1.1. Táto politika pre aplikáciu nástrojov na ochranu kryptografických informácií ( Ďalej - politika ) určuje postup organizácie a zabezpečenia fungovania šifrovania ( kryptografických prostriedky určené na ochranu informácií, ktoré neobsahujú informácie predstavujúce štátne tajomstvo ( Ďalej - CIPF, kryptomena ) v prípade ich použitia na zaistenie bezpečnosti dôverných informácií a osobných údajov pri ich spracúvaní v informačné systémy Oh.

1.2. Táto politika bola vyvinutá v súlade s:

• Federálny zákon "O osobných údajoch" , nariadenia vlády Ruskej federácie v oblasti zaistenia bezpečnosti osobných údajov;
• Federálny zákon č. 63-FZ "O elektronický podpis " ;
• Rozkaz FSB Ruskej federácie č. 378 „O schválení zloženia a obsahu organizačno-technických opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov s využitím nástrojov ochrany kryptografických informácií potrebných na splnenie požiadaviek stanovených vládou Ruskej federácie na ochranu osobné údaje pre každú úroveň zabezpečenia“;
• Objednávka FAPSI č. 152 “ Po schválení Pokynov na organizáciu a zaistenie bezpečnosti uchovávania, spracovania a prenosu prostredníctvom komunikačných kanálov s použitím nástrojov ochrany kryptografických informácií s obmedzený prístup, ktorý neobsahuje informácie tvoriace štátne tajomstvo»;
• Rozkaz FSB Ruskej federácie N 66" Po schválení Predpisov o vývoji, výrobe, predaji a prevádzke šifrovacích (kryptografických) prostriedkov informačnej bezpečnosti (Nariadenia PKZ-2005) »;

1.3. Tieto Zásady sa vzťahujú na šifrovacie nástroje určené na zaistenie bezpečnosti dôverných informácií a osobných údajov pri spracúvaní v informačných systémoch;

1.4. Kryptografické prostriedky ochrany informácií ( Ďalej - CIPF ), implementujúce funkcie šifrovania a elektronického podpisu sa používajú na ochranu elektronických dokumentov prenášaných cez verejné komunikačné kanály, napríklad verejný internet, alebo cez dial-up komunikačné kanály.

1.5. Na zaistenie bezpečnosti je potrebné použiť CIPF, ktorý:

• umožňujú integráciu do technologických procesov spracovania elektronických správ, zabezpečujú interakciu s aplikačným softvérom na úrovni spracovania požiadaviek na kryptografické transformácie a vydávanie výsledkov;
• vývojári dodávajú kompletnú prevádzkovú dokumentáciu vrátane popisu kľúčového systému, pravidiel práce s ním, ako aj zdôvodnenia potrebnej organizačnej a personálnej podpory;
• podporovať kontinuitu procesov zaznamenávania prevádzky CIPF a zabezpečovania integrity softvéru pre operačné prostredie CIPF, čo je súbor hardvérových a softvérových nástrojov, spolu s ktorými dochádza k normálnemu fungovaniu CIPF a ktoré môžu ovplyvniť splnenie požiadaviek na CIPF;
• certifikované oprávneným štátnym orgánom alebo mať povolenie od FSB Ruska.

1.6. CIPF používaný na ochranu osobných údajov musí mať triedu aspoň KS2.

1.7. CIPF sa implementuje na základe algoritmov, ktoré sú v súlade s národnými štandardmi Ruskej federácie a podmienkami dohody s protistranou.

1.8. CIPF, licencie, sprievodné kľúčové dokumenty, pokyny pre CIPF sú zakúpené organizáciou nezávisle alebo ich možno získať od tretej strany, ktorá iniciuje bezpečný tok dokumentov.

1.9. CIPF, vrátane inštalačných médií, kľúčových dokumentov, popisov a pokynov pre CIPF, predstavuje obchodné tajomstvo v súlade s predpismi o dôverných informáciách.

1. Postup pri používaní CIPF

2.1. Inštalácia a konfigurácia nástrojov na ochranu kryptografických informácií sa vykonáva v súlade s prevádzkovou dokumentáciou, pokynmi FSB Ruska a ďalších organizácií podieľajúcich sa na zabezpečenom toku elektronických dokumentov. Po dokončení inštalácie a konfigurácie sa skontroluje pripravenosť CIPF na použitie, vypracujú sa závery o možnosti ich prevádzky a CIPF sa uvedie do prevádzky.

Umiestnenie a inštalácia CIPF, ako aj iných zariadení pracujúcich s krypto-aktívami, v zabezpečených priestoroch by mali minimalizovať možnosť nekontrolovaného prístupu neoprávnených osôb k týmto fondom. Údržba takéhoto zariadenia a zmena šifrovacích kľúčov sa vykonáva v neprítomnosti osôb, ktoré nie sú oprávnené pracovať s údajmi CIPF. Je potrebné zabezpečiť organizačné a technické opatrenia, aby sa vylúčila možnosť použitia CIPF neoprávnenými osobami. Fyzické umiestnenie CIPF musí zabezpečiť bezpečnosť CIPF a zabrániť neoprávnenému prístupu k CIPF. Vstup osôb do priestorov, kde sa ochranné prostriedky nachádzajú, je obmedzený v súlade s úradnými potrebami a je určený zoznamom schváleným riaditeľom.

