авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:     | 1 || 3 | 4 |   ...   | 6 |

«Е.И. ДУХАН, Н.И. СИНАДСКИЙ, Д.А. ХОРЬКОВ ПРИМЕНЕНИЕ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ Допущено УМО по ...»

-- [ Страница 2 ] --

Каждый участник информационного обмена (например, Соколов) может синтезировать для себя пару ключей и один из них (открытый) разослать по от крытым каналам связи всем своим партнерам. Далее все, кто имеет открытый ключ Соколова k, могут зашифровать для него сообщение. Расшифровать крип тотекст может только владелец закрытого ключа k*, т. е. Соколов. Для того чтобы Соколову стать полноправным участником информационного обмена, ему необходимо получить по открытым каналам связи индивидуальные откры тые ключи всех своих предполагаемых абонентов. Тем самым решается про блема распространения ключей шифрования.

Идея асимметричных алгоритмов тесно связана с теориями односторон них функций и сложности математических преобразований. Для обеспечения криптостойкости схем шифрования с открытым ключом требуются длинные ключевые последовательности. Кроме того, асимметричные алгоритмы вклю чают в себя громоздкие операции возведения в степень и умножения больших чисел, поэтому они работают существенно медленней симметричных.

Наиболее распространенный асимметричный криптоалгоритм RSA (по фамилиям авторов, Rivest, Shamir, Adleman) был впервые опубликован в году и впоследствии принят в качестве стандарта в США. В нем используется алгебраическое разложение больших целых чисел на множители, криптостой кость алгоритма базируется на сложности их факторизации. Кроме RSA из вестны алгоритм Эль-Гамаля, основанный на дискретном логарифмировании больших чисел, алгоритм на основе эллиптических кривых и др.

Асимметричная схема шифрования, безусловно, удобна при организации шифрованной связи. Однако в криптографических аппаратно-программных СЗИ сетевого действия часто применяется «гибридная» схема шифрования. Яр ким примером такого СЗИ является американская система шифрования PGP, которая при инициализации встраивается в оболочку Windows, в Microsoft Out look и Microsoft Outlook Express. Пользователи генерируют асимметричные ключевые последовательности и обмениваются открытыми ключами со своими партнерами. При отправлении каждого сообщения система PGP генерирует «сеансовый» симметричный ключ для шифрования данных и зашифровывает его на основе открытого ключа получателя. Передаваемое сообщение зашифро вывается на основе симметричного ключа. Зашифрованные сообщение и сеан совый ключ в виде единого пакета направляются (например, посредством сер висов Internet) абоненту-получателю, где PGP на основе закрытого ключа рас шифровывает симметричный ключ шифрования данных, а затем на его основе расшифровывает само сообщение.

Аппаратно-программные СЗИ, противодействующие НСД и обеспечива ющие безопасность данных, хранящихся на локальном компьютере, использу ют классические симметричные алгоритмы шифрования. Это вполне разумно:

охраняемые данные не предназначены для передачи по открытым каналам свя зи, и проблемы распространения ключей в этом случае просто не существует.

Каждый пользователь формирует для себя личный симметричный ключ и сам несет ответственность за его сохранность. Применение классической схемы шифрования при этом целесообразно, т. к. обеспечивает большую скорость при меньшей длине ключа.

СЗИ предлагают несколько вариантов шифрования информации. При шифровании «по требованию» — сообщения, документы, базы данных и т. д.

редактируются в открытом виде. Готовый документ, каталог или подкаталог зашифровывается, например для того, чтобы обеспечить его безопасное хране ние на жестком диске ПЭВМ. Пользователь может поставить под таким зашиф рованным документом свою цифровую подпись.

При шифровании «на лету» — в открытом виде информация существует только в оперативной памяти (в идеальном случае — в видеопамяти) ПЭВМ.

Сохранение документа автоматически вызывает программу его шифрования.

Такой метод называется «прозрачным шифрованием», поскольку процессы криптографического преобразования протекают независимо от желания поль зователя, скрытно (прозрачно) и удобно для него.

Удачным решением защиты информации является организация виртуаль ного зашифрованного диска, который создается внутри дискового пространства ПЭВМ и «подключается» только при необходимости работы с конфиденциаль ными данными. О существовании такого диска, не говоря уже о процедуре его подключения, не знает никто кроме владельца. Виртуальный диск представляет собой специальным образом организованный файл и располагается в любом из каталогов файловой системы. После «подключения» виртуального диска опе рационная система может работать с ним как с любым другим логическим дис ком: создавать и удалять документы и каталоги, форматировать и т. д. Вся ин формация, размещаемая на виртуальном диске, автоматически зашифровывает ся. Такое шифрование принято называть «прозрачным с организацией вирту ального диска». СЗИ, работающие с виртуальными дисками (например, Secret Disk, StrongDisk), называют менеджерами секретных файлов.

Стандартный механизм шифрования дисков приведен на рис. 1.14. Струк тура файла-образа виртуального диска содержит заголовок, непосредственно данные и ключ шифрования данных, который в свою очередь хранится в за шифрованном виде. При подключении диска пользователь должен ввести «ключевую информацию» в виде простого пароля и кодовых последовательно стей, раздельно хранящихся в специальном файле-ключе и/или во внешней па мяти. Введенная пользователем информация суммируется по схеме «И». Сово купная ключевая последовательность (комплексный пароль) подвергается опе рации хэш-преобразования, в результате которой формируется «ключ кодиро вания ключа». С помощью полученного «ключа кодирования ключа» и стойко го медленного алгоритма шифрования вычисляется ключ кодирования данных, шифруемых на основе быстрого симметричного алгоритма и ключа, который не хранится в компьютере в открытом виде, а формируется каждый раз при под ключении логического диска.

Ключ Заголовок Данные Пароль ключ + кодирования ХЭШ Файл-ключ ключа + Электронный стойкий ключ алгоритм ключ быстрый Данные кодирования алгоритм данных Рис. 1.14. Структура файла-образа виртуального шифрованного диска Для формирования стойкого ключа СЗИ поддерживают программно и/или аппаратно достаточное количество различных вариантов внешних носи телей ключевой информации. Среди них ключевые дискеты, пластиковые кар ты памяти различной технологии (электронные и с магнитной полосой), прок сими-карты и ключи Touch Memory.

Кроме шифрования данных СЗИ могут шифровать и таблицы расположе ния данных. Конечно, существуют специальные программы, которые восста навливают файловую систему на основании анализа дискового пространства.

Однако даже если злоумышленник «готов» к такой работе, восстановление таб лиц расположения данных потребует от него определенного времени и обяза тельно оставит следы на атакуемом компьютере.

При выборе СЗИ, осуществляющего шифрование данных, необходимо учитывать стойкость применяемого криптографического преобразования. Со временные ПЭВМ имеют высокую производительность и могут обеспечить шифрование на основе мощных алгоритмов, например по ГОСТ 28147–89, в ре альном масштабе времени. Однако в большинстве СЗИ эти алгоритмы не при меняются, что можно объяснить сложной и дорогостоящей процедурой серти фикации этих средств. Некоторые СЗИ (Панцирь, Secret Disk) позволяют под ключать внешние программные модули шифрования, в т. ч. по ГОСТ 28147–89.

1.2.6. Контроль целостности Как указывалось выше, для организации доверенной загрузки дополни тельно применяется процедура проверки целостности системного программно го обеспечения и аппаратуры.

Многие СЗИ позволяют администратору безопасности назначить для проверки критичные, на его взгляд, аппаратные составляющие компьютерной системы. Специальная подпрограмма должна проверить состав АС на предмет штатной комплектности, наличия «чужих» комплектующих (НЖМД, видеокар та и т. д.). Кроме того, администратор безопасности может назначить для про верки целостности критичные файлы системного ПО, их неизменность с мо мента последней доверенной загрузки, что осуществляется, например, с помо щью вычисления контрольных сумм.

Естественно, что для организации контроля целостности аппаратуры и системного программного обеспечения необходимо наличие аппаратной со ставляющей СЗИ, которая имеет свой вычислитель, память и включается в ра боту до обращения компьютера к жесткому диску.

