Alati za kriptografiju. Što je skzi i koje su vrste. Programski kriptografski sustavi zaštite

💖 Sviđa li vam se? Podijelite vezu sa svojim prijateljima
0

CIPF (cryptographic information protection tool) je program ili uređaj koji kriptira dokumente i generira elektronički potpis (ES). Sve operacije izvode se pomoću ključa Elektronički potpis, koji se ne može odabrati ručno, jer se radi o složenom skupu znakova. To osigurava pouzdanu zaštitu informacija.

Kako radi CIPF

  1. Pošiljatelj kreira dokument
  2. Pomoću CIPF-a i privatnog ključa, elektronički potpis dodaje datoteku potpisa, šifrira dokument i sve spaja u datoteku koja se šalje primatelju
  3. Datoteka se šalje primatelju
  4. Primatelj dekriptira dokument koristeći CIPF i privatni ključ vaš elektronički potpis
  5. Primatelj provjerava integritet elektroničkog potpisa, uvjeravajući se da nema promjena na dokumentu

Vrste CIPF-a za elektronički potpis

Postoje dvije vrste alata za kriptografsku zaštitu podataka: instalirani odvojeno i ugrađeni u medij.

CIPF instaliran zasebno je program koji se instalira na bilo koji računalni uređaj. Takvi CIPF se koriste posvuda, ali imaju jedan nedostatak: strogo su vezani za jedno radno mjesto. Moći ćete raditi s bilo kojim brojem elektroničkih potpisa, ali samo na računalu ili prijenosnom računalu na kojem je CIPF instaliran. Raditi za različita računala, za svaki ćete morati kupiti dodatnu licencu.

Kod rada s elektroničkim potpisima najčešće se kao instalirani CIPF koristi kriptoprovajder CryptoPro CSP. Program radi na Windows, Unix i drugim operativnim sustavima, te podržava domaće sigurnosne standarde GOST R 34.11-2012 i GOST R 34.10-2012.

Ostali kriptografski sustavi zaštite informacija koriste se rjeđe:

  1. Signal-COM CSP
  2. LISSI-CSP
  3. VipNet CSP

Sve navedene CIPF-ove certificirali su FSB i FSTEC i u skladu su sa sigurnosnim standardima usvojenim u Rusiji. Za puni rad također zahtijevaju kupnju licence.

CIPF ugrađen u medije, su alati za šifriranje ugrađeni u uređaj koji su programirani za neovisni rad. Pogodni su zbog svoje samodostatnosti. Sve što je potrebno za potpisivanje ugovora ili izvješće već se nalazi na samim medijima. Nema potrebe kupovati licence ili instalirati dodatni softver. Dovoljno je računalo ili prijenosno računalo s pristupom internetu. Šifriranje i dešifriranje podataka provodi se unutar medija. Mediji s ugrađenim CIPF-om uključuju Rutoken EDS, Rutoken EDS 2.0 i JaCarta SE.

Pojam "kriptografija" dolazi od starogrčkih riječi "skriven" i "pisati". Izraz izražava glavnu svrhu kriptografije - zaštitu i očuvanje tajni prenesenih informacija. Može doći do zaštite informacija različiti putevi. Na primjer, ograničavanjem fizičkog pristupa podacima, skrivanjem prijenosnog kanala, stvaranjem fizičkih poteškoća u povezivanju s komunikacijskim linijama itd.

Svrha kriptografije

Za razliku od tradicionalnih metoda tajnog pisanja, kriptografija pretpostavlja potpunu dostupnost kanala prijenosa za napadače i osigurava povjerljivost i autentičnost informacija pomoću algoritama šifriranja koji informacije čine nedostupnima vanjskim osobama. Moderni sustav kriptografska zaštita informacija (CIPF) je programski i hardverski računalni sustav koji osigurava zaštitu informacija prema sljedećim osnovnim parametrima.

  • Povjerljivost- nemogućnost čitanja informacija osobama koje nemaju odgovarajuća prava pristupa. Glavna komponenta osiguranja povjerljivosti u CIPF-u je ključ, koji je jedinstvena alfanumerička kombinacija za korisnički pristup određenom bloku CIPF-a.
  • Integritet- nemogućnost neovlaštenih promjena, poput uređivanja i brisanja podataka. Da bi se to postiglo, izvornim informacijama dodaje se redundantnost u obliku kombinacije provjere, izračunate pomoću kriptografskog algoritma i ovisno o ključu. Stoga, bez poznavanja ključa, dodavanje ili mijenjanje informacija postaje nemoguće.
  • Ovjera- potvrda vjerodostojnosti informacija i stranaka koje ih šalju i primaju. Informacije koje se prenose komunikacijskim kanalima moraju biti jedinstveno autentificirane sadržajem, vremenom nastanka i prijenosa, izvorom i primateljem. Treba imati na umu da izvor prijetnji može biti ne samo napadač, već i strane uključene u razmjenu informacija s nedovoljnim međusobnim povjerenjem. Kako bi spriječio takve situacije, CIPF koristi sustav vremenskih oznaka kako bi spriječio ponovno ili obrnuto slanje informacija i promjenu njihovog redoslijeda.

  • Autorstvo- potvrda i nemogućnost odbijanja radnji koje provodi korisnik informacija. Najčešća metoda autentifikacije je EDS sustav koji se sastoji od dva algoritma: za izradu potpisa i za njegovu provjeru. Prilikom intenzivnog rada s ECC-om preporuča se korištenje centara za certifikaciju softvera za izradu i upravljanje potpisima. Takvi centri mogu se implementirati kao CIPF alat koji je potpuno neovisan o internoj strukturi. Što to znači za organizaciju? To znači da sve transakcije obrađuju neovisne certificirane organizacije te je krivotvorenje autorstva gotovo nemoguće.

Algoritmi šifriranja

Trenutačno među CIPF-om prevladavaju otvoreni algoritmi šifriranja koji koriste simetrične i asimetrične ključeve dovoljne duljine da osiguraju potrebnu kriptografsku složenost. Najčešći algoritmi:

  • simetrični ključevi - ruski R-28147.89, AES, DES, RC4;
  • asimetrični ključevi - RSA;
  • korištenje hash funkcija - R-34.11.94, MD4/5/6, SHA-1/2.