Vkladanie kryptofondov triedy KS1 a KS2 vykonáva bez kontroly FSB Ruska ( ak táto kontrola nie je zabezpečená v podmienkach rozvoja (modernizácie) informačného systému).

Vkladanie kryptomien triedy KS3, KB1, KB2 a KA1 sa vykonáva iba pod kontrolou FSB Ruska.

Vkladanie krypto-nástrojov triedy KS1, KS2 alebo KS3 môže vykonať buď samotný používateľ kryptonástroja, ak má príslušnú licenciu od FSB Ruska, alebo organizácia, ktorá má príslušnú licenciu od FSB. Ruska.

Vkladanie kryptomien triedy KV1, KV2 alebo KA1 vykonáva organizácia, ktorá má príslušnú licenciu od FSB Ruska.

Vyraďovanie CIPF sa vykonáva podľa postupov, ktoré zabezpečujú zaručené odstránenie informácií, ktorých neoprávnené použitie môže poškodiť obchodné aktivity organizácie, a informácií používaných nástrojmi informačnej bezpečnosti, z trvalej pamäte a externé médiá (s výnimkou archívov elektronických dokumentov a protokolov elektronickej interakcie, ktorých udržiavanie a uchovávanie po určitú dobu ustanovujú príslušné regulačné a (alebo) zmluvné dokumenty) a je formalizovaný zákonom. CIPF je zničený ( zbaviť sa) na základe rozhodnutia vlastníka kryptofondu a na základe oznámenia zodpovednej organizácie v súlade s organizáciou účtovania kryptofondov podľa jednotlivých inštancií.

Určené na zničenie ( recyklácia) CIPF podliehajú odstráneniu z hardvéru, s ktorým fungovali. V tomto prípade sa krypto-nástroje považujú za odstránené z hardvéru, ak bol dokončený postup na odstránenie softvéru kryptonástrojov uvedený v prevádzkovej a technickej dokumentácii pre CIPF a sú úplne odpojené od hardvéru.

Univerzálne hardvérové ​​komponenty a diely vhodné na ďalšie použitie, ktoré nie sú špeciálne navrhnuté na hardvérovú implementáciu kryptografických algoritmov alebo iných funkcií CIPF, ako aj zariadenia spolupracujúce s kryptografickými nástrojmi ( monitory, tlačiarne, skenery, klávesnice atď.), možno po zničení CIPF používať bez obmedzení. V tomto prípade informácie, ktoré môžu zostať v pamäťových zariadeniach zariadenia ( napríklad v tlačiarňach, skeneroch), musia byť bezpečne odstránené ( vymazané).

2.2. Prevádzku CIPF vykonávajú osoby poverené príkazom riaditeľa organizácie, ktoré boli zaškolené na prácu s nimi. Ak existujú dvaja alebo viacerí používatelia CIPF, zodpovednosti sú rozdelené medzi nich, pričom sa zohľadňuje osobná zodpovednosť za bezpečnosť kryptografických aktív, kľúča, prevádzkovej a technickej dokumentácie, ako aj za pridelené oblasti práce.

Používatelia kryptofondov sú povinní:

• nezverejňovať informácie, na ktoré majú oprávnenie, vrátane informácií o CIPF a iných ochranných opatreniach;
• nezverejňovať informácie o kľúčových dokumentoch;
• neumožňujú vytváranie kópií kľúčových dokumentov;
• zabrániť zobrazeniu kľúčových dokumentov ( monitorovať) osobný počítač alebo tlačiareň;
• neumožňujú zaznamenávanie cudzích informácií na kľúčové médiá;
• neumožňujú inštaláciu kľúčových dokumentov na iné osobné počítače;
• dodržiavať požiadavky na zaistenie bezpečnosti informácií, požiadavky na zaistenie bezpečnosti CIPF a ich kľúčových dokumentov;
• podávať správy o pokusoch neoprávnených osôb, ktoré sa im dozvedeli, získať informácie o použitom CIPF alebo pre nich kľúčových dokumentoch;
• bezodkladne oznámiť skutočnosti straty alebo nedostatku CIPF, kľúčových dokumentov k nim, kľúčov od priestorov, skladovacích priestorov, osobných pečatí a iných skutočností, ktoré môžu viesť k sprístupneniu chránených informácií;
• predložiť CIPF, prevádzkovú a technickú dokumentáciu k nim, kľúčové dokumenty pri prepustení alebo zbavení povinností súvisiacich s používaním kryptomien.

Bezpečnosť spracovania informácií pomocou CIPF je zabezpečená:

• dodržiavanie dôvernosti zo strany používateľov pri nakladaní s informáciami, ktoré im boli zverené alebo ktoré sa stali známymi pri ich práci, vrátane informácií o fungovaní a postupe na zaistenie bezpečnosti používaného CIPF a kľúčových dokumentov pre nich;
• presné dodržiavanie požiadaviek na bezpečnosť informácií používateľmi CIPF;
• spoľahlivé uchovávanie prevádzkovej a technickej dokumentácie pre CIPF, kľúčové dokumenty, obmedzené distribučné médiá;
• včasné odhalenie pokusov neoprávnených osôb získať informácie o chránených informáciách, o použitom CIPF alebo o kľúčových dokumentoch k nim;
• okamžité prijatie opatrení na zabránenie prezradeniu chránených informácií, ako aj ich možnému úniku, keď sa zistia skutočnosti straty alebo nedostatku CIPF, kľúčových dokumentov k nim, certifikátov, preukazov, kľúčov od priestorov, skladovacích priestorov, trezorov ( kovové skrine), osobné pečate atď.