При контроле целостности файлов учитываются: наличие файла, его раз мер, дата и время последней модификации, контрольная сумма данных, содер жащихся в файле. При нарушении какого-либо параметра в журнале регистра ции событий фиксируется факт нарушения целостности, дальнейшая загрузка системы блокируется с разрешением последующего входа только администра тору безопасности.

1.2.7. Управление политикой безопасности Для претворения в жизнь принятой в организации политики безопасно сти, которая включает все описанные методы защиты, администратор безопас ности должен осуществлять настройку операционной системы и СЗИ имеющи мися в них средствами. В любой системе защиты присутствует ряд специфич ных настроек, одни из которых имеют существенное значение, а другие явля ются второстепенными, но также оказывающими влияние на состояние защи щенности системы.

Под методом «Управление политикой безопасности» будем понимать выполнение совокупности настроек разноплановых параметров, которые поз воляют установить в системе определенное состояние защищенности. Можно утверждать, что управление политикой безопасности оказывает влияние на обеспечение всех требований к системе защиты информации, сформулирован ных в п. 1.1. пособия.

В ОС семейства Windows настройки безопасности могут быть выполнены либо напрямую через редактирование реестра ОС, либо с использованием ин струмента (оснастки) «Локальная политика безопасности» (рис. 1.15). Указан ная оснастка, в конечном счете, также вносит изменения в реестр ОС, однако обладает более удобным интерфейсом, чем редактор реестра.

Настраиваемые параметры безопасности условно могут быть разделены на четыре основные группы: политики учетных записей (включающие полити ку паролей и политику блокировки), политики аудита (рассмотрены выше), назначение прав пользователя и параметры безопасности.

Для группы «Политики учетных записей» с целью повышения эффектив ности применения механизмов парольной защиты рекомендуется устанавливать следующие параметры:

максимальный срок действия паролей — 42 дня;

требовать не повторяемость паролей — 8 паролей;

минимальная длина пароля — 8–10 символов;

пароли должны отвечать требованиям сложности1;

блокировка учетной записи на 30 минут;

пороговое значение блокировки — 3 ошибки входа;

сброс счетчика блокировки — через 30 минут.

Группа «Назначение прав пользователя» описывает возможности, кото рые предоставляются той или иной категории пользователей. Для защищенной рабочей станции рекомендуется назначить наиболее опасные с точки зрения безопасности права следующим категориям пользователей:

архивирование файлов и каталогов — операторы архива;

восстановление файлов и каталогов — операторы архива;

доступ к компьютеру по сети — удалить всех;

завершение работы системы — администраторы;

загрузка и выгрузка драйверов устройств — администраторы;

изменение системного времени — администраторы;

локальный вход в систему — администраторы, операторы архива, пользователи;

овладение файлами или иными объектами — администраторы;

профилирование загруженности системы — администраторы;

профилирование одного процесса — администраторы;

создание страничного файла — администраторы;

управление аудитом и журналом безопасности — администраторы.

Под требованиями сложности понимается недопустимость применения в качестве пароля словарных слов, обязательность использования в пароле различных групп символов (цифро буквенный пароль), верхнего и нижнего регистров, специальных символов, т. е. существен ное затруднение простого лобового и оптимизированного перебора паролей.

Рис. 1.15. Оснастка «Локальная политика безопасности»

В группе «Параметры безопасности» обязательно рекомендуется вклю чать параметры:

не отображать последнего имени пользователя;

очистка страничного файла виртуальной памяти;

разрешить доступ к НГМД только локальным пользователям;

запретить перезагрузку без регистрации.

Рис. 1.16. Оснастка «Шаблоны безопасности»

В связи с большим количеством настраиваемых параметров в ОС Win dows предлагается технология настройки параметров безопасности с использо ванием шаблонов, которыми являются конфигурационные текстовые файлы, содержащие типичные настройки для различных уровней защищенности: базо вого, защищенного и высоко защищенного. Имеющиеся стандартные шаблоны могут быть доработаны, в том числе путем создания дополнительных. Про смотр, создание и редактирование шаблонов осуществляется с помощью оснастки «Шаблоны безопасности» (рис. 1.16). Оснастку необходимо добавить в новую консоль, выполнив команду Пуск Выполнить mmc.

1.2.8. Уничтожение остаточной информации В процессе выполнения ПЭВМ санкционированных запросов, связанных с обработкой легальными пользователями конфиденциальной информации, в оперативной памяти компьютера и на его магнитных носителях неизбежно остаются следы, именуемые «технологическим мусором». В защищенных ком пьютерных системах должны быть предусмотрены контроль, своевременная и надежная очистка областей оперативной и постоянной памяти, связанных с конфиденциальным процессом. СЗИ должно контролировать и управлять всеми обращениями конфиденциального процесса к внешним носителям и жесткому диску.

Согласно руководящим документам [6] в зависимости от класса защи щенности СВТ система защиты должна затруднять (предотвращать) доступ пользователей к остаточной информации при первоначальном назначении или при перераспределении внешней памяти, а также осуществлять очистку опера тивной и внешней памяти (см. требования № 2 и 7, п. 1.1). Очистка производит ся путем записи маскирующей информации (последовательности случайных данных) в память при ее освобождении (перераспределении).

Наличие «технологического мусора» в АС обосновано сервисными функ циями операционных систем. Особенно «грешит» этим продукция компании Microsoft. ОС семейства MS Windows и пакет чрезвычайно удобных программ Microsoft Office по праву называют «фабрикой технологического мусора» [38].

Можно перечислить следующие причины его образования:

особенности организации файловой структуры и хранения файлов на жестких дисках (в любых операционных системах при обычном удалении фай лов информация из области данных не стирается);

резервирование информации на случай порчи и сбоя работы АС (ре зервные (*.wbk) и временные (*.tmp) файлы, файлы автосохранения (*.asd);

создание временных файлов спулинга (*.spl), файлов печати (*.prn) и факс-модемной связи (*.shd);

создание буферных и «теневых» областей памяти с целью обеспечения необходимой производительности компьютерной системы;

функционирование механизма виртуальной памяти, расширяющего объем оперативной памяти за счет внешней;

обеспечение удобства пользователя (организация списков «недавних»

программ, документов, слов);

использование буфера обмена данными между приложениями.

Исходя из причин образования опасной остаточной информации, к объек там, подлежащим контролю со стороны системы защиты информации, обычно относят:

отдельные удаляемые файлы;

временные файлы;

свободную область диска free space;

неиспользуемые элементы каталогов;

«хвосты» файлов (file slacks);

файлы виртуальной памяти swap file — win386.swp, pagefile.sys.

Для борьбы с остаточной информацией СЗИ имеют в своем составе ряд специальных утилит, которые по запросу пользователя (например, после окон чания работы с конфиденциальными документами) осуществляют очистку всех свободных областей НЖМД, хвостов файлов и неиспользуемых каталогов.

Специальная утилита может автоматически перед выключением ПЭВМ очи стить файл подкачки.

Особая функция СЗИ — гарантированное удаление данных. Надежное стирание (уничтожение) критичных файлов осуществляется путем 3-х и более кратной записи случайных символов в область данных, где ранее размещался удаляемый файл.

СЗИ могут предложить организацию специального зашифрованного ката лога для хранения временных и вспомогательных файлов, создаваемых опера ционной системой при редактировании данных, работе с конфиденциальными программами и т. д. При этом ОС для создания временных и вспомогательных файлов пользуется специальным каталогом, работающим в режиме прозрачного шифрования, и вся остаточная информация, размещаемая на жестком диске, оказывается закодированной.

1.2.9. Комплексный подход к защите информации Мы уже отмечали, что защита информации предполагает комплексный и системный подход. Только взаимообусловленный, основанный на тщательном анализе самой компьютерной системы комплекс защитных мер может обеспе чить достаточный уровень безопасности обрабатываемой в АИС информации.

Любое происшествие или успешная атака являются, как правило, следствием совокупности причин, реализацией нескольких угроз. Требования, перечислен ные в п. 1.1. пособия, дают возможность противостоять большинству угроз компьютерной информации, связанных с несанкционированным доступом зло умышленника на программном и аппаратном уровнях. Было бы интересно определить, насколько предложенный в п. 1.2. набор защитных методов соот ветствует вышеупомянутым требованиям. Проследить это соответствие можно с помощью табл. 1.3, хотя в ней не учитываются методы защиты, которые не связаны непосредственно с выполнением указанных требований: антивирусная защита, резервирование данных, сетевая защита, защита от утечки и перехвата информации по техническим каналам.