Mnoge zemlje imaju svoje nacionalne standarde. U SAD-u se koristi modificirani AES algoritam s ključem duljine 128-256 bita, au Ruskoj Federaciji algoritam elektroničkog potpisa R-34.10.2001 i blokovni kriptografski algoritam R-. 28147.89 s 256-bitnim ključem. Neki elementi nacionalnih kriptografskih sustava zabranjeni su za izvoz izvan zemlje; aktivnosti za razvoj CIPF-a zahtijevaju licenciranje.

Hardverski sustavi kriptografske zaštite

Hardver CIPF je fizičke uređaje, koji sadrži softver za šifriranje, snimanje i prijenos informacija. Uređaji za šifriranje mogu biti izrađeni u obliku osobnih uređaja, kao što su ruToken USB kriptori i IronKey flash diskovi, kartice za proširenje osobnih računala, specijalizirani mrežni preklopnici i usmjerivači, na temelju kojih je moguće izgraditi potpuno zaštićene računalne mreže.

Hardverski kriptografski sustavi zaštite informacija brzo se instaliraju i rade s njima velika brzina. Nedostaci - visoka, u usporedbi sa softverom i hardversko-softverskim CIPF-om, cijena i ograničene mogućnosti nadogradnje.

CIPF jedinice ugrađene u hardver također se mogu klasificirati kao hardver. razne uređaje registraciju i prijenos podataka gdje je potrebna enkripcija i ograničenje pristupa informacijama. Takvi uređaji uključuju automobilske tahometre koji bilježe parametre vozila, neke vrste medicinske opreme itd. Za puni rad takvih sustava potrebna je posebna aktivacija CIPF modula od strane stručnjaka dobavljača.

Programski kriptografski sustavi zaštite

Softver CIPF je poseban programski paket za šifriranje podataka na medijima za pohranu (hard i flash diskovi, memorijske kartice, CD/DVD) i kada se prenose putem interneta ( elektronička pošta, datoteke u privicima, zaštićeni razgovori itd.). Postoji dosta programa, uključujući besplatne, na primjer, DiskCryptor. Softver CIPF također može uključivati ​​zaštićene virtualne mreže razmjena informacija koja djeluje “na vrhu interneta” (VPN), proširenje HTTP internetskog protokola s podrškom za HTTPS i SSL enkripciju - kriptografski protokol za prijenos informacija široko korišten u sustavima IP telefonije i internetskim aplikacijama.

Programski kriptografski sustavi zaštite informacija uglavnom se koriste na Internetu, na kućnim računalima iu drugim područjima gdje zahtjevi za funkcionalnošću i stabilnošću sustava nisu jako visoki. Ili kao što je slučaj s internetom, kada morate stvoriti mnogo različitih sigurnih veza u isto vrijeme.

Programska i hardverska kriptografska zaštita

Kombinira najbolje kvalitete hardver i programski sustavi CIPF. Ovo je najpouzdaniji i najfunkcionalniji način stvaranja sigurnih sustava i podatkovnih mreža. Podržane su sve mogućnosti identifikacije korisnika, kako hardverske (USB disk ili pametna kartica), tako i “tradicionalne” - prijava i lozinka. Softverski i hardverski CIPF-ovi podržavaju sve moderne algoritme šifriranja, imaju širok raspon funkcija za kreiranje sigurnog protoka dokumenata na temelju digitalnih potpisa i sve potrebne državne certifikate. Instalaciju CIPF-a provodi kvalificirano programersko osoblje.

Tvrtka "CRYPTO-PRO"

Jedan od lidera ruskog kriptografskog tržišta. Tvrtka razvija cijeli niz programa za zaštitu informacija s koristeći digitalni potpis na temelju međunarodnog i ruskog kriptografski algoritmi.

Programi tvrtke koriste se u elektroničkom vođenju dokumenata gospodarskih i državnih organizacija, za podnošenje računovodstvenih i poreznih izvješća, u raznim gradskim i proračunskim programima itd. Tvrtka je izdala više od 3 milijuna licenci za program CryptoPRO CSP i 700 licenci za certifikaciju središta. Crypto-PRO programerima pruža sučelja za ugradnju elemenata kriptografske zaštite u vlastita i pruža cijeli niz konzultantskih usluga za izradu CIPF-a.

Kripto pružatelj usluga CryptoPro

Prilikom razvoja CIPF-a CryptoPro CSP korišten je ugrađen u operacijsku salu Windows sustav kriptografska arhitektura Davatelji kriptografskih usluga. Arhitektura vam omogućuje povezivanje dodatnih neovisnih modula koji implementiraju potrebne algoritme šifriranja. Uz pomoć modula koji rade kroz CryptoAPI funkcije, kriptografsku zaštitu može implementirati i softverski i hardverski CIPF.

Nosači ključeva

Mogu se koristiti različite vrste privatnih ključeva:

  • pametne kartice i čitači;
  • elektroničke brave i čitači koji rade s uređajima Touch Memory;
  • razni USB ključevi i prijenosni USB pogoni;
  • sistemske datoteke Windows registar, Solaris, Linux.

Funkcije kriptoprovajdera

CIPF CryptoPro CSP je u potpunosti certificiran od strane FAPSI i može se koristiti za:

2. Potpuna povjerljivost, autentičnost i cjelovitost podataka korištenjem enkripcije i simulacijske zaštite u skladu s ruskim standardima šifriranja i TLS protokolom.

3. Provjere i kontrole integriteta programski kod kako bi se spriječilo neovlašteno mijenjanje i pristup.

4. Izrada propisa zaštite sustava.

Definicija 1

Kriptografska zaštita podataka je mehanizam zaštite šifriranjem podataka kako bi se osiguralo sigurnost informacija društvo.

Kriptografske metode zaštite informacija aktivno se koriste u modernog života za pohranu, obradu i prijenos informacija preko komunikacijskih mreža i na različitim medijima.

Bit i ciljevi kriptografske zaštite informacija

Danas je najpouzdaniji način šifriranja pri prijenosu informacijskih podataka na velike udaljenosti kriptografska zaštita informacija.

Kriptografija je znanost koja proučava i opisuje modele informacijske sigurnosti (u daljnjem tekstu informacijska sigurnost) podataka. Omogućuje vam rješavanje mnogih problema koji su svojstveni sigurnosti mrežnih informacija: povjerljivost, autentifikacija, kontrola i integritet sudionika u interakciji.