Ak je potrebné prenášať správy služby s obmedzeným prístupom cez technické komunikačné prostriedky týkajúce sa organizácie a fungovania CIPF, musia sa tieto správy prenášať iba pomocou šifrovacích prostriedkov. Prenos krypto kľúčov prostredníctvom technických komunikačných prostriedkov nie je povolený, s výnimkou špeciálne organizovaných systémov s decentralizovanou dodávkou krypto kľúčov.

CIPF podliehajú účtovaniu pomocou indexov alebo konvenčných mien a registračných čísel. Zoznam indexov, kódových mien a registračných čísel kryptoaktív určuje Federálna bezpečnostná služba Ruskej federácie.

CIPF používa alebo uchováva, prevádzková a technická dokumentácia k nim, kľúčové dokumenty podliehajú zaznamenávaniu kópie po kópii. Formulár denníka CIPF je uvedený v prílohe č. 1, denníka kľúčových médií v prílohe č. 2 k týmto zásadám. V tomto prípade sa musia brať do úvahy softvérové ​​kryptografické systémy ochrany informácií spolu s hardvérom, s ktorým sa vykonáva ich bežná prevádzka. Ak je hardvérový alebo hardvérovo-softvérový CIPF pripojený k systémovej zbernici alebo k niektorému z interných hardvérových rozhraní, potom sa spolu s príslušným hardvérom berú do úvahy aj takéto šifrovacie opatrenia.

Za jednotku účtovania kópie po kópii kľúčových dokumentov sa považuje opakovane použiteľné kľúčové médium, kľúčový zápisník. Ak sa na zaznamenávanie šifrovacích kľúčov opakovane používa rovnaké médium kľúča, potom by sa malo zakaždým zaregistrovať samostatne.

Všetky prijaté kópie kryptoaktív, prevádzková a technická dokumentácia k nim, kľúčové dokumenty musia byť vydané proti prijatiu v príslušnom registri kópie po kópii používateľom kryptoaktív, ktorí sú osobne zodpovední za ich bezpečnosť.

Prenos CIPF, prevádzkovej a technickej dokumentácie k nim a kľúčových dokumentov je povolený iba medzi používateľmi kryptoaktív a (alebo) zodpovedným používateľom kryptoaktív oproti potvrdeniu v príslušných denníkoch pre jednotlivé účtovníctvo. Takýto prevod medzi používateľmi kryptofondov musí byť povolený.

Skladovanie inštalačných médií CIPF, prevádzkovej a technickej dokumentácie, kľúčových dokumentov sa realizuje v skriniach ( boxy, sklad) na individuálne použitie za podmienok, ktoré vylučujú nekontrolovaný prístup k nim, ako aj ich neúmyselné zničenie.

Hardvér, s ktorým CIPF normálne funguje, ako aj hardvér a hardvér-softvér CIPF, musia byť vybavené prostriedkami kontroly ich otvárania ( zapečatené, zapečatené). Miesto tesnenia ( tesnenie) kryptomeny, hardvér musí byť taký, aby sa dal vizuálne sledovať. Ak je to technicky možné, počas neprítomnosti používateľov kryptofondov musia byť tieto prostriedky odpojené od komunikačnej linky a umiestnené v zapečatenom úložisku.

Zmeny softvéru CIPF a technickej dokumentácie pre CIPF sa vykonávajú na základe prijatia od výrobcu CIPF a zdokumentovaných aktualizácií so záznamom kontrolných súčtov.

Prevádzka CIPF zahŕňa udržiavanie najmenej dvoch záložných kópií softvéru a jednej záložná kópia kľúčové médiá. Obnova funkčnosti CIPF v havarijných situáciách sa vykonáva v súlade s prevádzkovou dokumentáciou.

2.3. Vypracovanie kľúčových dokumentov z počiatočných kľúčových informácií vykonávajú zodpovední používatelia CIPF pomocou štandardných kryptografických nástrojov, ak je takáto možnosť uvedená v prevádzkovej a technickej dokumentácii za prítomnosti licencie od FSB Ruska na výroba kľúčových dokumentov pre krypto-nástroje.

Kľúčové dokumenty je možné doručiť kuriérom ( vrátane rezortných) komunikácia alebo so špeciálne určenými zodpovednými používateľmi kryptofondov a zamestnancami, s výhradou opatrení na zamedzenie nekontrolovaného prístupu ku kľúčovým dokumentom počas doručovania.

Na odoslanie kľúčových dokumentov musia byť vložené do odolného obalu, ktorý vylučuje možnosť fyzického poškodenia a vonkajších vplyvov. Na obale je uvedený zodpovedný používateľ, pre ktorého je obal určený. Takéto balíky sú označené ako „Osobne“. Obaly sú zapečatené tak, že nie je možné z nich vybrať obsah bez porušenia obalov a pečatí.

Pred prvou deportáciou ( alebo vrátiť) je adresát v samostatnom liste informovaný o popise balíkov, ktoré mu boli zaslané, a o pečatiach, ktorými môžu byť zapečatené.