В таблице символом обозначено, какие требования позволяет обеспе чить тот или иной метод защиты. Очевидно, что нет требований, которые не обеспечиваются ни одним из рассмотренных выше методов защиты. Хотя бы один из методов защиты реализует каждое из требований.

Наиболее важные требования обеспечиваются выполнением одновремен но нескольких методов. В этом проявляется комплексный подход к защите компьютерной информации. Необходимость комплексного и системного под хода наглядно иллюстрируется на примере требования 2 — без регистрации никто не должен получать доступ к конфиденциальной информации. Методы, обеспечивающие выполнение этого требования, взаимосвязаны. Без достовер ной аутентификации субъекта АИС не допустима загрузка операционной си стемы. Без идентификации и аутентификации пользователя также не имеют смысла регистрация сеанса его работы и реализация той или иной модели раз граничения доступа.

В то же время, если злоумышленник получит физический доступ, напри мер, к жесткому диску, то с помощью низкоуровневых дисковых редакторов он сумеет считать приватные данные в обход системы разграничения доступа.

Противодействием атакам наиболее подготовленных злоумышленников может стать криптографическая защита информации. С другой стороны, правомер ность обращения субъекта к самим программам шифрования, процесс ввода ключевой (аутентифицирующей) информации, блокирование вредоносных про грамм – перехватчиков паролей находятся под контролем систем ограничения и разграничения доступа. Таким образом, криптографическое преобразование конфиденциальных данных только в тесной взаимосвязи с механизмами огра ничения и разграничения доступа способны гарантировать надежную защиту компьютерной информации от НСД. Этот же комплект методов защиты проти водействует «программной» утечке конфиденциальной информации, обуслов ленной несовершенством операционных систем, в том числе наличием «техно логического мусора» (требование 7).

Не менее показательным является требование аудита критических собы тий в АИС. На первый взгляд это требование может показаться обособленным и независимым от других требований и методов, их реализующих. Однако ка ким образом регистрировать, например, попытки несанкционированного входа в систему, если вход в нее не ограничен? Безусловно, само знание факта зло умышленных (подозрительных) действий в АИС важно для их пресечения.

Фиксация конкретного лица, совершившего эти действия, позволит расследо вать правонарушения и вести их профилактику более эффективно. Как выяв лять злоумышленников, если в системе не ведутся идентификация и аутенти фикация пользователей?

Таблица 1. Требования к системе защиты информации и меры по их реализации Методы защиты информации уничтожение «технологи криптографическая защи ограничение доступа на разграничение доступа управление политикой контроль целостности Требования к системе регистрация событий защиты и аутентификация ческого мусора»

идентификация компьютерной системы вход в систему безопасности (аудит) та 1. Только зарегистрированные пользователи в разрешенное время могут загрузить ОС 2. Без регистрации никто не должен получать доступ к конфиденциальной информации 3. Пользователь должен быть уверен в «чистоте» компьютерной системы 4. Пользователи должны получать доступ только к той информации и с теми возможно стями, которые соответствуют их функцио нальным обязанностям 5. Пользователям разрешается применение только необходимых для обработки информа ции программных средств 6. Для хранения конфиденциальных данных должны использоваться только учтенные носи тели 7. Конфиденциальная информация, в том числе ее фрагменты в виде «технологического мусора», не должна быть доступна иному субъ екту 8. В АИС автоматически должна вестись регистрация наиболее важных событий 9. При печати документов на бумажные носители автоматически должны фиксировать ся факт распечатки в специальном журнале и выводиться штамп на сам документ 10. В АИС должен быть администратор без опасности, который обязан воплощать в жизнь политику безопасности Система защиты информации АИС — совокупность разнообразных средств и методов, взаимообусловливающих и дополняющих друг друга. Ра зумная, взвешенная, комплексная их реализация — непростая и творческая за дача. Программно-аппаратные средства защиты информации помогают решить ее более целенаправленно и эффективно.

Осуществляя построение и эксплуатацию защищенной компьютерной си стемы, необходимо базироваться на принятой в организации политике безопас ности, на представлении методов защиты компьютерной информации, с помо щью которых могут быть реализованы требования политики безопасности, и на этой основе выбирать, устанавливать и администрировать специализированные программно-аппаратные средства защиты информации.

1.3. Использование криптографических средств для обеспечения безопасности персональных данных Автоматизированные системы все более широко используются во всех сферах человеческой деятельности. В автоматическом режиме обрабатываются обращения в государственные органы, осуществляются покупки пользователя ми интернет-магазинов, начисляется заработная плата и производится оплата коммунальных услуг, оформляются документы в Регистрационной палате и многое другое. В таких системах критически важной информацией являются персональные данные. Обеспечение безопасности персональных данных (ПДн) граждан при их обработке подразумевает государственную систему мер. Мето дология защиты ПДн базируется на совокупности научно обоснованных и раз работанных аргументированных с точки зрения практической деятельности за конов и подзаконных актов [10–17].

1.3.1. Требования по организации и обеспечению функционирования шифровальных (криптографических) средств Указанные документы ориентированы на применение криптографических средств для защиты информации о ПДн, не содержащей сведений, составляю щих государственную тайну, и определяют порядок организации и обеспечения их функционирования. Требования документов являются обязательными для оператора, осуществляющего обработку ПДн, а также лица, которому на осно вании договора оператор поручает оказание услуг по организации и обеспече нию защиты ПДн при их обработке в информационной системе с использова нием криптосредств.

Оператор Оператор — государственный либо муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и содержание обработки ПДн.

Оператор обеспечивает безопасность обработки ПДн и с учетом особен ностей своей деятельности может разрабатывать методические рекомендации по применению криптосредств в соответствии с лицензионными требованиями и условиями, эксплуатационной и технической документацией к криптосред ствам и не противоречащие законодательству. Оператор обеспечивает ком плексность защиты ПДн, в том числе посредством применения некриптографи ческих средств защиты.

При разработке и реализации мероприятий по организации и обеспече нию безопасности ПДн при их обработке в информационной системе оператор осуществляет:

разработку для каждой информационной системы ПДн модели угроз безопасности персональных данных при их обработке;

разработку системы безопасности ПДн, обеспечивающей нейтрализа цию всех перечисленных в модели угроз;

определение необходимости и цели использования криптосредств для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн и (или) иных не правомерных действий при их обработке;

проверку готовности криптосредств к использованию, установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и техниче ской документацией к этим средствам;

обучение лиц, использующих криптосредства, работе с ними;

поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, носителей персональных данных;

учет лиц, допущенных к работе с криптосредствами (пользователей);

разработку и описание организационных и технических мер по обеспе чению безопасности ПДн с использованием криптосредств при их обработке в информационных системах с указанием, в частности:

o индекса, условного наименования и регистрационных номеров используемых криптосредств;

o соответствия размещения и монтажа аппаратуры и оборудования, входящего в состав криптосредств, требованиям нормативной документации и правилам пользования криптосредствами;

o соответствия помещений, в которых размещены криптосредства и хранится ключевая документация к ним, требованиям нормативной докумен тации;

o выполнения требований нормативных документов к материаль ным носителям биометрических ПДн и технологиям хранения таких данных вне информационных систем ПДн.

Пользователь Пользователь — лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования.

Пользователи криптосредств допускаются к работе с ними по решению, утверждаемому оператором. При наличии двух и более пользователей крипто средств обязанности между ними должны быть распределены с учетом персо нальной ответственности за сохранность криптосредств, ключевой, эксплуата ционной и технической документации, а также за порученные участки работы.

Пользователи криптосредств обязаны:

не разглашать информацию, к которой они допущены, в том числе све дения о криптосредствах, ключевых документах к ним и других мерах защиты;

соблюдать требования по обеспечению безопасности персональных данных, криптосредств и ключевых документов к ним;

немедленно уведомлять оператора о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению за щищаемых персональных данных;

не разглашать информацию о ключевых документах;

препятствовать снятию копий с ключевых документов;

препятствовать выводу ключевых документов на дисплей (монитор) ПЭВМ или принтер;

препятствовать записи на ключевой носитель посторонней информации;

препятствовать установке ключевых документов в другие ПЭВМ.