Definicija 2

Enkripcija je transformacija informacijskih podataka u oblik koji nitko neće moći pročitati. programski sustavi i osoba bez ključa za šifriranje-dešifriranje. Zahvaljujući kriptografskim metodama zaštite informacija osigurana su sredstva informacijske sigurnosti, stoga su temeljni dio koncepta informacijske sigurnosti.

Napomena 1

Ključni cilj kriptografske zaštite informacija je osigurati povjerljivost i zaštitu informacijskih podataka računalne mreže tijekom njihovog prijenosa mrežom između korisnika sustava.

Zaštita povjerljivih informacija, koja se temelji na kriptografskoj zaštiti, kriptira informacijske podatke reverzibilnim transformacijama od kojih je svaka opisana ključem i redoslijedom koji određuje redoslijed njihove primjene.

Važna komponenta kriptografske zaštite informacija je ključ koji je odgovoran za izbor transformacije i redoslijed njezine provedbe.

Definicija 3

Ključ je određeni niz znakova koji konfigurira algoritam šifriranja i dešifriranja informacijskog kriptografskog sustava zaštite. Svaka transformacija određena je ključem koji zadaje kriptografski algoritam koji osigurava sigurnost informacijskog sustava i informacija u cjelini.

Svaki algoritam za kriptografsku zaštitu informacija radi u različitim načinima, koji imaju i niz prednosti i niz nedostataka, koji utječu na pouzdanost informacijske sigurnosti države i alata za informacijsku sigurnost.

Sredstva i metode kriptografske zaštite informacija

Glavna sredstva kriptografske zaštite informacija uključuju softver, hardver i softver-hardver koji implementiraju kriptografske algoritme za informacije sa svrhom:

  • zaštita informacijskih podataka tijekom njihove obrade, uporabe i prijenosa;
  • osiguravanje cjelovitosti i pouzdanosti informacija tijekom njihove pohrane, obrade i prijenosa (uključujući korištenje algoritama digitalnog potpisa);
  • generiranje informacija koje se koriste za autentifikaciju i identifikaciju subjekata, korisnika i uređaja;
  • generiranje informacija koje se koriste za zaštitu autentifikacijskih elemenata tijekom njihove pohrane, generiranja, obrade i prijenosa.

Trenutno su osnovne kriptografske metode zaštite informacija koje osiguravaju pouzdanu autentifikaciju strana u razmjeni informacija. Oni omogućuju šifriranje i kodiranje informacija.

Postoje dvije glavne metode kriptografske zaštite podataka:

  • simetrični, u kojem se isti ključ, koji se čuva u tajnosti, koristi i za šifriranje i za dešifriranje podataka;
  • asimetričan.

Osim toga, postoje vrlo učinkovite metode simetrična enkripcija je brza i pouzdana. Slične metode u Ruska Federacija postoji državni standard “Sustavi za obradu informacija. Kriptografska zaštita informacija. Algoritam kriptografske pretvorbe" - GOST 28147-89.

Asimetrične metode kriptografske zaštite informacija koriste dva ključa:

  1. Neklasificirano, koje se može objaviti zajedno s ostalim podacima o korisniku koji su javni. Ovaj ključ se koristi za šifriranje.
  2. Za dešifriranje se koristi tajna koja je poznata samo primatelju.

Od asimetričnih najviše poznata metoda kriptografska zaštita informacija je RSA metoda koja se temelji na operacijama s velikim (100-znamenkastim) prostim brojevima, kao i njihovim produktima.

Zahvaljujući korištenju kriptografskih metoda moguće je pouzdano kontrolirati cjelovitost pojedinačnih informacijskih podataka i njihovih skupova, jamčiti nemogućnost odbijanja poduzetih radnji, kao i utvrditi autentičnost izvora podataka.

Osnova kontrole kriptografskog integriteta su dva koncepta:

  1. Elektronički potpis.
  2. Hash funkcija.

Definicija 4

Raspršivačka funkcija je jednosmjerna funkcija ili transformacija podataka koju je teško poništiti, implementirana simetričnom enkripcijom ulančavanjem blokova. Rezultat enkripcije posljednjeg bloka, koji ovisi o svim prethodnima, rezultat je hash funkcije.

U komercijalnim djelatnostima kriptografska zaštita informacija postaje sve važnija. Kako bismo transformirali informacije, razne alate za šifriranje: alati za šifriranje dokumentacije (uključujući prijenosno izvođenje), alati za šifriranje telefonski razgovori i radiokomunikacije, kao i sredstva za šifriranje prijenosa podataka i telegrafskih poruka.

U svrhu zaštite poslovne tajne na domaćem i inozemnom tržištu, kompleti profesionalne opreme za šifriranje i tehnički uređaji kriptografska zaštita telefonskih i radio razgovora, te poslovne korespondencije.

Osim toga, maskeri i scrambleri, koji zamjenjuju govorni signal digitalnim prijenosom podataka, također su postali široko rasprostranjeni. Izrađuju se kriptografska sredstva za zaštitu faksova, teleksa i teletipova. U iste svrhe koriste se i kriptori koji se izrađuju u obliku dodataka uređajima, u obliku zasebnih uređaja, te u obliku uređaja koji se ugrađuju u dizajn faks modema, telefona i drugih komunikacijskih uređaja. . Elektronička digitalni potpisširoko se koristi za osiguranje pouzdanosti odaslanih elektroničkih poruka.

Kriptografska zaštita informacija u Ruskoj Federaciji rješava pitanje cjelovitosti dodavanjem određene kontrolne sume ili verifikacijske kombinacije kako bi se izračunala cjelovitost podataka. Model informacijske sigurnosti je kriptografski, odnosno ovisi o ključu. Prema procjenama informacijske sigurnosti, koje se temelje na kriptografiji, ovisnost vjerojatnosti čitanja podataka o tajnom ključu je najpouzdaniji alat i čak se koristi u državnim sustavima informacijske sigurnosti.

Kriptografija (od starogrčkog κρυπτος - skriven i γραϕω - pišem) je znanost o metodama za osiguranje povjerljivosti i autentičnosti informacija.

