Требования к криптосистемам

12.

В настоящее время в зависимости от типа ОИ и его структуры для обеспечения ЗИ от НСД могут применяться следующие классы средств защиты: 1. Средства аппаратной идентификации; 2. Средства антивирусной защиты; 3. Средства обнаружения вторжений; 4. Межсетевые экраны; 5. Программные и программно-аппаратные СЗИ от НСД; 6. Средства шифрованы

 

Основную же роль в обеспечении безопасности на ОИ играет СЗИ от НСД. В данный момент на рынке средств защиты предлагается обширный выбор СЗИ от НСД, основными из которых являются: 1. Аккорд; 2. Страж; 3. Secret net; 4. Dallas lock

Каждое из приведенных выше средств отличается своими особенностями в работе. В связи с тем, что все эти средства имеют действующие сертификаты соответствия ФСТЭК России по защите информации на АС ОИ до класса 1Б включительно,

Согласно Руководящему документу "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" СЗИ от НСД должно обеспечивать безопасность информации следующими четырьмя основными подсистемами: 1. Подсистема идентификации и аутентификации; 2. Подсистема регистрации и учета; 3. Подсистема криптографической защиты; 6 4. Подсистемами обеспечения целостности

 

13. К риптографические методы защиты информации - это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ.

Современная криптография включает в себя четыре крупных раздела:

1. Симметричные криптосистемы. В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. (Шифрование - преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом, дешифрование - обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный);

2. Криптосистемы с открытым ключом. В системах с открытым ключом используются два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.(Ключ - информация, необходимая для беспрепятственного шифрования и дешифрования текстов.);

3. Электронная подпись. Системой электронной подписи. называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

4. Управление ключами. Это процесс системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.

О сновные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Требования к криптосистемам

П роцесс криптографического закрытия данных может осуществляться как программно, так и аппаратно. Аппаратная реализация отличается существенно большей стоимостью, однако ей присущи и преимущества: высокая производительность, простота, защищенность и т.д. Программная реализация более практична, допускает известную гибкость в использовании. Для современных криптографических систем защиты информации сформулированы следующие общепринятые требования:

• зашифрованное сообщение должно поддаваться чтению только при наличии ключа;
• число операций, необходимых для определения использованного ключа шифрования по фрагменту шифрованного сообщения и соответствующего ему открытого текста, должно быть не меньше общего числа возможных ключей;
• число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров (с учетом возможности использования сетевых вычислений);
• знание алгоритма шифрования не должно влиять на надежность защиты;
• незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения даже при использовании одного и того же ключа;
• структурные элементы алгоритма шифрования должны быть неизменными;
• дополнительные биты, вводимые в сообщение в процессе шифрования, должен быть полностью и надежно скрыты в шифрованном тексте;
• длина шифрованного текста должна быть равной длине исходного текста;
• не должно быть простых и легко устанавливаемых зависимостью между ключами, последовательно используемыми в процессе шифрования;
• любой ключ из множества возможных должен обеспечивать надежную защиту информации;
• алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования.

14. СФЗ - система физической защиты, представляет собой совокупность правовых норм, организационных мер и инженерно-технических решений, направленных на защиту жизненно-важных интересов и ресурсов предприятия (объекта) от угроз, источниками которых являются злоумышленные (несанкционированные) физические воздействия физических лиц - нарушителей (террористов, преступников, экстремистов и т.д.) [3].

 

7. Система физической защиты должна выполнять следующие задачи:
предупреждение несанкционированных действий;
своевременное обнаружение несанкционированных действий;
задержка (замедление) проникновения (продвижения) нарушителя;
реагирование на несанкционированные действия и нейтрализацию нарушителей для пресечения несанкционированных действий.

 

 

15.

 

2 НАЗНАЧЕНИЕ, ЦЕЛИ И ЗАДАЧИ СОЗДАНИЯ СЗПДн 3

3 ХАРАКТЕРИСТИКА ОБЪЕКТА ИНФОРМАТИЗАЦИИ

5 ТРЕБОВАНИЯ К СЗПДн 9

6 ТРЕБОВАНИЯ К ОРГАНИЗАЦИОННОМУ ОБЕСПЕЧЕНИЮ ПРИ ОКАЗАНИИ УСЛУГ 16

6 ГАРАНТИЙНЫЕ ОБЯЗАТЕЛЬСТВА 16

8 ТРЕБОВАНИЯ К ЛИЦЕНЗИРОВАНИЮ ИСПОЛНИТЕЛЯ 16

7 ТРЕБОВАНИЯ К КАЧЕСТВУ УСЛУГ 17

8 ИСТОЧНИКИ РАЗРАБОТКИ 17

9 ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ КОНФИДЕНЦИАЛЬНОСТИ ПРИ ОКАЗАНИИ УСЛУГ 19

 

16. Задание – что хотят видеть, что можно сделать – проект.