Ответственный пользователь Обеспечение функционирования и безопасности криптосредств возлага ется на ответственного пользователя криптосредств, имеющего необходимый уровень квалификации, назначаемого приказом оператора. Допускается возло жение функций ответственного пользователя криптосредств:

на одного из пользователей криптосредств;

на структурное подразделение или должностное лицо (работника), от ветственных за обеспечение безопасности персональных данных, назначаемых оператором;

на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства.

Ответственные пользователи криптосредств должны иметь функциональ ные обязанности, разработанные в соответствии с нормативными документами.

При определении обязанностей пользователя криптосредств необходимо учитывать, что безопасность обработки с использованием криптосредств пер сональных данных обеспечивается:

соблюдением пользователями криптосредств конфиденциальности при обращении со сведениями, которые им доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопас ности применяемых криптосредств и ключевых документов к ним;

точным выполнением пользователями криптосредств требований к обеспечению безопасности персональных данных;

надежным хранением эксплуатационной и технической документации к криптосредствам, ключевых документов, носителей информации ограниченного распространения.

В случае необходимости взаимодействия операторов информационных систем при использовании криптосредств выделяется координирующий орган, ответственный за обеспечение безопасности персональных данных, указания которого являются обязательными для всех пользователей криптосредств.

Порядок обращения с криптосредствами и криптоключами к ним При необходимости передачи по техническим средствам связи служеб ных сообщений ограниченного доступа, касающихся организации и обеспече ния функционирования криптосредств, указанные сообщения необходимо пе редавать только с использованием криптосредств. Передача по техническим средствам связи криптоключей не допускается, за исключением специально ор ганизованных систем с децентрализованным снабжением криптоключами.

Криптосредства, используемые для обеспечения безопасности персональ ных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных но меров. Перечень индексов, условных наименований и регистрационных номе ров криптосредств определяется Федеральной службой безопасности Россий ской Федерации.

Используемые или хранимые криптосредства, эксплуатационная и техни ческая документация к ним, ключевые документы подлежат поэкземплярному учету, рекомендуемые формы которого приведены в Приложении Г. При этом программные криптосредства должны учитываться совместно с аппаратными средствами, осуществляющими штатное функционирование. Аппаратные или аппаратно-программные криптосредства, подключаемые к системной шине или к одному из внутренних интерфейсов аппаратных средств, также учитываются совместно с соответствующими аппаратными средствами.

Единицей поэкземплярного учета ключевых документов считаются клю чевой носитель многократного использования или блокнот. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.

Все полученные экземпляры криптосредств, эксплуатационной и техни ческой документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям, несущим персональную ответственность за их сохранность.

Ответственный пользователь заводит и ведет на каждого пользователя лицевой счет, в котором регистрирует числящиеся за ними криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы.

Если эксплуатационной и технической документацией предусмотрено приме нение разовых ключевых носителей или криптоключи вводят и хранят (на весь срок их действия) непосредственно в криптосредствах, то такой разовый клю чевой носитель или электронная запись соответствующего криптоключа долж ны регистрироваться в техническом (аппаратном) журнале, ведущемся непо средственно пользователем. В техническом (аппаратном) журнале отражают также данные об эксплуатации криптосредств и другие сведения, предусмот ренные документацией. В иных случаях технический (аппаратный) журнал не заводится (если нет прямых указаний о его ведении в эксплуатационной или технической документации). Типовая форма технического (аппаратного) жур нала приведена в Приложении Г.

Передача криптосредств, документации к ним, ключевых документов до пускается только между пользователями и (или) ответственным пользователем под расписку в соответствующих журналах поэкземплярного учета. Такая пе редача должна быть санкционирована ответственным пользователем.

Пользователи хранят инсталлирующие носители, документацию, ключе вые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непредна меренное уничтожение.

Пользователи предусматривают также раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для приме нения в случае компрометации действующих ключевых документов.

Аппаратные средства, с которыми осуществляется штатное функциони рование криптосредств, а также аппаратные и аппаратно-программные крипто средства должны быть опечатаны или опломбированы. Место опечатывания (опломбирования) должно быть таким, чтобы его можно было визуально кон тролировать. При наличии технической возможности на время отсутствия поль зователей криптосредства необходимо отключать от линии связи и убирать в опечатываемые хранилища.

Криптосредства и ключевые документы могут доставляться фельдъегер ской (в том числе ведомственной) связью или со специально выделенными опе ратором ответственными пользователями и сотрудниками при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки.

Изготовление ключевых документов Ключевые документы или исходная ключевая информация для выработки ключевых документов изготавливаются ФСБ России на договорной основе или лицами, имеющими лицензию ФСБ России на деятельность по изготовлению ключевых документов.

Изготовлять ключевые документы из исходной ключевой информации могут операторы или ответственные пользователи, применяя штатные крипто средства, если такая возможность предусмотрена документацией.

Заказ на изготовление очередных ключевых документов, их изготовление и рассылку на места использования для своевременной замены действующих ключевых документов следует производить заблаговременно. Указание о вводе в действие очередных документов может быть дано ответственным пользовате лем только после поступления от всех заинтересованных пользователей под тверждения о получении ими очередных ключевых документов.

Пересылка технической документации и ключевых документов Документацию к криптосредствам можно пересылать заказными или ценными почтовыми отправлениями. Для пересылки криптосредств и ключе вых документов они должны быть помещены в прочную упаковку, исключаю щую возможность их физического повреждения и внешнего воздействия, в осо бенности на записанную ключевую информацию. Криптосредства пересылают отдельно от ключевых документов к ним. На упаковках указывают оператора или ответственного пользователя, для которых эти средства предназначены, и делают пометку «Лично». Опечатывают их таким образом, чтобы исключить возможность извлечения содержимого без нарушения упаковок и оттисков пе чати.

До первоначальной высылки (или возвращения) адресату сообщают от дельным письмом описание высылаемых ему упаковок и печатей, которыми они могут быть опечатаны. Для пересылки криптосредств, эксплуатационной и технической документации к ним, ключевых документов следует подготовить сопроводительное письмо, в котором необходимо указать: что посылается и в каком количестве, учетные номера изделий или документов, а также, при необ ходимости, назначение и порядок использования высылаемого отправления.

Сопроводительное письмо вкладывают в одну из упаковок.

Полученные упаковки вскрывает только оператор или ответственный пользователь, для которых они предназначены. Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать — их описанию (оттиску), а также если упаковка поврежде на, в результате чего образовался свободный доступ к ее содержимому, то по лучатель составляет акт, который высылает отправителю. Полученные с такими отправлениями криптосредства и ключевые документы до получения указаний от отправителя применять не разрешается.

При обнаружении бракованных ключевых документов или криптоключей один экземпляр бракованного изделия следует возвратить изготовителю для установления причин происшедшего и их устранения в дальнейшем, а остав шиеся экземпляры хранить до поступления дополнительных указаний от изго товителя.

Получение криптосредств, документации к ним, ключевых документов должно быть подтверждено отправителю в соответствии с порядком, указан ным в сопроводительном письме. Отправитель обязан контролировать доставку своих отправлений адресатам. Если от адресата своевременно не поступило со ответствующего подтверждения, то отправитель должен направить ему запрос и принять меры к уточнению местонахождения отправлений.

Уничтожение криптоключей Неиспользованные или выведенные из действия ключевые документы подлежат возвращению ответственному пользователю криптосредств или по его указанию должны быть уничтожены на месте.

Уничтожение криптоключей (исходной ключевой информации) может производиться путем физического уничтожения ключевого носителя, на кото ром они расположены, или стиранием (разрушением) криптоключей (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования).

Криптоключи (исходную ключевую информацию) стирают по техноло гии, принятой для соответствующих ключевых носителей многократного ис пользования (дискет, компакт-дисков (CD-ROM), Data Key, Smart Card, Touch Memory и т. п.). Непосредственные действия по стиранию криптоключей (ис ходной ключевой информации), а также возможные ограничения на дальней шее применение соответствующих ключевых носителей многократного исполь зования регламентируются документацией, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).

Ключевые носители уничтожают путем нанесения им неустранимого фи зического повреждения, исключающего возможность их использования, а так же восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются доку ментацией, а также указаниями организации, производившей запись крипто ключей (исходной ключевой информации).