Kriptografija je skup metoda transformacije podataka čiji je cilj učiniti podatke beskorisnim napadaču. Takve transformacije omogućuju nam rješavanje dva glavna problema u vezi sa sigurnošću informacija:

  • zaštita privatnosti;
  • zaštita integriteta.

Problemi zaštite povjerljivosti i integriteta informacija usko su povezani, pa su metode za rješavanje jednog od njih često primjenjive i za rješavanje drugog.

Postoje različiti pristupi klasifikaciji metoda za kriptografsku transformaciju informacija. Na temelju vrste utjecaja na izvornu informaciju metode kriptografske transformacije informacija mogu se podijeliti u četiri skupine:

Pošiljatelj generira otvoreni tekst originalna poruka M, koji se mora poslati pravom primatelju preko nesigurnog kanala. Prisluškivač prati kanal s ciljem presretanja i otkrivanja poslane poruke. Kako biste spriječili presretača da sazna sadržaj poruke M, pošiljatelj ga šifrira pomoću reverzibilne transformacije Ek i prima šifrirani tekst (ili kriptogram) C=Ek(M), koji se šalje primatelju.

Legitimni primatelj prihvaćanjem šifriranog teksta S, dešifrira ga pomoću inverzne transformacije Dk(C) i prima izvornu poruku u otvorenom tekstu M.

Pretvorba Ek odabran je iz obitelji kriptografskih transformacija koje se nazivaju kriptoalgoritmi. Parametar po kojem se bira određena transformacija naziva se kriptografski ključ DO.

Kriptosustav ima različite mogućnosti implementacije: skup uputa, hardver, skup programa koji vam omogućuju šifriranje otvorenog teksta i dekriptiranje šifriranog teksta na različite načine, od kojih se jedan odabire pomoću određenog ključa DO.

Pretvorba šifriranja može biti simetričan I asimetričan u vezi s pretvorbom dešifriranja. Ovo važno svojstvo definira dvije klase kriptosustava:

  • simetrični (s jednim ključem) kriptosustavi;
  • asimetrični (s dva ključa) kriptosustavi (s javnim ključem).

Simetrična enkripcija

Simetrična enkripcija, koja se često naziva šifriranje tajnim ključem, prvenstveno se koristi za osiguranje povjerljivosti podataka. Kako bi se osigurala povjerljivost podataka, korisnici moraju zajednički odabrati jedan matematički algoritam koji će se koristiti za šifriranje i dekriptiranje podataka. Osim toga, trebaju odabrati zajednički (tajni) ključ koji će se koristiti s njihovim usvojenim algoritmom za šifriranje/dešifriranje, tj. isti ključ se koristi i za šifriranje i za dešifriranje (riječ "simetričan" znači isto za obje strane).

Primjer simetrične enkripcije prikazan je na sl. 2.2.

Danas naširoko korišteni algoritmi šifriranja uključuju Standard šifriranja podataka (DES), 3DES (ili "trostruki DES") i Međunarodni algoritam šifriranja podataka (IDEA). Ovi algoritmi šifriraju poruke u 64-bitnim blokovima. Ako je poruka veća od 64 bita (kao što obično jest), trebate je razbiti u blokove od po 64 bita i zatim ih nekako kombinirati. Takvo se spajanje obično događa pomoću jedne od sljedeće četiri metode:

  • elektronički šifrarnik (Electronic Code Book, ECB);
  • lanci šifriranih blokova (Cipher Block Changing, CBC);
  • x-bitno šifrirano Povratne informacije(Cipher Feedback, CFB-x);
  • izlazna povratna informacija (Output FeedBack, OFB).

Trostruki DES (3DES)– simetrična blok šifra stvorena na temelju DES algoritma kako bi se uklonio glavni nedostatak potonjeg - mala duljina ključa (56 bita), koji se može probiti grubom silom. Brzina 3DES-a je 3 puta manja od DES-a, ali je kriptografska snaga mnogo veća. Vrijeme potrebno za kriptoanalizu 3DES-a može biti mnogo duže od vremena potrebnog za razbijanje DES-a.

Algoritam AES(Advanced Encryption Standard), poznat i kao Rijndael - algoritam simetrične blokovne enkripcije - šifrira poruke u blokovima od 128 bita, koristeći ključ od 128/192/256 bita.

Enkripcija s tajnim ključem često se koristi za održavanje povjerljivosti podataka i provodi se vrlo učinkovito korištenjem nepromjenjivog firmvera. Ova se metoda može koristiti za provjeru autentičnosti i održavanje integriteta podataka.

Sljedeći problemi povezani su s metodom simetrične enkripcije:

  • potrebno je često mijenjati tajne ključeve jer uvijek postoji rizik od njihovog slučajnog otkrivanja (kompromitiranja);
  • Prilično je teško osigurati sigurnost tajnih ključeva tijekom njihovog generiranja, distribucije i pohrane.

1.1. Ova Pravila za primjenu kriptografskih alata za zaštitu informacija ( dalje - Politika ) utvrđuje postupak organiziranja i osiguranja funkcioniranja enkripcije ( kriptografski) sredstva namijenjena zaštiti podataka koji ne sadrže podatke koji predstavljaju državnu tajnu ( dalje - CIPF, kripto-sredstva ) u slučaju njihove uporabe za osiguranje sigurnosti povjerljivih informacija i osobnih podataka tijekom njihove obrade informacijski sustavi.

1.2. Ova Politika je razvijena u skladu sa:

  • Savezni zakon "O osobnim podacima" , propisi Vlade Ruske Federacije u području osiguranja sigurnosti osobnih podataka;
  • Savezni zakon broj 63-FZ "O elektroničkom potpisu" ;
  • Naredba FSB-a Ruske Federacije br. 378 „O odobrenju sastava i sadržaja organizacijskih i tehničkih mjera za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka korištenjem kriptografskih alata za zaštitu informacija potrebnih za ispunjavanje zahtjeva koje je utvrdila Vlada Ruske Federacije za zaštitu osobni podaci za svaku razinu sigurnosti";
  • FAPSI Naredba br. 152 “ O davanju suglasnosti na Uputu o organizaciji i osiguranju sigurnosti pohrane, obrade i prijenosa komunikacijskim kanalima sredstvima kriptografske zaštite podataka s ograničenim pristupom koji ne sadrže podatke koji predstavljaju državnu tajnu»;
  • Naredba FSB-a Ruske Federacije N 66 " O davanju suglasnosti na Pravilnik o razvoju, proizvodnji, prodaji i djelovanju enkripcijskih (kriptografskih) sredstava informacijske sigurnosti (Pravilnik PKZ-2005) »;

1.3. Ova se Politika odnosi na kripto alate osmišljene za osiguranje sigurnosti povjerljivih informacija i osobnih podataka kada se obrađuju u informacijskim sustavima;

1.4. Kriptografska sredstva zaštita informacija ( dalje - CIPF ), za zaštitu se koriste funkcije šifriranja i elektroničkog potpisa elektronički dokumenti prenosi putem javnih komunikacijskih kanala, na primjer, javnog interneta, ili putem dial-up komunikacijskih kanala.