Na zaslanie kľúčových dokumentov je pripravený sprievodný list, v ktorom musí byť uvedené: čo sa posiela a v akom množstve, evidenčné čísla dokumentov, prípadne aj účel a postup použitia odosielanej veci. Sprievodný list je súčasťou jedného z balíkov.

Prijaté balíčky otvára iba zodpovedný používateľ kryptofondov, pre ktoré sú určené. Ak obsah prevzatého balíka nezodpovedá tomu, čo je uvedené v sprievodnom liste alebo samotnom obale a pečať nezodpovedá ich popisu ( odtlačok), a tiež ak je obal poškodený, čo má za následok voľný prístup k jeho obsahu, potom príjemca vyhotoví protokol, ktorý je zaslaný odosielateľovi. Kľúčové dokumenty prijaté s takýmito zásielkami nie je dovolené používať, kým od odosielateľa nedostanete pokyny.

Ak sa zistia chybné kľúčové dokumenty alebo šifrovacie kľúče, jedna kópia chybného produktu by sa mala vrátiť výrobcovi, aby sa určili príčiny incidentu a odstránili sa v budúcnosti, a zvyšné kópie by sa mali uschovať, kým od spoločnosti nedostaneme ďalšie pokyny. výrobca.

Prevzatie kľúčových dokumentov musí byť potvrdené odosielateľovi spôsobom uvedeným v sprievodnom liste. Odosielateľ je povinný kontrolovať doručovanie svojich zásielok príjemcom. Ak sa od adresáta nedostane včas príslušné potvrdenie, odosielateľ mu musí zaslať žiadosť a prijať opatrenia na objasnenie polohy zásielok.

Objednávka na výrobu ďalších kľúčových dokumentov, ich výroba a distribúcia na miesta použitia pre včasnú výmenu existujúcich kľúčových dokumentov sa robí vopred. Pokyn uviesť do platnosti ďalšie kľúčové dokumenty dáva zodpovedný používateľ kryptofondov až po prijatí potvrdenia o prijatí ďalších kľúčových dokumentov.

Nepoužité alebo deaktivované kľúčové dokumenty musia byť vrátené zodpovednému používateľovi kryptofondov alebo musia byť na jeho pokyn zničené na mieste.

Zničenie krypto kľúčov ( počiatočné kľúčové informácie) možno vykonať fyzickým zničením kľúčových médií, na ktorých sa nachádzajú, alebo vymazaním ( zničenie) krypto kľúče ( počiatočné kľúčové informácie) bez poškodenia kľúčových médií ( zabezpečiť jeho opätovnú použiteľnosť).

kryptokey ( počiatočné kľúčové informácie) sa umývajú pomocou technológie prijatej pre zodpovedajúce kľúčové opakovane použiteľné médiá ( diskety, kompaktné disky (CD-ROM), dátový kľúč, čipová karta, dotyková pamäť atď.). Priame akcie na vymazanie krypto kľúčov ( počiatočné kľúčové informácie), a možné obmedzeniaďalšie používanie zodpovedajúcich opakovane použiteľných médií kľúčov upravuje prevádzková a technická dokumentácia pre príslušný CIPF, ako aj pokyny organizácie, ktorá krypto kľúče zaznamenala ( počiatočné kľúčové informácie).

Kľúčové médiá sa ničia tým, že na nich dôjde k nenapraviteľnému fyzickému poškodeniu s vylúčením možnosti ich použitia, ako aj obnovením kľúčových informácií. Priame akcie na zničenie konkrétneho typu kľúčového média sa riadia prevádzkovou a technickou dokumentáciou pre príslušný CIPF, ako aj pokynmi od organizácie, ktorá krypto kľúče zaznamenala ( počiatočné kľúčové informácie).

Papier a iné horľavé kľúčové médiá sa ničia spálením alebo použitím akýchkoľvek strojov na rezanie papiera.

Kľúčové dokumenty sa likvidujú v lehotách uvedených v prevádzkovo-technickej dokumentácii príslušného CIPF. Skutočnosť zničenia je zaznamenaná v príslušných denníkoch podľa jednotlivých inštancií.

Ničenie podľa zákona vykonáva komisia zložená najmenej z dvoch osôb. Zákon špecifikuje, čo sa ničí a v akom množstve. V závere aktu sa vykoná záverečný zápis (číslom a slovom) o počte zničených predmetov a kópií kľúčových dokumentov, inštalácii médií CIPF, prevádzkovej a technickej dokumentácie. Opravy v texte zákona musia byť odsúhlasené a potvrdené podpismi všetkých členov komisie, ktorí sa na ničení podieľali. O vykonanej likvidácii sa robia poznámky v príslušných denníkoch pre jednotlivé záznamy.

Kryptomeny, ktoré sú podozrivé z kompromitácie, ako aj iné kryptokey, ktoré s nimi fungujú, musia byť okamžite vyradené z prevádzky, pokiaľ nie je v prevádzkovej a technickej dokumentácii CIPF uvedený iný postup. V núdzových prípadoch, keď neexistujú žiadne krypto kľúče, ktoré by nahradili kompromitované, je povolené na základe rozhodnutia zodpovedného užívateľa kryptofondov po dohode s prevádzkovateľom použiť kompromitované krypto kľúče. V tomto prípade by mala byť doba používania kompromitovaných krypto kľúčov čo najkratšia a chránené informácie by mali byť čo najcennejšie.