Бумажные и прочие сгораемые ключевые носители, документация уни чтожаются путем сжигания или с помощью любых бумагорезательных машин.

Криптосредства уничтожают (утилизируют) по решению оператора, вла деющего криптосредствами, с уведомлением организации, ведущей в соответ ствии с ПКЗ-2005 [15] поэкземплярный учет криптосредств.

Намеченные к уничтожению (утилизации) криптосредства подлежат изъ ятию из аппаратных средств, с которыми они функционировали. При этом криптосредства считаются изъятыми из аппаратных средств, если исполнена предусмотренная документацией процедура удаления программного обеспече ния, и они полностью отсоединены от аппаратных средств.

Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций криптосредств, а также совместно работающее с криптосредствами оборудование (мониторы, принтеры, сканеры, клавиатура и т. п.), разрешается использовать после уни чтожения криптосредств без ограничений. При этом информация, которая мо жет оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта).

Ключевые документы должны быть уничтожены в сроки, указанные в до кументации. Если срок уничтожения документацией не установлен, то ключе вые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в со ответствующих журналах поэкземплярного учета. В эти же сроки с отметкой в журнале подлежат уничтожению разовые ключевые носители и ранее введен ная и хранящаяся в криптосредствах или иных дополнительных устройствах ключевая информация, соответствующая выведенным из действия криптоклю чам;

хранящиеся в криптографически защищенном виде данные следует пере шифровать на новых криптоключах.

Разовые ключевые носители, а также электронные записи ключевой ин формации, соответствующей выведенным из действия криптоключам, непо средственно в криптосредствах или иных дополнительных устройствах уни чтожаются пользователями самостоятельно под расписку в журнале.

Ключевые документы уничтожаются либо пользователями крипто средств, либо ответственным пользователем криптосредств под расписку в со ответствующих журналах поэкземплярного учета, а уничтожение большого объема ключевых документов может быть оформлено актом. При этом пользо вателям криптосредств разрешается уничтожать только применявшиеся непо средственно ими (предназначенные для них) криптоключи. После уничтожения пользователи должны уведомить об этом (телефонограммой, устным сообще нием по телефону и т. п.) ответственного пользователя для списания уничто женных документов с их лицевых счетов.

Уничтожение по акту производит комиссия в составе не менее двух чело век из числа лиц, допущенных к пользованию криптосредств. В акте указывает ся, что уничтожается и в каком количестве. В конце акта делается итоговая за пись (цифрами и прописью) о количестве наименований и экземпляров уни чтожаемых ключевых документов, инсталлирующих криптосредства носите лей, эксплуатационной и технической документации. Исправления в тексте ак та должны быть оговорены и заверены подписями всех членов комиссии, при нимавших участие в уничтожении. О проведенном уничтожении делаются от метки в соответствующих журналах поэкземплярного учета.

Криптоключи, в отношении которых возникло подозрение в компромета ции, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия, если иной порядок не оговорен в документа ции. В чрезвычайных случаях, когда отсутствуют криптоключи для замены скомпрометированных, допускается, по решению ответственного пользователя, согласованного с оператором, использование скомпрометированных крипто ключей. В этом случае период их применения должен быть максимально ко ротким, а защищаемая информация как можно менее ценной.

В случаях недостачи, непредъявления ключевых документов, а также не определенности их местонахождения принимаются срочные меры к их розыс ку. Мероприятия по розыску и локализации последствий компрометации клю чевых документов организует и осуществляет оператор.

О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшихся (хранящихся) с их использованием персональных данных, пользователи обязаны сообщать ответственному поль зователю и (или) оператору.

Осмотр ключевых носителей многократного использования посторонни ми лицами не следует рассматривать как подозрение в компрометации крипто ключей, если при этом исключалась возможность их копирования (чтения, раз множения).

Размещение и охрана криптосредств и ключевых документов к ним Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или хранятся ключевые доку менты к ним, должны обеспечивать сохранность персональных данных, крип тосредств и ключевых документов к ним. При оборудовании режимных поме щений должны выполняться требования к размещению, монтажу крипто средств, а также другого оборудования, функционирующего с ними.

Режимные помещения выделяют с учетом размеров контролируемых зон, регламентированных документацией к криптосредствам. Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в режимные помеще ния посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препят ствующими неконтролируемому проникновению в режимные помещения.

Размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникнове ния или пребывания в них посторонних лиц, а также просмотра посторонними ведущихся там работ.

Режим охраны помещений, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает ответственный поль зователь по согласованию, при необходимости, с оператором, в помещениях которого установлены криптосредства или хранятся ключевые документы к ним. Установленный режим охраны должен предусматривать периодический контроль состояния технических средств охраны.

Двери спецпомещений должны быть постоянно закрыты на замок и могут открываться только для санкционированного прохода сотрудников и посетите лей. Ключи от входных дверей нумеруют, учитывают и выдают сотрудникам, имеющим право допуска в режимные помещения, под расписку в журнале уче та хранилищ. Дубликаты ключей от входных дверей таких помещений следует хранить в сейфе оператора или ответственного пользователя криптосредств.

Для предотвращения просмотра извне режимных помещений их окна должны быть защищены.

Режимные помещения, как правило, должны быть оснащены охранной сигнализацией, связанной со службой охраны здания или дежурным по органи зации. Исправность сигнализации периодически необходимо проверять ответ ственному пользователю совместно с представителем службы охраны или де журным по организации с отметкой в соответствующих журналах.

Для хранения ключевых документов, документации, инсталлирующих носителей должно быть предусмотрено необходимое число надежных металли ческих хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замоч ных скважин. Один экземпляр ключа от хранилища должен находиться у со трудника, ответственного за хранилище, а его дубликаты — в сейфе ответ ственного пользователя. Дубликат ключа от хранилища ответственного пользо вателя в опечатанной упаковке должен быть передан на хранение оператору под расписку в соответствующем журнале.

По окончании рабочего дня режимное помещение и установленные в нем хранилища должны быть закрыты, хранилища опечатаны. Находящиеся в поль зовании ключи от хранилищ должны быть сданы под расписку в соответству ющем журнале ответственному пользователю или уполномоченному (дежур ному), которые хранят эти ключи в личном или специально выделенном храни лище.

Ключи от режимных помещений, а также ключ от хранилища, в котором находятся ключи от всех других хранилищ режимного помещения, в опечатан ном виде должны быть сданы под расписку в соответствующем журнале служ бы охраны или дежурному по организации одновременно с передачей под охрану самих режимных помещений. Печати, предназначенные для опечатыва ния хранилищ, должны находиться у пользователей, ответственных за эти хра нилища.

При утрате ключа от хранилища или от входной двери в режимное поме щение замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Порядок хранения ключевых и других документов в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает оператор или ответственный пользователь.

В обычных условиях режимные помещения, находящиеся в них опеча танные хранилища могут быть вскрыты только пользователями, ответственным пользователем или оператором.

При обнаружении признаков, указывающих на возможное несанкциони рованное проникновение в эти помещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено ответственному пользовате лю или оператору. Прибывший ответственный пользователь должен оценить возможность компрометации хранящихся ключевых и других документов, со ставить акт и принять, при необходимости, меры к локализации последствий компрометации персональных данных и к замене скомпрометированных крип тоключей.

Размещение и монтаж криптосредств, а также другого оборудования, функционирующего с криптосредствами, в режимных помещениях должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к рабо те с данными криптосредствами.

На время отсутствия пользователей криптосредств указанное оборудова ние, при наличии технической возможности, должно быть выключено, отклю чено от линии связи и убрано в опечатываемые хранилища. В противном случае по согласованию с ответственным пользователем необходимо предусмотреть организационно-технические меры по предотвращению возможности исполь зования криптосредств посторонними лицами.


1.3.2. Рекомендации по применению криптосредств Методические рекомендации [16] предназначены для операторов и разра ботчиков информационных систем ПДн, охватывают вопросы защиты ПДн с помощью криптосредств, служат руководством для определения оператором необходимости обеспечения безопасности ПДн с использованием крипто средств в случаях:

обработки в государственных информационных системах ПДн;

предусмотренных п. 3 Положения о разработке, производстве, реализа ции и эксплуатации шифровальных (криптографических) средств защиты ин формации (Положение ПКЗ-2005, [15]).