1.5. Za osiguranje sigurnosti potrebno je koristiti CIPF koji:

  • dopustiti ugradnju u tehnološki procesi obradu elektroničkih poruka, osigurati interakciju s aplikacijskim softverom na razini obrade zahtjeva za kriptografske transformacije i izdavanje rezultata;
  • isporučuju programeri s punim skupom operativne dokumentacije, uključujući opis ključnog sustava, pravila za rad s njim, kao i opravdanje za potrebnu organizacijsku i kadrovsku podršku;
  • podržavati kontinuitet procesa evidentiranja rada CIPF-a i osiguravanje integriteta softver za radnu okolinu CIPF-a, koja je skup tehničkih i softver, zajedno s kojima se odvija normalno funkcioniranje CIPF-a i koji mogu utjecati na ispunjavanje zahtjeva za CIPF;
  • ovjereni od strane ovlaštenog državnog tijela ili imaju dopuštenje FSB-a Rusije.

1.6. CIPF koji se koristi za zaštitu osobnih podataka mora imati klasu najmanje KS2.

1.7. CIPF se provodi na temelju algoritama koji su u skladu s nacionalnim standardima Ruske Federacije i uvjetima ugovora s drugom ugovornom stranom.

1.8. CIPF, licence, popratne ključne dokumente, upute za CIPF organizacija kupuje samostalno ili ih može dobiti od treće strane koja inicira siguran protok dokumenata.

1.9. CIPF, uključujući instalacijske medije, ključne dokumente, opise i upute za CIPF, predstavljaju poslovnu tajnu sukladno Pravilniku o povjerljivosti podataka.

  1. Procedura za korištenje CIPF-a

2.1. Instalacija i konfiguracija alata za kriptografsku zaštitu informacija provodi se u skladu s operativnom dokumentacijom, uputama FSB-a Rusije i drugih organizacija koje sudjeluju u sigurnom elektroničkom protoku dokumenata. Po završetku instalacije i konfiguracije provjerava se spremnost CIPF-a za uporabu, donose se zaključci o mogućnosti njihovog rada i CIPF se stavlja u rad.

Postavljanjem i ugradnjom CIPF-a, kao i druge opreme koja radi s kriptoimovinom, u sigurnim prostorima treba smanjiti mogućnost nekontroliranog pristupa neovlaštenih osoba tim sredstvima. Održavanje takve opreme i promjena kripto ključeva provodi se u odsutnosti osoba koje nisu ovlaštene za rad s podacima CIPF-a. Potrebno je osigurati organizacijske i tehničke mjere za isključivanje mogućnosti korištenja CIPF-a od strane neovlaštenih osoba. Fizički smještaj HZJF-a mora osigurati sigurnost HZJF-a i spriječiti neovlašteni pristup HZJF-u. Pristup osoba u prostorije u kojima se nalazi zaštitna oprema ograničen je u skladu sa službenim potrebama, a utvrđuje se popisom koji odobrava ravnatelj.

Ugradnja kripto fondova klase KS1 i KS2 provodi se bez kontrole FSB-a Rusije ( ako ta kontrola nije predviđena projektnim zadatkom za razvoj (modernizaciju) informacijskog sustava).

Ugradnja kriptovaluta klase KS3, KB1, KB2 i KA1 provodi se samo pod kontrolom FSB-a Rusije.

Ugradnju kripto-alata klase KS1, KS2 ili KS3 može izvršiti ili sam korisnik kripto-alata ako ima odgovarajuću licencu FSB-a Rusije ili organizacija koja ima odgovarajuću licencu FSB-a. Rusije.

Ugradnju kriptovaluta klase KV1, KV2 ili KA1 provodi organizacija koja ima odgovarajuću dozvolu FSB-a Rusije.

Deaktiviranje CIPF-a provodi se podložno postupcima koji osiguravaju zajamčeno brisanje informacija, neovlaštena uporaba koji mogu uzrokovati štetu poslovnim aktivnostima organizacije, te informacije koje koriste alati za informacijsku sigurnost iz trajne memorije i s vanjskih medija ( s izuzetkom arhiva elektroničkih dokumenata i protokola elektronička interakcija, čije je održavanje i očuvanje određeno razdoblje predviđeno relevantnim regulatornim i (ili) ugovornim dokumentima) i formaliziran je Zakonom. CIPF je uništen ( riješiti se) po odluci vlasnika kriptofonda, a uz obavijest odgovorne organizacije u skladu s organizacijom kopirnog računovodstva kriptofondova.

Predodređen za uništenje ( recikliranje) CIPF podliježu uklanjanju s hardvera s kojim su funkcionirali. U tom slučaju kripto-alati se smatraju uklonjenima iz hardvera ako je provedena procedura uklanjanja softvera kripto-alata, predviđena operativno-tehničkom dokumentacijom za CIPF, te su potpuno isključeni iz hardvera.

Hardverske komponente opće namjene i dijelovi prikladni za daljnju uporabu, koji nisu posebno dizajnirani za hardversku implementaciju kriptografskih algoritama ili drugih CIPF funkcija, kao i oprema koja radi zajedno s kripto-alatima ( monitori, pisači, skeneri, tipkovnice itd.), mogu se koristiti nakon uništenja CIPF-a bez ograničenja. U tom slučaju informacije koje mogu ostati u memorijskim uređajima opreme ( na primjer, u pisačima, skenerima), moraju se sigurno ukloniti ( izbrisani).

