki, skanery, klawiatury itp.), dozwolone jest używanie po zniszczeniu CIPF bez ograniczeń. Jednocześnie informacje, które mogą pozostać w pamięci urządzeń sprzętowych ( np. drukarki, skanery), należy bezpiecznie usunąć ( wymazany).

2.2. Działalność CIPF realizują osoby powołane na polecenie dyrektora organizacji i przeszkolone do pracy z nimi. Jeśli jest dwóch lub więcej użytkowników CIPF, obowiązki między nimi są rozdzielone z uwzględnieniem osobistej odpowiedzialności za bezpieczeństwo krypto-środków, dokumentacji kluczowej, operacyjnej i technicznej, a także za przydzielone obszary pracy.

Użytkownicy kryptowalut są zobowiązani do:

  • nieujawniania informacji, do których są dopuszczone, w tym informacji o CIPF i innych środkach ochrony;
  • nie ujawniać informacji o kluczowych dokumentach;
  • zapobiec tworzeniu kopii kluczowych dokumentów;
  • zapobiec wyświetlaniu kluczowych dokumentów ( monitor) komputer osobisty lub drukarka;
  • nie zezwalać na zapisywanie obcych informacji na nośniku klucza;
  • zapobiegać instalowaniu kluczowych dokumentów na innych komputerach osobistych;
  • spełniać wymagania dotyczące zapewnienia bezpieczeństwa informacji, wymagania dotyczące zapewnienia bezpieczeństwa CIPF i kluczowych dla nich dokumentów;
  • zgłaszać znane im przez nieuprawnione osoby próby uzyskania informacji o stosowanych narzędziach ochrony informacji kryptograficznej lub kluczowych dla nich dokumentach;
  • niezwłocznie powiadomić o faktach utraty lub braku CIPF, kluczowych do nich dokumentów, kluczy do lokali, skarbców, pieczęci osobistych i innych faktów, które mogą prowadzić do ujawnienia informacji chronionych;
  • przekazać CIPF, dokumentację operacyjną i techniczną dla nich, kluczowe dokumenty po zwolnieniu lub odsunięciu od wykonywania obowiązków związanych z wykorzystaniem narzędzi kryptograficznych.

Bezpieczeństwo przetwarzania informacji z wykorzystaniem CIPF zapewniają:

  • przestrzeganie przez użytkowników poufności przy obchodzeniu się z powierzonymi im lub poznanymi w pracy informacjami, w tym informacji o funkcjonowaniu i procedurach bezpieczeństwa stosowanych narzędzi ochrony informacji kryptograficznej oraz kluczowych dla nich dokumentów;
  • dokładne spełnienie przez użytkowników CIPF wymagań dotyczących bezpieczeństwa informacji;
  • niezawodne przechowywanie dokumentacji operacyjnej i technicznej dla CIPF, kluczowych dokumentów, nośników o ograniczonej dystrybucji;
  • terminowe wykrywanie prób uzyskania przez osoby nieuprawnione informacji o chronionych informacjach, o wykorzystywanym CIPF lub kluczowych dla nich dokumentach;
  • podejmowanie natychmiastowych działań w celu zapobieżenia ujawnieniu chronionych informacji, a także ich ewentualnemu wyciekowi w przypadku utraty lub braku CIPF, kluczowych do nich dokumentów, certyfikatów, przepustek, kluczy do lokali, skarbców, sejfów ( szafki metalowe), pieczęcie osobiste itp.

W razie potrzeby przenieś środki techniczne przekazywanie komunikatów usług ograniczonego dostępu związanych z organizacją i funkcjonowaniem CIPF, komunikaty te muszą być przesyłane wyłącznie za pomocą środków kryptograficznych. Przekazywanie kluczy kryptograficznych za pomocą technicznych środków komunikacji jest niedozwolone, z wyjątkiem specjalnie zorganizowanych systemów ze zdecentralizowanym dostarczaniem kluczy kryptograficznych.