Формирование модели угроз безопасности персональных данных Необходимым условием разработки системы защиты ПДн является фор мирование модели угроз безопасности ПДн, на основании которой определяет ся класс специальной информационной системы. Модель угроз формируется и утверждается оператором в соответствии с методическими документами, раз работанными в соответствии с пунктом 2 Постановления Правительства Рос сийской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в инфор мационных системах персональных данных». Для обеспечения безопасности персональных данных без использования криптосредств при формировании модели угроз используются методические документы ФСТЭК России.

В случае определения оператором необходимости применения крипто средств для обеспечения безопасности ПДн при формировании модели угроз используются методические документы ФСБ и ФСТЭК России. При этом из двух содержащихся в документах данных структур однотипных угроз выбира ется более опасная.

Методология формирования модели угроз Разработка модели угроз базируется на следующих общих принципах:

1. Безопасность ПДн при их обработке в информационных системах обеспечивается с помощью комплексной системы защиты ПДн.

2. При формировании модели угроз необходимо учитывать те из них, осуществление которых нарушает безопасность ПДн (прямая угроза), а также создающие условия для появления прямых или других косвенных угроз (кос венные угрозы).

3. ПДн обрабатываются и хранятся в информационной системе с исполь зованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации.

4. Криптосредство штатно функционирует совместно с техническими и программными средствами, которые способны повлиять на выполнение предъ являемых к криптосредству требований и образуют среду функционирования криптосредства (СФК).

5. Система защиты ПДн не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полно мочий.

6. Нарушитель может действовать на различных этапах жизненного цик ла криптосредства и СФК: разработка, производство, хранение, транспортиров ка, ввод в эксплуатацию, эксплуатация программных и технических средств криптосредства и СФК.

7. Для обеспечения безопасности ПДн при их обработке в информацион ных системах должны использоваться сертифицированные (имеющие положи тельное заключение экспертной организации о соответствии требованиям нор мативных документов по безопасности информации) криптосредства.

В случае отсутствия готовых сертифицированных криптосредств, функ ционально пригодных для обеспечения безопасности персональных данных при их обработке в конкретной информационной системе, на этапе аванпроекта или эскизного (эскизно-технического) проекта разработчиком информационной си стемы с участием оператора и предполагаемого разработчика криптосредства готовится обоснование целесообразности разработки нового типа криптосред ства и определяются требования к его функциональным свойствам.

Уровни моделей угроз Различают модель угроз верхнего уровня и детализированную модель угроз. Модель угроз верхнего уровня предназначена для определения характе ристик безопасности защищаемых ПДн и других объектов защиты (принципы и 3), а также исходных данных для детализированной модели угроз, предназна ченной для установления требуемого уровня криптографической защиты.

Методология формирования модели угроз верхнего уровня Формирование модели угроз верхнего уровня осуществляется на этапе сбора и анализа исходных данных по информационной системе в соответствии со следующими требованиями.

1. Определение условий создания и использования ПДн:

субъекты, создающие ПДн;

субъекты, которым ПДн предназначены;

правила доступа к защищаемой информации;

информационные технологии, базы данных, технические средства, ис пользуемые для создания и обработки ПДн;

применяемые в процессе создания и использования ПДн объекты, кото рые могут быть объектами угроз, создающими условия для появления угроз ПДн. Такого рода объектами могут быть, например, технические и программные средства.

2. Описание форм представления ПДн.

ПДн имеют различные формы представления (формы фиксации) с учетом используемых в информационной системе технологий и средств. Необходимо дать описание форм представления (форм фиксации) ПДн, включая области оперативной памяти, файлы, записи баз данных, почтовые отправления и т.д.

3. Описание информации, сопутствующей процессам создания и исполь зования ПДн.

На основе анализа условий создания и использования ПДн должна быть определена информация, сопутствующая данным процессам. При этом пред ставляет интерес только та информация, которая может быть объектом угроз и потребует защиты.

К указанной информации, в частности, относятся:

ключевая, аутентифицирующая и парольная информация криптосредства;

криптографически опасная информация (КОИ);

конфигурационная информация;

управляющая информация;

информация в электронных журналах регистрации;

побочные сигналы, возникающие в процессе функционирования техни ческих средств, и полностью или частично отражающие персональные данные или другую защищаемую информацию;

резервные копии файлов с защищаемой информацией, которые могут создаваться в процессе обработки этих файлов;

остаточная информация на носителях информации.

В тех случаях, когда модель угроз разрабатывается лицами, не являющи мися специалистами в области защиты информации, рекомендуется ограни читься приведенными выше примерами информации, сопутствующей процес сам создания и использования персональных данных. Разработчики модели угроз — специалисты в области защиты информации могут уточнить указан ный выше перечень информации, сопутствующей процессам создания и ис пользования ПДн, с приведением соответствующих обоснований. Рекомендует ся указанное уточнение делать только в случае необходимости разработки но вого типа криптосредства. Уточнение перечня информации, сопутствующей процессам создания и использования ПДн, должно осуществляться путем:

исключения типов рассматриваемой информации из указанного выше перечня, которые являются избыточными в силу специфики конкретной ин формационной системы;

конкретизации и детализации не исключенных типов рассматриваемой информации с учетом конкретных условий эксплуатации информационной си стемы;

описания типов рассматриваемой информации, не указанных в приве денном выше перечне.

4. Определение характеристик безопасности.

Необходимо определить характеристики безопасности не только ПДн, но и всех объектов, которые были определены как возможные объекты угроз.

Основными (классическими) характеристиками безопасности являются конфиденциальность, целостность и доступность.

В дополнение к ним могут рассматриваться также и другие характеристи ки безопасности. В частности, к таковым относятся неотказуемость, учетность (подконтрольность), аутентичность (достоверность) и адекватность.

Приведенный список характеристик безопасности не является исчерпы вающим. Возможность большого числа характеристик безопасности кроется в определении понятия «характеристика безопасности объекта», подразумева ющем требования к объекту, или к условиям его создания и существования, или к информации об объекте и условиях его создания и существования, выполне ние которых необходимо для обеспечения защищенности жизненно важных интересов личности, общества или государства. Как правило, условия создания и существования реальных объектов достаточно сложны и, как следствие, к ним можно предъявить достаточно много самых различных требований.

5. Определение угроз безопасности.

Угроза безопасности объекта — возможное нарушение характеристики безопасности объекта. Перечень всех характеристик безопасности для всех возможных объектов угроз, по сути, определяет модель угроз верхнего уровня.

Например, если в информационной системе требуется обеспечить только це лостность (в том числе защиту от уничтожения) и доступность защищаемой информации (в качестве возможного примера такой информационной системы можно привести информационную систему школьного учителя, содержащую общедоступные персональные данные учащихся), то модель угроз верхнего уровня содержит следующий перечень угроз:

угроза уничтожения защищаемой информации;

угроза нарушения целостности защищаемой информации;

угроза нарушения доступности защищаемой информации.

Методология формирования детализированной модели угроз Детализированная модель угроз представляет собой совокупность усло вий и факторов, создающих опасность нарушения характеристик безопасности имеющихся в системе объектов угроз. В ряде случаев целесообразно создание моделей угроз нескольких уровней детализации. Очевидным примером может служить объект угроз, представляющий сложную территориально распределен ную автоматизированную систему, для которой условия функционирования различных ее составных частей могут существенно различаться. При анализе такой системы необходимо использовать принцип декомпозиции сложного объекта. Если же составные части системы оказываются весьма сложными, то их анализ также потребует применения принципа декомпозиции. В рассматри ваемом случае целесообразно создание моделей угроз для каждого «элементар ного» объекта, декомпозиция которого не имеет смысла.


При определении угроз безопасности объекта следует различать угрозы, не являющиеся атакой, и непосредственно атаки.

Рекомендуется использовать следующую структуру угроз, не являющихся атаками:

угрозы, не связанные с деятельностью человека: стихийные бедствия и природные явления (землетрясения, наводнения, ураганы и т. д.);

угрозы социально-политического характера: забастовки, саботаж, ло кальные конфликты и т.д.;

ошибочные действия и (или) нарушения тех или иных требований ли цами, санкционировано взаимодействующими с возможными объектами угроз.