2.2. Rad CIPF-a provode osobe koje imenuje direktor organizacije i koje su osposobljene za rad s njima. Ako postoje dva ili više korisnika CIPF-a, odgovornosti se raspoređuju između njih uzimajući u obzir osobnu odgovornost za sigurnost kripto fondova, ključnih, operativnih i tehnička dokumentacija, kao i za dodijeljena područja rada.

Korisnici kripto fondova dužni su:

  • ne otkrivaju podatke za koje su ovlašteni, uključujući podatke o CIPF-u i drugim mjerama zaštite;
  • ne otkrivaju informacije o ključnim dokumentima;
  • ne dopuštaju izradu kopija ključnih dokumenata;
  • spriječiti prikazivanje ključnih dokumenata ( monitor) osobno računalo ili pisač;
  • nemojte dopustiti snimanje stranih informacija na ključni medij;
  • ne dopustiti instalaciju ključnih dokumenata na druga osobna računala;
  • udovoljavati zahtjevima za osiguranje sigurnosti informacija, zahtjevima za osiguranje sigurnosti CIPF-a i njegovih ključnih dokumenata;
  • izvješćuju o pokušajima neovlaštenih osoba za koje su saznali da dođu do podataka o korištenom CIPF-u ili za njih ključnim dokumentima;
  • odmah obavijestiti o činjenicama gubitka ili manjka CIPF-a, ključnih dokumenata za njih, ključeva prostorija, skladišta, osobnih pečata i drugih činjenica koje mogu dovesti do otkrivanja zaštićenih podataka;
  • podnijeti CIPF, operativnu i tehničku dokumentaciju za njih, ključne dokumente pri razrješenju ili razrješenju s dužnosti u vezi s korištenjem kriptovaluta.

Sigurnost obrade informacija pomoću CIPF-a osiguravaju:

  • poštivanje povjerljivosti od strane korisnika pri rukovanju informacijama koje su im povjerene ili su postale poznate njihovim radom, uključujući podatke o funkcioniranju i postupku za osiguranje sigurnosti korištenog CIPF-a i ključnih dokumenata za njih;
  • točna usklađenost korisnika CIPF-a sa zahtjevima za sigurnost informacija;
  • pouzdano skladištenje operativne i tehničke dokumentacije za CIPF, ključnih dokumenata, medija ograničene distribucije;
  • pravodobno otkrivanje pokušaja neovlaštenih osoba da dođu do podataka o zaštićenim podacima, o korištenom CIPF-u ili njima ključnim dokumentima;
  • hitno poduzimanje mjera za sprječavanje otkrivanja zaštićenih informacija, kao i njihovo moguće curenje u slučaju otkrivanja činjenica gubitka ili nedostatka CIPF-a, ključnih dokumenata za njih, potvrda, propusnica, ključeva prostorija, skladišta, sefova ( metalni ormari), osobni pečati itd.

Po potrebi transfer do tehnička sredstva komunikaciju servisnih poruka s ograničenim pristupom koje se odnose na organizaciju i rad CIPF-a, te se poruke moraju prenositi samo kripto-sredstvima. Prijenos kriptoključeva tehničkim komunikacijskim sredstvima nije dopušten, osim posebno organiziranih sustava s decentraliziranom opskrbom kriptoključevima.

CIPF podliježu računovodstvu korištenjem indeksa ili konvencionalnih naziva i registarskih brojeva. Popis indeksa, kodnih naziva i registarskih brojeva kripto-imovine utvrđuje Federalna služba sigurnosti Ruske Federacije.

CIPF koristi ili pohranjuje, pogonska i tehnička dokumentacija za njih, ključni dokumenti podliježu pojedinačnom evidentiranju. Obrazac Dnevnika CIPF-a nalazi se u Prilogu br. 1, Dnevnik ključni mediji u Dodatku broj 2 ove Politike. U ovom slučaju, softverski kriptografski sustavi zaštite informacija moraju se uzeti u obzir zajedno s hardverom s kojim se provodi njihov normalan rad. Ako je hardverski ili hardversko-softverski CIPF spojen na sistemsku sabirnicu ili na jedno od internih hardverskih sučelja, tada se takve kripto-mjere također uzimaju u obzir zajedno s odgovarajućim hardverom.

Jedinicom obračuna ključnih dokumenata po kopijama smatra se višekratni ključni medij, ključna bilježnica. Ako se isti medij ključa više puta koristi za snimanje kripto ključeva, tada ga treba svaki put zasebno registrirati.

Sve zaprimljene kopije kripto-sredstava, pogonska i tehnička dokumentacija za njih, ključni dokumenti moraju se uz potvrdu o primitku izdati u odgovarajući registar po primjerak korisnicima kripto-imovina koji su osobno odgovorni za njihovu sigurnost.

Prijenos CIPF-a, operativne i tehničke dokumentacije za njih te ključnih dokumenata dopušten je samo između korisnika kripto-imovine i (ili) odgovornog korisnika kripto-imovine uz potvrdu u odgovarajućim dnevnikima za pojedinačno računovodstvo. Takav prijenos između korisnika kripto sredstava mora biti autoriziran.

Pohrana CIPF instalacijskih medija, operativne i tehničke dokumentacije, ključnih dokumenata vrši se u ormarima ( kutije, spremište) za individualnu uporabu pod uvjetima koji isključuju nekontrolirani pristup njima, kao i njihovo nenamjerno uništavanje.

Hardver s kojim CIPF normalno radi, kao i hardver i hardversko-softverski CIPF moraju biti opremljeni sredstvima za kontrolu njihovog otvaranja ( zapečaćen, zapečaćen). Mjesto pečaćenja ( brtvljenje) kriptovalute, hardver mora biti takav da se može vizualno pratiti. Ukoliko je tehnički moguće, za vrijeme odsutnosti korisnika kripto fondova, ta sredstva moraju biti isključena iz komunikacijske linije i smještena u zapečaćeno skladište.

Promjene programske i tehničke dokumentacije CIPF-a provode se na temelju zaprimljenih od proizvođača CIPF-a i dokumentiranih ažuriranja uz evidentiranje kontrolnih zbrojeva.