CIPF podlegają rozliczeniu za pomocą indeksów lub nazw warunkowych i numerów rejestracyjnych. Ustala się listę indeksów, nazw warunkowych i numerów rejestracyjnych kryptowalut Służba Federalna bezpieczeństwo Federacji Rosyjskiej.

Wykorzystywana lub przechowywana dla nich CIPF, dokumentacja operacyjna i techniczna, kluczowe dokumenty podlegają księgowaniu kopii. Wzór Dziennika CIPF znajduje się w Załączniku nr 1, Dziennik Przewoźników Kluczowych w Załączniku nr 2 do niniejszej Polityki. Jednocześnie należy wziąć pod uwagę oprogramowanie CIPF wraz ze sprzętem, z którym odbywa się ich regularna praca. Jeżeli sprzętowe lub sprzętowo-programowe środki ochrony informacji kryptograficznej są podłączone do magistrali systemowej lub do jednego z wewnętrznych interfejsów sprzętowych, wówczas takie środki kryptograficzne są również brane pod uwagę razem z odpowiednim sprzętem.

Jednostką księgowania kopii kluczowych dokumentów jest nośnik kluczy wielokrotnego użytku, notatnik do kluczy. Jeśli ten sam nośnik klucza jest wielokrotnie używany do rejestrowania kluczy kryptograficznych, należy go za każdym razem rejestrować osobno.

Wszystkie otrzymane kopie krypto-środków, ich dokumentacja operacyjna i techniczna, kluczowe dokumenty muszą być wydane za pokwitowaniem w odpowiednim rejestrze kopii użytkownikom krypto-środków, którzy są osobiście odpowiedzialni za ich bezpieczeństwo.

Przekazywanie im CIPF, dokumentacji operacyjnej i technicznej, kluczowych dokumentów jest dozwolone tylko pomiędzy użytkownikami narzędzi kryptograficznych i (lub) odpowiedzialnym użytkownikiem narzędzi kryptograficznych za pokwitowaniem w odpowiednich logach księgowania instancji. Taki transfer między użytkownikami narzędzi kryptograficznych musi być autoryzowany.

Przechowywanie mediów instalacyjnych CIPF, dokumentacji operacyjnej i technicznej, kluczowych dokumentów odbywa się w szafach ( pudełka, przechowywanie) indywidualne używanie w warunkach wykluczających niekontrolowany dostęp do nich, a także ich nieumyślne zniszczenie.

Sprzęt, za pomocą którego odbywa się normalne funkcjonowanie CIPF, a także sprzęt i oprogramowanie sprzętowe CIPF muszą być wyposażone w środki do kontroli ich otwierania ( zapieczętowane, zapieczętowane). Miejsce plombowania ( opieczętowanie) oznacza, że ​​sprzęt powinien być taki, aby można było nim sterować wizualnie. W obecności wykonalności technicznej pod nieobecność użytkowników narzędzi kryptograficznych środki te należy odłączyć od linii komunikacyjnej i schować w zapieczętowanych skarbcach.

Wprowadzanie zmian w oprogramowaniu CIPF i dokumentacji technicznej dla CIPF odbywa się na podstawie otrzymanych od producenta CIPF i udokumentowanych aktualizacji z utrwaleniem sum kontrolnych.

Działanie CIPF polega na utrzymywaniu co najmniej dwóch kopii zapasowych oprogramowania i jednej utworzyć kopię zapasową nosiciele kluczy. Odzyskiwanie wydajności CIPF w sytuacjach awaryjnych odbywa się zgodnie z dokumentacją operacyjną.

2.3. Produkcja kluczowych dokumentów z oryginalnych kluczowych informacji jest wykonywana przez odpowiedzialnych użytkowników systemu ochrony informacji kryptograficznych, przy użyciu standardowych narzędzi kryptograficznych, jeżeli taka możliwość jest przewidziana w dokumentacji operacyjnej i technicznej w obecności licencji Federalnej Służba Bezpieczeństwa Rosji za produkcję kluczowych dokumentów dla narzędzi kryptograficznych.