Если в качестве объекта угроз выступает автоматизированная система в защи щенном исполнении (АСЗИ), то к таким действиям и нарушениям, в частности, относятся:

o непредумышленное искажение или удаление программных ком понентов АСЗИ;

o внедрение и использование неучтенных программ;

o игнорирование организационных ограничений (установленных правил) при работе с ресурсами АСЗИ, включая средства защиты информации.

В частности:

нарушение правил хранения информации ограниченного до ступа, используемой при эксплуатации средств защиты информации (в частно сти, ключевой, парольной и аутентифицирующей информации);

предоставление посторонним лицам возможности доступа к средствам защиты информации, а также к техническим и программным сред ствам, способным повлиять на выполнение предъявляемых к средствам защиты информации требований;

настройка и конфигурирование средств защиты информации, а также технических и программных средств, способных повлиять на выполне ние предъявляемых к средствам защиты информации требований, в нарушение нормативных и технических документов;

несообщение о фактах утраты, компрометации ключевой, па рольной и аутентифицирующей информации, а также любой другой информа ции ограниченного доступа.

угрозы техногенного характера, основными из которых являются:

o аварии (отключение электропитания, системы заземления, раз рушение инженерных сооружений и т. д.);

o неисправности, сбои аппаратных средств, нестабильность пара метров системы электропитания, заземления и т. д.;

o помехи и наводки, приводящие к сбоям в работе аппаратных средств.

Следует отметить, что защита от угроз, не являющихся атаками, регла ментируется инструкциями, разработанными и утвержденными операторами с учетом особенностей эксплуатации информационных систем и действующей нормативной базы.

Атаки являются наиболее опасными угрозами (что обусловлено их тща тельной подготовкой, скрытностью проведения, целенаправленным выбором объектов и целей атак). Атаки готовятся и проводятся нарушителем, причем возможности проведения атак обусловлены возможностями нарушителя, по этому они определяются моделью нарушителя.

Модель нарушителя тесно связана с моделью угроз и является ее важ нейшей частью. Смысловые отношения между ними следующие. В модели угроз содержится максимально полное описание угроз безопасности объекта.

Модель нарушителя содержит описание предположения о возможностях нару шителя, используемых для разработки и проведения атак, а также об ограниче ниях на эти возможности.

Методология формирования модели нарушителя При формировании модели нарушителя следует помнить, что он может действовать на различных этапах жизненного цикла криптосредства и СФК.

На этапах разработки, производства, хранения, транспортировки, ввода в эксплуатацию технических и программных средств криптосредства и СФК обработка ПДн не производится. Поэтому объектами атак могут быть только непосредственно эти средства и документация на них. На указанных этапах возможны следующие атаки:

внесение негативных функций в технические и программные компо ненты криптосредства и СФК, в том числе с использованием вредоносных про грамм;

внесение несанкционированных изменений в документацию на крипто средство и технические и программные компоненты СФК.

Необходимо отметить, что указанные атаки:

на этапах разработки, производства и транспортировки технических и программных средств криптосредства и СФК могут проводиться только вне зо ны ответственности оператора;

на этапе хранения технических и программных средств криптосредства и СФК могут проводиться как в зоне, так и вне зоны ответственности операто ра;

на этапе ввода в эксплуатацию технических и программных средств криптосредства и СФК могут проводиться в зоне ответственности оператора.

В связи с этим оператор должен обеспечить контроль:

соответствия технических и программных средств криптосредства и СФК, включая документацию, эталонным образцам. Оператор должен требо вать от поставщиков гарантий такого соответствия, а также механизмов кон троля, позволяющих установить данное соответствие самостоятельно;

целостности технических и программных средств криптосредства и СФК, включая документацию, в процессе их хранения и ввода в эксплуатацию.

Наиболее серьезному анализу должны подвергаться атаки, способные осуществляться на этапе эксплуатации технических и программных средств криптосредства и СФК. Атака как любое целенаправленное действие характе ризуется рядом существенных признаков, к которым на этапе эксплуатации следует отнести:

нарушителя или субъекта атаки;

объект атаки;

цель атаки;

имеющуюся у нарушителя информацию об объекте атаки;

имеющиеся у нарушителя средства атаки;

доступные нарушителю каналы атаки.

Возможные объекты и цели атак определяются на этапе формирования модели угроз верхнего уровня. При составлении конкретизированного перечня к возможным «конечным» объектам атак следует отнести:

непосредственно защищаемые персональные данные;

данные, передаваемые по каналам связи;

ключевую, аутентифицирующую и парольную информацию;

документацию на криптосредства, технические и программные компо ненты КОИ;

СФК;

криптосредство (программные и аппаратные компоненты);

технические и программные компоненты СФК;

помещения, в которых находятся защищаемые ресурсы информацион ной системы.

Таким образом, модель нарушителя для этапа эксплуатации технических и программных средств криптосредства и СФК должна иметь следующую структуру:

описание нарушителей (субъектов атак);

предположения об имеющейся у нарушителя информации об объектах атак;

предположения об имеющихся у нарушителя средствах атак;

описание каналов атак.

Описание нарушителей 1. Тип нарушителя.

Различают шесть основных типов нарушителей: Н1–Н6. Возможности нарушителя типа Нi+1 включают в себя возможности нарушителя типа Нi (i = 1– 5). Если внешний нарушитель обладает возможностями по созданию способов и подготовки атак, аналогичными соответствующим возможностям нарушителя типа Нi (за исключением предоставляемых пребыванием в момент атаки в кон тролируемой зоне), то этот нарушитель также будет обозначаться как наруши тель типа Нi (i = 2–6). Предполагается, что нарушители типа Н5 и Н6 создавать способы и средства атак в научно-исследовательских центрах, специализиру ющихся в области разработки и анализа криптосредств и СФК.

2. Категория нарушителя.

Данный раздел модели нарушителя должен содержать обоснованный пе речень лиц, которые не рассматриваются в качестве потенциальных нарушите лей, и предположение о возможности или невозможности сговора нарушите лей.

Данный раздел модели нарушителя имеет типовое содержание. Сначала все физические лица, имеющие доступ к техническим и программным сред ствам информационной системы, разделяются на две категории. К категории I относятся лица, не имеющие права доступа в контролируемую зону информа ционной системы, к категории II — лица, имеющие право постоянного или ра зового доступа в контролируемую зону информационной системы.

Далее все потенциальные нарушители подразделяются на внешних нару шителей, осуществляющих атаки из-за пределов контролируемой зоны инфор мационной системы, и внутренних — осуществляющих атаки, находясь в пре делах контролируемой зоны информационной системы. При этом констатиру ется, что внешними нарушителями могут быть лица как категории I, так и кате гории II, внутренними — только лица категории II.

Дается описание привилегированных пользователей информационной си стемы (членов группы администраторов), которые назначаются из числа особо доверенных лиц и осуществляют техническое обслуживание технических и программных средств криптосредства и СФК, включая их настройку, конфигу рирование и распределение ключевой документации между непривилегирован ными пользователями.

Далее следует обоснование исключения тех или иных типов лиц катего рии II из числа потенциальных нарушителей. Как правило, привилегированные пользователи информационной системы исключаются из числа потенциальных нарушителей. И, наконец, рассматривается вопрос о возможном сговоре нару шителей.

Предположения об имеющейся у нарушителя информации об объектах атак Данный раздел модели нарушителя должен содержать:

предположение о том, что потенциальные нарушители обладают всей информацией, необходимой для подготовки и проведения атак, за исключением той, доступ к которой со стороны нарушителя исключается системой защиты информации (парольная, аутентифицирующая и ключевая);

обоснованные ограничения на степень информированности нарушите ля (перечень сведений, в отношении которых предполагается, что они наруши телю недоступны).

Обоснованные ограничения на степень информированности нарушителя могут существенно снизить требования к криптосредству при его разработке.

При определении ограничений на степень информированности нарушителя, в частности, должны быть рассмотрены следующие сведения:

содержание технической документации на технические и программные компоненты СФК;

долговременные ключи криптосредства;

все возможные данные, передаваемые в открытом виде по каналам свя зи, не защищенным от несанкционированного доступа (НСД) к информации ор ганизационно-техническими мерами (синхропосылки, незашифрованные адре са, команды управления и т. п.);

сведения о линиях связи, по которым передается защищаемая инфор мация;

все сети связи, работающие на едином ключе;

все проявляющиеся в каналах связи, не защищенных от НСД к инфор мации организационно-техническими мерами, нарушения правил эксплуатации криптосредства и СФК;

все проявляющиеся в каналах связи, не защищенных от НСД к инфор мации организационно-техническими мерами, неисправности и сбои техниче ских средств криптосредства и СФК;

сведения, получаемые в результате анализа любых сигналов от техниче ских средств криптосредства и СФК, которые может перехватить нарушитель.