17. Для организации и обеспечения эффективного функционирования комплексной системы компьютерной безопасности должны быть разработаны следующие группы организационно-распорядительных документов:

· документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в АС (план защиты информации в АС, план обеспечения непрерывной работы и восстановления информации);

· документы, определяющие ответственность взаимодействующих организаций (субъектов) при обмене электронными документами (договор об организации обмена электронными документами).

Вкт ввода в эксплотацию, политика безопасности, технический проект ОИ, схема информационных потоков, перечень защищаемой информации, должностные инструкции персонала, журнал учета машинных носителей, паспорта всех технических средств АРМ, сертификаты соответствия, аттестация помещения.

18. Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывш. Гостехкомиссия России). Для начала дадим определение объекта информатизации.

Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.

Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объекте информатизации.

Аттестация является обязательной в следующих случаях:

государственная тайна;

при защите государственного информационного ресурса;

управление экологически опасными объектами;

ведение секретных переговоров.

Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится:

защита от НСД, в том числе компьютерных вирусов;

 

защита от утечки через ПЭМИН;

защита от утечки или воздействия информацию за счет специальных устройств, встроенных в объект информатизации.

Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает:
1. Подача заявки на аттестацию объекта информатизации.
Заявитель для получения аттестата соответствия направляет в управление ФСТЭК России по федеральному округу (далее - Управление) заявку на проведение аттестации объекта информатизации с необходимыми исходными данными по установленной форме (приложение № 1).
2. Рассмотрение заявки на аттестацию, принятие решения на ее проведение, доведение решения до заявителя и органа по аттестации объектов информатизации.
2.1. По результатам рассмотрения заявки Управлением, организации-заявителю в 3-дневный срок направляется перечень органов по аттестации объектов информатизации, аккредитованных ФСТЭК России в Системе сертификации средств защиты информации № РОСС RU.0001.01БИ00, размещенный также на официальном Web-сайте ФСТЭК России по адресу: www.fstec.ru.
2.2. Руководитель Управления принимает решение по определению органа по аттестации объекта информатизации на основании выбора, сделанного Заявителем, исходя из полученного перечня. Принятое решение доводится до органа по аттестации объектов информатизации предписанием и до заявителя уведомлением.
2.3. Управление учитывает информацию:
- об органе по аттестации, который определен организацией-заявителем;
- о сроках проведения работ на объектах информатизации.

3. Разработка программы и методики аттестационных испытаний.
3.1. Программа аттестационных испытаний, согласованная с организацией-заявителем, должна содержать:
перечень работ, их продолжительность, методики испытаний, перечни используемой контрольной и контрольно-измерительной аппаратуры, а также средств тестирования на аттестуемом объекте информатизации (с учетом различных видов объектов информатизации и действующих нормативных и методических документов);
мероприятия по контролю состояния защищенности информации в процессе эксплуатации объекта информатизации;
мероприятия по контролю неизменности условий эксплуатации объекта информатизации;
работы в испытательных лабораториях по сертификации средств (систем) защиты информации по требованиям безопасности информации (в случае если на аттестуемом объекте информатизации используются несертифицированные средства (системы) защиты информации). Такие работы в отдельных случаях могут проводиться непосредственно на аттестуемом объекте информатизации;
состав аттестационной комиссии.
3.2. До начала работ по аттестации объектов информатизации Управлением согласовываются программа и методика аттестационных испытаний объектов информатизации 1-й категории и собственных объектов информатизации вне зависимости от категории (в случае если организация-заявитель аккредитована в качестве органа по аттестации).

4. Заключение договора на проведение аттестации объектов информатизации.
Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.

Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.