O porušeniach, ktoré môžu viesť ku kompromitácii šifrovacích kľúčov, ich komponentov alebo prenášaných ( uložené) pri používaní údajov sú používatelia kryptofondov povinní informovať zodpovedného používateľa kryptofondov.

Kontrola opakovane použiteľných médií kľúčmi neoprávnenými osobami by sa nemala považovať za podozrenie na kompromitáciu krypto kľúčov, ak to vylučuje možnosť ich kopírovania ( čítanie, reprodukcia).

V prípade nedostatku, nepredloženia kľúčových dokumentov, ako aj neistoty ich lokalizácie prijíma zodpovedný používateľ urgentné opatrenia na ich nájdenie a lokalizáciu následkov kompromitovania kľúčových dokumentov.

1. Postup riadenia kľúčového systému

Registrácia osôb s právami spravovať kľúče sa vykonáva v súlade s prevádzkovou dokumentáciou pre CIPF.

Manažment kľúčov je informačný proces, ktorý zahŕňa tri prvky:

— generovanie kľúčov;

- hromadenie kľúčov;

— distribúcia kľúčov.

Organizačné informačné systémy využívajú špeciálne hardvérové ​​a softvérové ​​metódy na generovanie náhodných kľúčov. Spravidla sa používajú snímače pseudonáhodných čísel ( Ďalej - PSCH ), s pomerne vysokým stupňom náhodnosti pri ich vytváraní. Generátory softvérových kľúčov, ktoré vypočítavajú PRCH as komplexná funkcia od aktuálneho času a ( alebo) číslo zadané používateľom.

Hromadenie kľúčov sa týka organizácie ich skladovania, účtovania a odstraňovania.

Súkromné ​​kľúče nesmú byť napísané explicitne na médiu, ktoré je možné čítať alebo kopírovať.

Všetky informácie o použitých kľúčoch musia byť uložené v zašifrovanej forme. Kľúče, ktoré šifrujú informácie o kľúčoch, sa nazývajú hlavné kľúče. Každý používateľ musí poznať hlavné kľúče naspamäť, ich ukladanie na akékoľvek hmotné médiá je zakázané.

Pre zaistenie informačnej bezpečnosti je potrebné periodicky aktualizovať kľúčové informácie v informačných systémoch. V tomto prípade sa priradia bežné kľúče aj hlavné kľúče.

Pri distribúcii kľúčov musia byť splnené tieto požiadavky:

— efektívnosť a presnosť distribúcie;

— utajenie distribuovaných kľúčov.

Alternatívou je, že dvaja používatelia získajú zdieľaný kľúč od ústredného orgánu, Key Distribution Center (KDC), prostredníctvom ktorého môžu bezpečne komunikovať. Na organizáciu výmeny údajov medzi CRC a používateľom je používateľovi pri registrácii pridelený špeciálny kľúč, ktorý šifruje správy prenášané medzi nimi. Každý používateľ má pridelený samostatný kľúč.

RIADENIE KĽÚČOV NA ZÁKLADE SYSTÉMOV VEREJNÝCH KĽÚČOV

Pred použitím kryptosystému s verejným kľúčom na výmenu bežných súkromných kľúčov si používatelia musia vymeniť svoje verejné kľúče.

Verejné kľúče je možné spravovať prostredníctvom online alebo offline adresárovej služby a používatelia si môžu kľúče vymieňať aj priamo.

1. Monitorovanie a kontrola používania CIPF

Pre zvýšenie úrovne bezpečnosti pri prevádzke CIPF by mali byť v systéme implementované monitorovacie postupy, ktoré zaznamenávajú všetky významné udalosti, ku ktorým došlo pri výmene elektronických správ a všetky incidenty informačnej bezpečnosti. Opis a zoznam týchto postupov musia byť uvedené v prevádzkovej dokumentácii pre CIPF.

Kontrola nad používaním ochrany kryptografických informácií poskytuje:

• monitorovanie súladu nastavenia a konfigurácie nástrojov informačnej bezpečnosti, ako aj hardvéru a softvéru, ktoré môžu ovplyvniť plnenie požiadaviek na nástroje informačnej bezpečnosti, regulačnú a technickú dokumentáciu;
• monitorovanie dodržiavania pravidiel pre uchovávanie informácií s obmedzeným prístupom používaných pri prevádzke nástrojov informačnej bezpečnosti ( najmä kľúč, heslo a overovacie informácie);
• kontrola možnosti prístupu neoprávnených osôb k prostriedkom informačnej bezpečnosti, ako aj k hardvéru a softvéru, ktoré môžu ovplyvniť plnenie požiadaviek na prostriedky informačnej bezpečnosti;
• monitorovanie dodržiavania pravidiel reakcie na informačné incidenty ( o skutočnostiach straty, ohrozenia kľúča, hesla a autentifikačných informácií, ako aj akýchkoľvek iných informácií s obmedzeným prístupom);
• kontrola súladu hardvérových a softvérových nástrojov CIPF a dokumentácie k týmto nástrojom s referenčnými vzorkami ( dodávateľské záruky alebo kontrolné mechanizmy, ktoré vám umožňujú nezávisle stanoviť takýto súlad);
• monitorovanie integrity hardvéru a softvéru CIPF a dokumentácie k týmto nástrojom počas skladovania a uvádzania týchto nástrojov do prevádzky ( pomocou kontrolných mechanizmov popísaných v dokumentácii pre CIPF a pomocou organizačných).