Kluczowe dokumenty można dostarczyć kurierem ( w tym wydziałowe) komunikacji lub ze specjalnie wyznaczonymi odpowiedzialnymi użytkownikami narzędzi kryptograficznych i pracownikami, z zastrzeżeniem środków wykluczających niekontrolowany dostęp do kluczowych dokumentów podczas ich dostarczania.

Aby wysłać kluczowe dokumenty, muszą być umieszczone w mocnym opakowaniu, które wyklucza możliwość ich fizycznego uszkodzenia i uderzenia zewnętrznego. Na opakowaniach należy wskazać odpowiedzialnego użytkownika, dla którego przeznaczone są te opakowania. Takie paczki są oznaczone jako „Osobiste”. Opakowania są zapieczętowane w taki sposób, że niemożliwe jest wyciągnięcie z nich zawartości bez naruszenia opakowań i odcisków plomb.

Przed wstępną deportacją ( lub wróć) adresat jest informowany osobnym pismem o opisie przesyłanych do niego przesyłek oraz o pieczęciach, którymi można je zapieczętować.

W celu wysłania kluczowych dokumentów przygotowywany jest list motywacyjny, w którym należy wskazać: co i w jakiej ilości jest wysyłane, numery kont dokumentów oraz, jeśli to konieczne, cel i tryb korzystania z wysłanego przedmiotu. Do jednej z paczek dołączany jest list motywacyjny.

Otrzymane pakiety są otwierane wyłącznie przez odpowiedzialnego użytkownika narzędzi kryptograficznych, do których są przeznaczone. Jeżeli zawartość otrzymanej paczki nie odpowiada tym określonym w liście przewodnim lub samej paczki i pieczęci – ich opis ( wrażenie), a także w przypadku uszkodzenia opakowania skutkującego swobodnym dostępem do jego zawartości, odbiorca sporządza akt, który jest wysyłany do nadawcy. Kluczowe dokumenty otrzymane wraz z takimi przesyłkami nie mogą być używane do czasu otrzymania instrukcji od nadawcy.

W przypadku znalezienia wadliwych dokumentów klucza lub kluczy kryptograficznych, jedna kopia wadliwego produktu powinna zostać zwrócona do producenta w celu ustalenia przyczyn incydentu i usunięcia ich w przyszłości, a pozostałe kopie należy przechowywać do czasu otrzymania dodatkowych instrukcji od producenta Odebrane.

Odbiór kluczowych dokumentów należy potwierdzić nadawcy zgodnie z procedurą wskazaną w liście przewodnim. Nadawca ma obowiązek kontrolować doręczenie swoich przesyłek adresatom. Jeżeli odpowiednie potwierdzenie nie zostało otrzymane od adresata w terminie, nadawca musi wysłać mu żądanie i podjąć działania w celu wyjaśnienia lokalizacji przesyłek.

Z góry składane jest zamówienie na produkcję kolejnych kluczowych dokumentów, ich produkcję i dystrybucję do miejsc użytkowania w celu terminowej wymiany istniejących kluczowych dokumentów. O wejściu w życie kolejnych kluczowych dokumentów informuje odpowiedzialny użytkownik narzędzi kryptograficznych dopiero po otrzymaniu potwierdzenia odbioru kolejnych kluczowych dokumentów.

Niewykorzystane lub niedziałające dokumenty kluczowe należy zwrócić odpowiedzialnemu użytkownikowi narzędzi kryptograficznych lub, na jego polecenie, zniszczyć na miejscu.

Zniszczenie kluczy kryptograficznych ( początkowe kluczowe informacje) można to zrobić poprzez fizyczne zniszczenie kluczowego nośnika, na którym się znajdują, lub przez skasowanie ( zniszczenie) klucze kryptograficzne ( początkowe kluczowe informacje) bez uszkodzenia breloczka ( aby umożliwić ponowne użycie).

Klucze kryptograficzne ( oryginalne kluczowe informacje) są usuwane zgodnie z technologią przyjętą dla odpowiedniego kluczowego nośnika wielokrotnego użytku ( dyskietki, dyski kompaktowe (CD-ROM), klucz danych, karta inteligentna, pamięć dotykowa itp.). Bezpośrednie akcje kasowania kluczy kryptograficznych ( początkowe kluczowe informacje( początkowe kluczowe informacje).