Rad CIPF-a podrazumijeva održavanje najmanje dvije sigurnosne kopije softvera i jedne sigurnosna kopija ključni mediji. Vraćanje funkcionalnosti CIPF-a u izvanrednim situacijama provodi se u skladu s operativnom dokumentacijom.

2.3. Izradu ključnih dokumenata iz početnih ključnih informacija provode odgovorni korisnici CIPF-a, koristeći standardne kripto-alate, ako je takva mogućnost predviđena operativnom i tehničkom dokumentacijom uz prisutnost licence FSB-a Rusije za izrada ključnih dokumenata za kripto-alate.

Ključne dokumente moguće je dostaviti kurirom ( uključujući odjelske) komunikaciji ili s posebno određenim odgovornim korisnicima kripto fondova i zaposlenicima, podložno mjerama sprječavanja nekontroliranog pristupa ključnim dokumentima tijekom dostave.

Za slanje ključnih dokumenata, oni moraju biti smješteni u trajno pakiranje koje onemogućuje da budu fizičko oštećenje i vanjski utjecaj. Na pakiranju je naznačen odgovorni korisnik kojem je pakiranje namijenjeno. Takvi paketi imaju oznaku "Osobno". Paketi su zapečaćeni na način da je iz njih nemoguće izvaditi sadržaj bez razbijanja pakovanja i plombi.

Prije prve deportacije ( ili povratak) primatelj se posebnim pismom obavještava o opisu paketa koji mu se šalju i pečatima kojima se mogu zapečatiti.

Za slanje ključnih dokumenata izrađuje se popratno pismo u kojem mora biti naznačeno: što se šalje iu kojoj količini, evidencioni brojevi dokumenata, te po potrebi svrha i postupak korištenja predmeta koji se šalje. Popratno pismo nalazi se u jednom od paketa.

Primljene pakete otvara samo odgovorni korisnik kripto sredstava kojima su namijenjeni. Ukoliko sadržaj primljenog paketa ne odgovara onome što je navedeno u popratnom pismu ili samo pakiranje i pečat ne odgovaraju njihovom opisu ( otisak), a također ako je pakiranje oštećeno, zbog čega je slobodan pristup sadržaju, tada primatelj sastavlja zapisnik koji se šalje pošiljatelju. Ključne dokumente primljene s takvim pošiljkama nije dopušteno koristiti dok se ne prime upute od pošiljatelja.

Ako se otkriju neispravni dokumenti ključa ili kripto ključevi, jedan primjerak neispravnog proizvoda treba vratiti proizvođaču kako bi se utvrdili uzroci incidenta i uklonili ih u budućnosti, a preostale kopije treba pohraniti do dobivanja dodatnih uputa od strane proizvođač.

Primitak ključnih dokumenata mora biti potvrđen pošiljatelju na način naveden u popratnom pismu. Pošiljatelj je dužan kontrolirati dostavu svojih pošiljaka primateljima. Ako odgovarajuća potvrda nije primljena od primatelja na vrijeme, pošiljatelj mu mora poslati zahtjev i poduzeti mjere za razjašnjenje lokacije predmeta.

Nalog za izradu sljedećih ključnih dokumenata, njihovu izradu i distribuciju na mjesta korištenja za pravovremenu zamjenu postojećih ključnih dokumenata vrši se unaprijed. Uputu za stavljanje na snagu sljedećih ključnih dokumenata odgovorni korisnik kripto sredstava daje tek nakon što od njega dobije potvrdu da su sljedeći ključni dokumenti zaprimljeni.

Neiskorišteni ili deaktivirani ključni dokumenti moraju se vratiti odgovornom korisniku kripto sredstava ili se, po njegovom nalogu, moraju uništiti na licu mjesta.

Uništavanje kripto ključeva ( početne ključne informacije) može se izvršiti fizičkim uništavanjem ključnih medija na kojima se nalaze ili brisanjem ( uništenje) kripto ključevi ( početne ključne informacije) bez oštećenja ključnih medija ( kako bi se osigurala njegova ponovna uporaba).

Kriptoključevi ( početne ključne informacije) peru se tehnologijom usvojenom za odgovarajuće ključne medije za višekratnu upotrebu ( diskete, kompaktni diskovi (CD-ROM), podatkovni ključ, pametna kartica, memorija na dodir itd.). Izravne akcije za brisanje kripto ključeva ( početne ključne informacije), kao i moguća ograničenja daljnje uporabe odgovarajućeg medija ključa za višekratnu upotrebu regulirani su operativno-tehničkom dokumentacijom za odgovarajući CIPF, kao i uputama organizacije koja je snimila kripto ključeve ( početne ključne informacije).

Ključni mediji se uništavaju nanošenjem nepopravljivih fizičkih oštećenja, isključujući mogućnost njihove uporabe, kao i vraćanjem ključnih informacija. Izravne radnje uništavanja određene vrste ključnog medija regulirane su operativno-tehničkom dokumentacijom za odgovarajući CIPF, kao i uputama organizacije koja je snimila kripto ključeve ( početne ključne informacije).

Papir i drugi zapaljivi ključni mediji uništavaju se spaljivanjem ili uporabom bilo kojeg stroja za rezanje papira.

Ključni dokumenti uništavaju se u rokovima navedenim u operativnoj i tehničkoj dokumentaciji za odgovarajući CIPF. Činjenica uništenja bilježi se u odgovarajućim kopijnim dnevnicima.

Uništavanje prema aktu provodi povjerenstvo koje se sastoji od najmanje dvije osobe. U aktu je navedeno što se uništava iu kojoj količini. Na kraju akta sastavlja se završni zapisnik (brojkama i slovima) o broju predmeta i primjeraka ključnih dokumenata koji se uništavaju, ugradnji CIPF medija, operativno-tehničke dokumentacije. Ispravci u tekstu akta moraju biti suglasni i svojim potpisima ovjereni svim članovima povjerenstva koji su sudjelovali u uništavanju. O izvršenom uništavanju vode se bilješke u odgovarajućim dnevnikima za pojedinačnu evidenciju.

Kriptoključeve za koje se sumnja da su kompromitirani, kao i druge kripto ključeve koji rade u sprezi s njima, potrebno je odmah staviti van pogona, osim ako u operativnoj i tehničkoj dokumentaciji HZJF-a nije određen drugačiji postupak. U hitnim slučajevima, kada nema kripto ključeva za zamjenu kompromitiranih, dopušteno je, odlukom odgovornog korisnika kripto sredstava, dogovorenoj s operaterom, koristiti kompromitirane kripto ključeve. U tom slučaju, razdoblje korištenja kompromitiranih kripto ključeva treba biti što kraće, a zaštićeni podaci trebaju biti što vrijedniji.