Stiahnuť ▼ súbor ZIP (43052)

Ak sú dokumenty užitočné, dajte like alebo:

Mnoho ľudí pozná kryptografiu ako srdce a základ všetkých kryptomien, no nie každý myslí na to, že ju používame každý deň. Metóda kryptografie sa používa vo väčšine moderných aplikácií a skrýva osobné údaje pred zvedavými očami.

Čo je kryptografia?

Kryptografia je veda, ktorá študuje spôsoby, ako skryť údaje a zabezpečiť ich dôvernosť. Ide o jednu z najstarších vied a jej história siaha štyritisíc rokov dozadu. Samotný pojem „kryptografia“ je vytvorený z dvoch starogréckych slov „crypto“ - skrytý, „grapho“ - píšem. Pre začiatočníkov možno princíp kryptografie vysvetliť na príklade Caesarovej šifry, kde bol každý znak abecedy nahradený tým, ktorý je 3 pozície pred požadovaným.

Prvé príklady kryptografických záznamov boli mono-abecedné a začali sa objavovať už v treťom tisícročí pred Kristom. Boli to záznamy, ktorých text bol zmenený nahradením iných znakov. Od 9. storočia sa začali používať polyalfabetické šifry a od polovice 20. storočia elektromechanické šifry, ale stále sa používali polygrafické šifry.

Pred rokom 1975 bola kryptografia šifrovacia metóda s tajným kľúčom, ktorá umožňovala prístup k dešifrovaniu údajov. Neskôr začalo obdobie jeho moderného rozvoja a boli vyvinuté metódy kryptografie s verejným kľúčom, ktoré bolo možné prenášať otvorenými komunikačnými kanálmi a používať na overovanie údajov.

Moderná aplikovaná kryptografia je veda vytvorená na priesečníku matematiky a informatiky. Príbuznou vedou kryptografie je kryptoanalýza. Kryptografia a kryptanalýza sú úzko prepojené, iba v druhom prípade sa skúmajú metódy dešifrovania skrytých informácií.

S úpravou na verejný kľúč sa kryptografia rozšírila a začali ju využívať jednotlivci aj komerčné organizácie a v roku 2009 bola na jej základe vydaná prvá kryptomena. Do tejto doby to bolo považované za výsadu štátnych riadiacich orgánov.

Typy kryptografie

Kryptografické systémy sú založené na rôznych typoch kryptografie. Celkovo rozlišujem štyri hlavné kryptografické primitíva:

• Symetrické šifrovanie. Táto metóda zabraňuje zachytávaniu údajov tretími stranami a je založený na skutočnosti, že odosielateľ a príjemca údajov majú rovnaké kľúče na vyriešenie šifrovania.
• Asymetrické šifrovanie. Táto metóda zahŕňa verejný a súkromný kľúč. Kľúče sú vzájomne prepojené – informácie zašifrované verejným kľúčom môže odhaliť iba priradený súkromný kľúč. Na vyriešenie hádanky nie je možné použiť kľúče z rôznych párov, pretože sú vzájomne prepojené matematickým vzťahom.
• Hašovanie. Metóda je založená na konverzii zdrojovej informácie na bajty danej vzorky. Transformácia informácie sa nazýva hašovacia funkcia a jej výsledkom je hašovací kód. Všetky hash kódy majú jedinečnú sekvenciu znakov.
• Elektronický podpis. Ide o transformáciu informácií pomocou súkromného kľúča, ktorý umožňuje potvrdiť pravosť dokumentu a neprítomnosť poškodenia údajov.

Schopnosti a aplikácie

Kryptografiu pôvodne používala vláda na bezpečné ukladanie alebo prenos dokumentov. Moderné asymetrické šifrovacie algoritmy sa začali vo väčšej miere používať v oblasti IT bezpečnosti a symetrické metódy sa dnes používajú predovšetkým na zabránenie neoprávnenému prístupu k informáciám počas ukladania.

Kryptografické metódy sa používajú najmä na:

• bezpečné ukladanie informácií komerčnými a súkromnými subjektmi;
• implementácia systémov digitálneho elektronického podpisu;
• potvrdenie pravosti certifikátov;
• bezpečný online prenos údajov cez otvorené komunikačné kanály.

Kryptografia a blockchain

V blockchaine sa kryptografia používa na ochranu a zabezpečenie dôvernosti jednotlivcov a osobných údajov pri zachovaní vysokej bezpečnosti transakcií, spoľahlivú ochranu celý systém a úložisko.

Hashovacie funkcie

Hash funkcie v blockchaine sú vzájomne prepojené, s ich pomocou sa dosahuje ochrana informácií a nezvratnosť transakcií. Každý nový blok transakcií je spojený s hashom predchádzajúceho bloku, ktorý sa zase vytvorí na základe hashu posledného bloku vytvoreného pred ním. Každý nový blok transakcie teda obsahuje všetky informácie o predchádzajúcich blokoch a nemožno ho sfalšovať ani zmeniť.

Aby bol do blockchainového reťazca pridaný nový blok, musí sieť dosiahnuť všeobecný konsenzus a vybrať hash nového bloku. Aby to dosiahli, s pomocou počítačovej technológie, baníci ponúkajú mnoho „nonce“ možností pre hodnotu funkcie. Prvý miner, ktorému sa náhodným výberom podarilo vygenerovať hash vhodný na kombináciu s predchádzajúcimi dátami, ním podpíše blok, ktorý je zaradený do reťazca a nový blok už bude obsahovať informácie s ním.