Nośniki kluczy są niszczone poprzez zadawanie im nieodwracalnych uszkodzeń fizycznych, wyłączających możliwość ich użycia, a także przywracanie kluczowych informacji. Bezpośrednie działania mające na celu zniszczenie określonego rodzaju nośnika klucza reguluje dokumentacja operacyjna i techniczna odpowiednich narzędzi ochrony informacji kryptograficznej, a także instrukcje organizacji, która zarejestrowała klucze kryptograficzne ( początkowe kluczowe informacje).

Papier i inne palne nośniki kluczy są niszczone przez spalenie lub użycie jakichkolwiek maszyn do cięcia papieru.

Kluczowe dokumenty są niszczone w terminach określonych w dokumentacji operacyjno-technicznej odpowiedniego CIPF. Fakt zniszczenia jest dokumentowany w odpowiednich rejestrach kopii po wystąpieniu.

Zniszczenia zgodnie z ustawą dokonuje komisja składająca się z co najmniej dwóch osób. Ustawa określa, co jest niszczone iw jakiej ilości. Na zakończenie aktu dokonuje się ostatecznego wpisu (liczbami i słownie) o liczbie sztuk i kopii niszczonych kluczowych dokumentów, instalacji nośników CIPF, dokumentacji operacyjnej i technicznej. Poprawki w tekście ustawy muszą być określone i poświadczone podpisami wszystkich członków komisji, którzy brali udział w zniszczeniu. O dokonanym zniszczeniu dokonuje się znaków w odpowiednich dziennikach księgowania kopii.

Klucze kryptograficzne, co do których istnieje podejrzenie, że zostały naruszone, a także inne klucze kryptograficzne działające w połączeniu z nimi, muszą zostać natychmiast dezaktywowane, chyba że w dokumentacji operacyjnej i technicznej CIPF określono inaczej. W nagłych przypadkach, gdy nie ma kluczy kryptograficznych, które mogłyby zastąpić te zhakowane, decyzją odpowiedzialnego użytkownika narzędzi kryptograficznych, uzgodnioną z operatorem, dozwolone jest użycie zhakowanych kluczy kryptograficznych. W takim przypadku okres używania zhakowanych kluczy kryptograficznych powinien być jak najkrótszy, a chronione informacje powinny być jak najmniej cenne.

O naruszeniach, które mogą prowadzić do złamania kluczy kryptograficznych, ich części składowe lub przesyłane ( przechowywane) korzystając z danych, użytkownicy narzędzi kryptograficznych mają obowiązek zgłosić się do odpowiedzialnego użytkownika narzędzi kryptograficznych.

Inspekcja kluczowych nośników wielokrotnego użytku przez osoby nieuprawnione nie powinna być traktowana jako podejrzenie kompromitacji kryptokluczy, jeżeli wyklucza to możliwość ich skopiowania ( czytanie, reprodukcja).

W przypadku braku, nieprzedstawienia kluczowych dokumentów, a także niepewności ich lokalizacji, odpowiedzialny użytkownik podejmuje pilne działania w celu ich wyszukania i zlokalizowania konsekwencji kompromitacji kluczowych dokumentów.

  1. Kluczowa procedura zarządzania systemem

Rejestracja osób z uprawnieniami do zarządzania kluczami odbywa się zgodnie z dokumentacją operacyjną dla CIPF.

Zarządzanie kluczami to proces informacyjny, który obejmuje trzy elementy:

- generowanie kluczy;

— nagromadzenie kluczy;

- dystrybucja kluczy.

W systemach informatycznych organizacji stosowane są specjalne metody sprzętowe i programowe do generowania kluczy losowych. Z reguły używane są generatory liczb pseudolosowych ( Dalej - PSCH ), z wystarczającą ilością wysoki stopień losowość ich generacji. Całkiem akceptowalne są programowe generatory kluczy, które obliczają PRNG jako złożoną funkcję aktualnego czasu i ( lub) numer wprowadzony przez użytkownika.