Предположения об имеющихся у нарушителя средствах атак Данный раздел модели нарушителя должен содержать:

предположение о том, что нарушитель имеет все необходимые для проведения атак по доступным ему каналам атак средства, возможности кото рых не превосходят возможности аналогичных средств атак на информацию, содержащую сведения, составляющие государственную тайну;

обоснованные ограничения на имеющиеся у нарушителя средства атак.

Обоснованные ограничения на имеющиеся у нарушителя средства атак могут существенно снизить требования к криптосредству при его разработке.

При определении ограничений на имеющиеся у нарушителя средства атак, в частности, должны быть рассмотрены:

аппаратные компоненты криптосредства и СФК;

доступные в свободной продаже технические средства и программное обеспечение;

специально разработанные технические средства и программное обес печение;

штатные средства.

Описание каналов атак С точки зрения практики защиты информации этот раздел является одним из важнейших в модели нарушителя. Его содержание по существу определяется качеством формирования модели угроз верхнего уровня.

Основными каналами атак являются:

каналы связи (как внутри, так и вне контролируемой зоны), не защи щенные от НСД к информации организационно-техническими мерами;

штатные средства.

Возможными каналами атак могут быть:

каналы непосредственного доступа к объекту атаки (акустический, ви зуальный, физический);

машинные носители информации;

носители информации, выведенные из употребления;

технические каналы утечки;

сигнальные цепи;

цепи электропитания;

цепи заземления;

канал утечки за счет использования нарушителем электронных устройств негласного получения информации;

информационные и управляющие интерфейсы СВТ.

Определение типа нарушителя Определение типа нарушителя осуществляется на основе ряда правил, сформированных путем экспертных оценок.

Только нарушителям типа Н3–Н6 могут быть известны все сети связи, ра ботающие на едином ключе.

Только нарушители типа Н5–Н6 располагают наряду с доступными в сво бодной продаже документацией на криптосредство и СФК исходными текстами прикладного программного обеспечения.

Только нарушители типа Н6 располагают всей документацией на крипто средство и СФК.

Нарушители типа Н1 и Н2 располагают только доступными в свободной продаже аппаратными компонентами криптосредства и СФК.

Дополнительные возможности нарушителей типа Н3–Н5 по получению аппаратных компонент криптосредства и СФК зависят от реализованных в ин формационной системе организационных мер.

Нарушители типа Н6 располагают любыми аппаратными компонентами криптосредства и СФК.

Нарушители типа Н1 могут использовать штатные средства только в том случае, если они расположены за пределами контролируемой зоны.

Возможности нарушителей типа Н2–Н6 по использованию штатных средств зависят от реализованных в информационной системе организацион ных мер.

Нарушители типа Н4–Н6 могут проводить лабораторные исследования криптосредств, используемых за пределами контролируемой зоны информаци онной системы.

На основе данных правил нарушитель относится к типу Нi, если среди предположений о его возможностях есть предположение, относящееся к нару шителям типа Нi и нет таковых, относящихся только к нарушителям типа Нj (j i). Нарушитель относится к типу Н6 в информационных системах, обрабаты вающих наиболее важные ПДн, нарушение характеристик безопасности кото рых может привести к особо тяжелым последствиям.

Уровни защиты Общий уровень защиты АС характеризуется уровнями криптографиче ской защиты ПДн, специальной защиты от утечки по каналам побочных излу чений и наводок, а также защиты от несанкционированного доступа.

Различают шесть уровней КС1, КС2, КС3, КВ1, КВ2, КА1 криптографиче ской защиты ПДн, не содержащих сведений, составляющих государственную тайну. Уровни определены в порядке возрастания количества и жесткости предъявляемых к криптосредствам требований. Соответственно уровням защи ты различают шесть классов криптосредств, также обозначаемых через КС1, КС2, КС3, КВ1, КВ2, КА1. Уровень криптографической защиты персональных данных, обеспечиваемой криптосредством, определяется оператором путем от несения нарушителя, действиям которого должно противостоять криптосред ство, к конкретному типу. При отнесении оператором нарушителя к типу Н криптосредство должно обеспечить криптографическую защиту по уровню КС1, к типу Н2 — КС2, к типу Н3 — КС3, к типу Н4 — КВ1, к типу Н5 — КВ2, к типу Н6 — КА1.

Различают три уровня КС, КВ и КА специальной защиты от утечки по каналам побочных излучений и наводок при защите персональных данных с использованием криптосредств. При отнесении нарушителя к типу Н1–Н должна быть обеспечена специальная защита по уровню КС, Н4–Н5 — по КВ, Н6 — по КА.

В соответствии с нормативными документами ФСБ России различают шесть уровней АК1, АК2, АК3, АК4, АК5, АК6 защиты от несанкционированного доступа к ПДн в информационных системах, определенных в порядке возрас тания количества и жесткости предъявляемых к системам защиты требований.

Соответственно определяют шесть классов информационных систем, также обозначаемых через АК1, АК2, АК3, АК4, АК5, АК6. При отнесении нарушителя к типу Н1 в информационной системе должна быть обеспечена защита от не санкционированного доступа к ПДн по уровню АК1, к типу Н2 — АК2, Н3 — АК3, Н4 — АК4, Н5 — АК5, Н6 — АК6.

Требования к контролю встраивания криптосредства Встраивание криптосредств классов КС1 и КС2 осуществляется без кон троля со стороны ФСБ России (если этот контроль не предусмотрен техниче ским заданием на разработку (модернизацию) информационной системы).

Встраивание криптосредств классов КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.

Встраивание криптосредств классов КС1, КС2 или КС3 может осуществ ляться либо самим пользователем криптосредства при наличии соответствую щей лицензии ФСБ России, либо организацией, имеющей соответствующую лицензию ФСБ России.

Встраивание криптосредства класса КВ1, КВ2 или КА1 осуществляется организацией, имеющей соответствующую лицензию ФСБ России.

В ходе контроля со стороны ФСБ России встраивания криптосредства могут решаться, в частности, следующие задачи:

проверка требований документации на криптосредство, относящихся к встраиванию криптосредства, в том числе:

o анализ корректности встраивания;

o анализ правильности функционирования системы управления клю чами;

экспериментальная проверка работоспособности криптосредства и пра вильности выполнения возложенных на него целевых функций;

оценка влияния технических и программных средств, совместно с ко торыми предполагается штатное функционирование криптосредства, на выпол нение предъявляемых к криптосредству требований.

Методика и программа контроля встраивания криптосредства разрабаты ваются и (или) обосновываются специализированной организацией, проводя щей тематические исследования криптосредства, и согласовываются с ФСБ России.

1.4. Классификация и общая характеристика программно-аппаратных средств защиты информации Средства защиты информации (СЗИ) — технические, криптографиче ские, программные и другие средства, предназначенные для реализации сово купности взаимосвязанных требований безопасности АС, а также средства кон троля эффективности защиты информации. СЗИ являются надстройкой над программно-аппаратной средой защищаемой компьютерной системы и само стоятельно или совместно со встроенными возможностями АС реализуют неко торый набор защитных механизмов.

Классифицировать средства защиты можно по разным признакам. Однако основным критерием, по которому принято подразделять средства защиты ин формации, является их функциональность. Обычно по критерию функциональ ности выделяют три класса СЗИ (рис. 1.17). Средства криптографической за щиты (СКЗИ) — средства вычислительной техники, осуществляющие крипто графическое преобразование информации для обеспечения ее безопасности [7].

Средства защиты от несанкционированного доступа (СЗИ НСД) — средства, реализующие комплекс организационных мер и программно-технических средств защиты от несанкционированного доступа к информации в автоматизи рованных системах [7]. В отдельный класс СЗИ можно выделить средства за щиты информации сетевого действия.



Pages:     | 1 || 3 | 4 |   ...   | 6 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.