Vďaka použitiu technológie hash v blockchaine môžu byť všetky transakcie, ktoré boli v systéme vykonané, vyjadrené ako jeden hash nového bloku. Hašovacia metóda takmer znemožňuje hacknutie systému a s pridaním každého nového bloku sa odolnosť blockchainu voči útokom len zvyšuje.

Digitálne podpisy

Blockchain využíva metódu asymetrickej kryptografie založenú na verejných a . Verejný kľúč slúži ako adresa uloženia mincí a tajný kľúč slúži ako heslo na prístup k nemu. Súkromný kľúč je založený na verejnom kľúči, ale nedá sa vypočítať matematicky.

Spomedzi mnohých schém kryptografie s verejným kľúčom sú najbežnejšie schéma eliptických kriviek a schéma faktorizácie. Bitcoin využíva prvú schému – eliptické krivky. Súkromný kľúč má 32 bajtov, verejný kľúč 33 bajtov a podpis má asi 70 bajtov.

Kryptografia verejného kľúča

Moderná kryptografia s verejným kľúčom sa používa v systéme blockchain na prenos mincí.

Pre figuríny možno princíp kryptografie s verejným kľúčom vysvetliť na príklade transakcie. Povedzme, že odosielateľ chce poslať 1 bitcoin. Na to potrebuje zaslať transakciu, v ktorej bude uvedené, odkiaľ má byť minca prevzatá a kam bude odoslaná (verejný kľúč príjemcu). Keď sa vytvorí transakcia, odosielateľ ju musí podpísať svojím súkromným kľúčom. Ďalej komunikačné uzly skontrolujú zhodu tajného kľúča odosielateľa s jeho verejným kľúčom, ku ktorému je minca aktuálne priradená. Ak sú splnené podmienky, to znamená, že verejný a súkromný kľúč odosielateľa sú prepojené, potom sa odoslaná minca začne spájať s už verejným kľúčom príjemcu.

Záver

Kryptografia je dôležitou súčasťou moderného sveta a je nevyhnutná predovšetkým na uchovávanie osobných údajov a dôležitých informácií. Od svojho vzniku prešiel mnohými úpravami a dnes ide o bezpečnostný systém, ktorý je prakticky nemožné hacknúť. Je ťažké preceňovať jeho potenciál pre ľudstvo. Moderné kryptografické metódy sa používajú takmer vo všetkých odvetviach, v ktorých existuje potreba bezpečného prenosu alebo ukladania dát.

Požiadavky na informačnú bezpečnosť pri navrhovaní informačných systémov uvádzajú vlastnosti, ktoré charakterizujú použité prostriedky informačnej bezpečnosti. Sú definované rôznymi aktmi regulátorov v oblasti informačnej bezpečnosti, najmä FSTEC a FSB Ruska. Aké bezpečnostné triedy existujú, typy a typy ochranných prostriedkov, ako aj to, kde sa o tom dozvedieť viac, sú uvedené v článku.

Úvod

Problematika zabezpečenia informačnej bezpečnosti je dnes predmetom veľkej pozornosti, keďže všade zavádzané technológie bez zabezpečenia informačnej bezpečnosti sa stávajú zdrojom nových vážnych problémov.

Ruská FSB informuje o vážnosti situácie: výška škôd spôsobených útočníkmi za niekoľko rokov po celom svete sa pohybovala od 300 miliárd do 1 bilióna dolárov. Podľa informácií generálneho prokurátora Ruskej federácie len v prvom polroku 2017 vzrástol počet trestných činov v oblasti špičkových technológií v Rusku šesťnásobne, celková výška škôd presiahla 18 miliónov USD Nárast cielených útokov v priemyselnom sektore bol v roku 2017 zaznamenaný na celom svete. Najmä v Rusku bol nárast počtu útokov v porovnaní s rokom 2016 o 22 %.

Informačné technológie sa začali využívať ako zbrane na vojensko-politické, teroristické účely, na zasahovanie do vnútorných záležitostí suverénnych štátov, ako aj na páchanie iných trestných činov. Ruská federácia stojí za vytvorením medzinárodného systému informačnej bezpečnosti.

Na území Ruskej federácie sú držitelia informácií a prevádzkovatelia informačných systémov povinní blokovať pokusy o neoprávnený prístup k informáciám, ako aj priebežne monitorovať stav bezpečnosti IT infraštruktúry. Zároveň je zabezpečená ochrana informácií prijímaním rôznych opatrení, vrátane technických.

Nástroje informačnej bezpečnosti alebo systémy ochrany informácií zabezpečujú ochranu informácií v informačných systémoch, ktoré sú v podstate súborom informácií uložených v databázach, informačných technológiách zabezpečujúcich ich spracovanie a technických prostriedkoch.

Moderné informačné systémy sa vyznačujú využívaním rôznych hardvérových a softvérových platforiem, územným rozložením komponentov, ako aj interakciou s otvorenými dátovými sieťami.

Ako chrániť informácie v takýchto podmienkach? Zodpovedajúce požiadavky predkladajú autorizované orgány, najmä FSTEC a FSB Ruska. V rámci článku sa pokúsime reflektovať hlavné prístupy ku klasifikácii systémov informačnej bezpečnosti s prihliadnutím na požiadavky týchto regulátorov. Iné spôsoby opisu klasifikácie informačnej bezpečnosti, ktoré sa odrážajú v regulačných dokumentoch ruských rezortov, ako aj zahraničných organizácií a agentúr, presahujú rámec tohto článku a ďalej sa nimi nezaoberáme.