Pod pojęciem gromadzenia kluczy rozumie się organizację ich przechowywania, księgowania i kasowania.

Klucze tajne nie powinny być zapisywane bezpośrednio na nośniku, który można odczytać lub skopiować.

Wszystkie informacje o użytych kluczach muszą być przechowywane w postaci zaszyfrowanej. Klucze, które szyfrują informacje o kluczu, nazywane są kluczami głównymi. Każdy użytkownik musi znać klucze główne na pamięć, zabrania się ich przechowywania na jakichkolwiek nośnikach materialnych.

Dla warunku bezpieczeństwa informacji konieczna jest okresowa aktualizacja kluczowych informacji w systemach informatycznych. Powoduje to ponowne przypisanie zarówno kluczy zwykłych, jak i kluczy głównych.

Podczas dystrybucji kluczy należy spełnić następujące wymagania:

- wydajność i dokładność dystrybucji;

— tajność rozprowadzanych kluczy.

Alternatywą jest uzyskanie przez dwóch użytkowników wspólnego klucza od organu centralnego, czyli centrum dystrybucji kluczy (KDC), za pośrednictwem którego mogą bezpiecznie komunikować się. Aby zorganizować wymianę danych między CRC a użytkownikiem, podczas rejestracji przydzielany jest mu specjalny klucz, który szyfruje przesyłane między nimi wiadomości. Każdemu użytkownikowi przydzielany jest oddzielny klucz.

ZARZĄDZANIE KLUCZAMI W OPARCIU O SYSTEMY KLUCZA PUBLICZNEGO

Przed użyciem kryptosystemu klucza publicznego do wymiany zwykłych tajne klucze użytkownicy powinni wymieniać swoje klucze publiczne.

Zarządzanie kluczami publicznymi może odbywać się za pośrednictwem usługi katalogowej online lub offline, a użytkownicy mogą również bezpośrednio wymieniać klucze.

  1. Monitorowanie i kontrola wykorzystania CIPF

W celu zwiększenia poziomu bezpieczeństwa podczas działania ochrony informacji kryptograficznej w systemie konieczne jest wdrożenie procedur monitoringu, które rejestrują wszystkie istotne zdarzenia, które miały miejsce podczas wymiany wiadomości elektroniczne oraz wszystkie incydenty związane z bezpieczeństwem informacji. Opis i wykaz tych procedur powinien być ustalony w dokumentacji operacyjnej CIPF.

Kontrola wykorzystania CIPF zapewnia:

  • kontrola zgodności ustawień i konfiguracji narzędzi bezpieczeństwa informacji oraz narzędzi sprzętowych i programowych, które mogą wpływać na spełnienie wymagań dla narzędzi bezpieczeństwa informacji, dokumentacji regulacyjnej i technicznej;
  • monitorowanie przestrzegania zasad przechowywania informacji o ograniczonym dostępie wykorzystywanych w działaniu narzędzi bezpieczeństwa informacji ( w szczególności klucz, hasło i informacje uwierzytelniające);
  • kontrola możliwości dostępu osób nieuprawnionych do narzędzi bezpieczeństwa informacji oraz narzędzi sprzętowych i programowych, które mogą mieć wpływ na spełnienie wymagań dla narzędzi bezpieczeństwa informacji;
  • monitorowanie zgodności z regułami reagowania na incydenty, informacje informacje (o faktach utraty, ujawnienia klucza, hasła i informacji uwierzytelniających, a także wszelkich innych informacji o ograniczonym dostępie);
  • kontrola zgodności środków technicznych i programowych CIPF oraz dokumentacji dla tych środków z próbkami referencyjnymi ( gwarancje dostawców lub mechanizmy kontrolne, które pozwalają na niezależne ustalenie takiej zgodności,);
  • kontrola integralności sprzętu i oprogramowania CIPF oraz dokumentacji tych narzędzi podczas przechowywania i uruchamiania tych narzędzi ( wykorzystując zarówno mechanizmy kontrolne opisane w dokumentacji dla CIPF, jak i organizacyjne).

Pobierz plik ZIP (43052)

Przydały się dokumenty - wstaw "jak":