5. Проведение аттестационных испытаний объекта информатизации, оформление материалов аттестационных испытаний.
5.1. Порядок проведения аттестационных испытаний объектов информатизации определен требованиями Положения по аттестации объектов информатизации по требованиям безопасности информации и Специальными требованиями и рекомендациями по защите информации, содержащей сведения, составляющие государственную тайну, от ее утечки по техническим каналам.
5.2. Заключение по результатам аттестации объекта информатизации, материалы аттестационных испытаний с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи аттестата соответствия и необходимыми рекомендациями подписывается членами аттестационной комиссии. Для объектов информатизации, которые указаны в п. 3.2, данные материалы представляются органом по аттестации в Управление для согласования.

6. Оформление, регистрация и выдача аттестата соответствия.
Оформление, регистрация и выдача аттестата соответствия производится органом по аттестации.
Ведение реестра аттестованных объектов информатизации на территории федерального округа осуществляется Управлением с целью ведения информационной базы аттестованных объектов информатизации и планирования мероприятий по контролю и надзору.
Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на 3 года.
Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом Управление и орган по аттестации, проводивший аттестацию объекта информатизации.

7. Осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации.

 

19. фыв

АТТЕСТАЦИОННЫЕ ИСПЫТАНИЯ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ОБЪЕКТОВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ ВКЛЮЧАЮТ В СЕБЯ:

Анализ полноты и достаточности представленных Заказчиком исходных данных, проверка состава технических средств, контролируемой зоны, проверка обоснованности категорирования, классификации, экспертный анализ выполнения требований к ОТСС, размещению ВТСС в соответствии с «СТР».

Анализ организационной структуры объекта, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации.

Проверка наличия заключений по специальной проверке ОТСС на отсутствие специальных электронных устройств перехвата информации.

Контрольные испытания объекта вычислительной техники в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах процесса обработки защищаемой информации, объектовые контрольные исследования ОТСС на соответствие требованиям по защите информации от утечки по каналам ПЭМИН.

Контрольные испытания автоматизированной системы на соответствие требованиям по защите информации от несанкционированного доступа в соответствии с определенным классом защищенности от НСД.

Проверка эффективности применяемых на объектах средств и систем защиты информации.

Определение необходимости применения дополнительных технических средств защиты информации.

Выдача рекомендаций по устранению выявленных недостатков и применению необходимых технических средств защиты (при необходимости).

Оформление протоколов проверок и заключения по результатам контроля защищенности объектов вычислительной техники.

 

ПАКЕТ ДОКУМЕНТОВ ДЛЯ АТТЕСТАЦИИ ОБЪЕКТА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ (ОБЪЕКТ ВТ):

Распоряжение/Приказ о создании комиссии по категорированию и классификации.

Распоряжение/Приказ о назначении ответственного за эксплуатацию объекта и администратора безопасности информации.

Перечень защищаемых ресурсов с документальным подтверждением степени секретности (уровня конфиденциальности) каждого ресурса.

Акт категорирования объекта информатизации.

Акт классификации автоматизированной системы по требованиям защиты информации от НСД.
Оформленный технический паспорт на Объект ВТ.

Предписания на эксплуатацию основных технических средств и систем (ОТСС) и протоколы специальных исследований.

Заключения о специальной проверке ОТСС.

Сертификаты соответствия требованиям безопасности информации на средства защиты информации.

Состав технических и программных средств (должно быть в составе технического паспорта).

Схема размещения ОТСС, вспомогательных технических средств и систем (ВТСС) и средств защиты информации (должно быть в составе технического паспорта).

Схема размещения объекта относительно границ контролируемой зоны (должно быть в составе технического паспорта).

Схема прокладки линий передачи данных и проводных линий ВТСС (должно быть в составе технического паспорта).

Схемы и характеристика систем электропитания и заземления ОТСС и ВТСС (должно быть в составе технического паспорта).

Состав и схемы размещения средств защиты информации (должно быть в составе технического паспорта).

Схема информационных потоков (при необходимости в больших распределенных ЛВС).

Разрешительная система доступа к информационным ресурсам.

Описание технологического процесса обработки закрытой информации.

Перечень программного обеспечения.

Список сотрудников лиц, имеющих право самостоятельного доступа к штатным средствам АС.

Список сотрудников лиц, имеющих право самостоятельного доступа в помещение объекта.

Инструкция администратору безопасности.

Инструкция по эксплуатации средств защиты информации.

Инструкция по антивирусной защите.

Инструкция пользователям.

Лицензия РУ ФСБ на право осуществления работ с использованием сведений, составляющих государственную тайну.

 

20.