O kršenjima koja mogu dovesti do ugrožavanja kriptoključeva, njihovih komponenti ili prenesenih ( pohranjeno) o svom korištenju podataka korisnici kripto sredstava dužni su obavijestiti odgovornog korisnika kripto sredstava.

Sumnjom na kompromitaciju kripto ključeva ne smije se smatrati provjera medija ključeva za višekratnu upotrebu od strane neovlaštenih osoba, ako se time isključuje mogućnost njihovog kopiranja ( čitanje, reprodukcija).

U slučaju manjka, nedokazivanja ključnih dokumenata, kao i nejasnoće gdje se oni nalaze, odgovorni korisnik poduzima hitne mjere za njihov pronalazak i lokaliziranje posljedica kompromitiranja ključnih dokumenata.

  1. Postupak upravljanja ključnim sustavom

Registracija osoba s pravom upravljanja ključevima provodi se u skladu s operativnom dokumentacijom za HZJF.

Upravljanje ključem – informacijski proces, koji uključuje tri elementa:

— generiranje ključeva;

— gomilanje ključeva;

— distribucija ključeva.

Organizacijski informacijski sustavi koriste posebne hardverske i softverske metode za generiranje slučajnih ključeva. U pravilu se koriste pseudo senzori slučajni brojevi (dalje - PSCH ), s prilično visokim stupnjem slučajnosti u njihovom generiranju. Softverski generatori ključeva koji izračunavaju PFR kao složenu funkciju trenutnog vremena i ( ili) broj koji je unio korisnik.

Akumulacija ključeva odnosi se na organizaciju njihovog skladištenja, računovodstva i uklanjanja.

Privatni ključevi ne smiju biti eksplicitno zapisani na mediju koji se može čitati ili kopirati.

Sve informacije o korištenim ključevima moraju biti pohranjene u šifriranom obliku. Ključevi koji šifriraju informacije o ključu nazivaju se glavni ključevi. Svaki korisnik mora znati glavne ključeve napamet; njihovo pohranjivanje na materijalne medije je zabranjeno.

Za osiguranje informacijske sigurnosti potrebno je povremeno ažurirati ključne informacije u informacijskim sustavima. U ovom slučaju, i obični ključevi i glavni ključevi se ponovno dodjeljuju.

Prilikom distribucije ključeva moraju se ispuniti sljedeći zahtjevi:

— učinkovitost i točnost distribucije;

— tajnost distribuiranih ključeva.

Alternativa je da dva korisnika dobiju zajednički ključ od središnjeg tijela, Centra za distribuciju ključeva (KDC), preko kojeg mogu sigurno komunicirati. Za organiziranje razmjene podataka između CRC-a i korisnika, potonjem se tijekom registracije dodjeljuje poseban ključ koji šifrira poruke koje se međusobno prenose. Svakom korisniku dodjeljuje se zasebni ključ.

UPRAVLJANJE KLJUČEVIMA TEMELJENO NA SUSTAVIMA JAVNIH KLJUČEVA

Prije korištenja kriptosustava s javnim ključem za razmjenu uobičajenih privatnih ključeva, korisnici moraju razmijeniti svoje javne ključeve.

Javnim ključevima može se upravljati putem mrežne ili izvanmrežne imeničke usluge, a korisnici također mogu izravno razmjenjivati ​​ključeve.

  1. Praćenje i kontrola korištenja CIPF-a

Kako bi se povećala razina sigurnosti pri radu CIPF-a, potrebno je implementirati postupke praćenja u sustav koji bilježe sve značajne događaje koji su se dogodili tijekom razmjene elektroničkih poruka i sve informacijsko sigurnosne incidente. Opis i popis ovih postupaka mora biti utvrđen u operativnoj dokumentaciji za CIPF.

Nadzor nad korištenjem kriptografske zaštite informacija osigurava:

  • praćenje usklađenosti postavljanja i konfiguracije alata za informacijsku sigurnost, kao i hardvera i softvera koji mogu utjecati na ispunjavanje zahtjeva za alate za informacijsku sigurnost, regulatorne i tehničke dokumentacije;
  • praćenje usklađenosti s pravilima za pohranu informacija s ograničenim pristupom koji se koriste u radu alata za informacijsku sigurnost ( posebice ključ, lozinka i podaci za provjeru autentičnosti);
  • kontrola mogućnosti pristupa neovlaštenih osoba sredstvima informacijske sigurnosti, te hardveru i programskoj opremi koji mogu utjecati na ispunjavanje zahtjeva za informacijska sigurnosna sredstva;
  • praćenje poštivanja pravila za reagiranje na informacijske incidente ( o činjenicama gubitka, ugroženosti ključa, lozinke i podataka za provjeru autentičnosti, kao i bilo koje druge informacije s ograničenim pristupom);
  • kontrola usklađenosti hardverskih i programskih alata HZJF-a i dokumentacije za te alate s referentnim uzorcima ( jamstva dobavljača ili kontrolnih mehanizama koji vam omogućuju neovisno utvrđivanje takve usklađenosti);
  • praćenje integriteta hardvera i softvera CIPF-a i dokumentacije za ove alate tijekom skladištenja i puštanja u rad ovih alata ( korištenjem oba mehanizma kontrole opisanih u dokumentaciji za CIPF, i korištenjem organizacijskih).

Preuzmi ZIP datoteku (43052)

Ako su dokumenti bili korisni, lajkajte ih:



reci prijateljima
Cvrkut
Samsung igra...
Sljedeći članak
Pročitajte također
Najbolji glazbeni playeri za Android
Najbolji glazbeni playeri za Android
2024-03-13 00:03:49
Što je hub, switch i router?
Što je hub, switch i router?
2024-03-12 00:04:38
Json dekodiranje kratica
Json dekodiranje kratica
2024-03-11 00:04:21
jQuery galerija slika sa zanimljivim efektom
jQuery galerija slika sa zanimljivim efektom
2024-03-09 00:04:15