Článok môže byť užitočný pre začínajúcich špecialistov v oblasti informačnej bezpečnosti ako zdroj štruktúrovaných informácií o metódach klasifikácie informačnej bezpečnosti na základe požiadaviek FSTEC Ruska (vo väčšej miere) a stručne aj FSB Ruska.

Štruktúrou, ktorá určuje postup a koordinuje poskytovanie informačnej bezpečnosti pomocou nekryptografických metód, je FSTEC Ruska (predtým Štátna technická komisia pod prezidentom Ruskej federácie, Štátna technická komisia).

Ak čitateľ niekedy videl Štátny register certifikovaných nástrojov informačnej bezpečnosti, ktorý tvorí FSTEC Ruska, potom určite venoval pozornosť prítomnosti v popisnej časti účelu systému ochrany informácií ako „RD SVT trieda“, „úroveň absencie nesúladu s údajmi o nesúlade“ atď. (obrázok 1) .

Obrázok 1. Fragment registra certifikovaných zariadení na ochranu informácií

Klasifikácia nástrojov kryptografickej informačnej bezpečnosti

FSB Ruska definovala triedy systémov ochrany kryptografických informácií: KS1, KS2, KS3, KV a KA.

Medzi hlavné vlastnosti IPS triedy KS1 patrí ich schopnosť odolať útokom vykonávaným mimo kontrolovaného priestoru. To znamená, že vytváranie metód útoku, ich príprava a implementácia sa vykonáva bez účasti špecialistov v oblasti vývoja a analýzy kryptografickej informačnej bezpečnosti. Predpokladá sa, že informácie o systéme, v ktorom sa používajú špecifikované systémy informačnej bezpečnosti, je možné získať z otvorených zdrojov.

Ak kryptografický informačný bezpečnostný systém odolá útokom blokovaným prostredníctvom triedy KS1, ako aj útokom vykonávaným v kontrolovanom pásme, potom takáto informačná bezpečnosť zodpovedá triede KS2. Predpokladá sa napríklad, že pri príprave útoku by sa mohli sprístupniť informácie o fyzických opatreniach na ochranu informačných systémov, zabezpečenie kontrolovaného pásma a pod.

Ak je možné odolať útokom, ak existuje fyzický prístup k počítačovému vybaveniu s nainštalovanými kryptografickými bezpečnostnými informáciami, takéto zariadenie je údajne v súlade s triedou KS3.

Ak kryptografická informačná bezpečnosť odoláva útokom, na tvorbe ktorých sa podieľali špecialisti v oblasti vývoja a analýzy týchto nástrojov vrátane výskumných centier a bolo možné vykonať laboratórne štúdie bezpečnostných prostriedkov, potom hovoríme o súlade s triedou HF. .

Ak sa na vývoji metód útokov podieľali špecialisti v oblasti používania systémového softvéru NDV, bola k dispozícii zodpovedajúca projektová dokumentácia a bol prístup k akýmkoľvek hardvérovým komponentom kryptografických informačných bezpečnostných systémov, potom je možné zabezpečiť ochranu proti takýmto útokom pomocou tzv. trieda KA.

Klasifikácia prostriedkov ochrany elektronického podpisu

Nástroje elektronického podpisu, v závislosti od ich schopnosti odolávať útokom, sa zvyčajne porovnávajú s týmito triedami: KS1, KS2, KS3, KB1, KB2 a KA1. Táto klasifikácia je podobná klasifikácii diskutovanej vyššie v súvislosti s bezpečnosťou kryptografických informácií.

závery

Článok skúmal niektoré metódy klasifikácie informačnej bezpečnosti v Rusku, ktorých základom je regulačný rámec regulátorov v oblasti ochrany informácií. Uvažované možnosti klasifikácie nie sú vyčerpávajúce. Napriek tomu dúfame, že prezentované súhrnné informácie umožnia rýchlu orientáciu začínajúcemu špecialistovi v oblasti informačnej bezpečnosti.

Prostriedky ochrany kryptografických informácií (CIPF) zahŕňajú hardvér, softvér-hardvér a softvér implementáciu kryptografických algoritmov na konverziu informácií s cieľom:

Ochrana informácií počas ich spracovania, uchovávania a prenosu cez transportné prostredie AS;

Zabezpečenie spoľahlivosti a integrity informácií (vrátane použitia algoritmov digitálny podpis) počas jeho spracovania, uchovávania a prenosu cez transportné médium AC;

Generovanie informácií používaných na identifikáciu a autentifikáciu subjektov, používateľov a zariadení;

Generovanie informácií používaných na ochranu autentifikačných prvkov chráneného AS počas ich generovania, uchovávania, spracovania a prenosu.

Predpokladá sa, že v niektorých AS sa používa CIPF (vo viacerých zdrojoch - informačný a telekomunikačný systém alebo komunikačná sieť) spolu s mechanizmami na implementáciu a garantovanie bezpečnostnej politiky.

Kryptografická transformácia má niekoľko významných funkcií:

CIPF implementuje určitý algoritmus konverzie informácií (šifrovanie, elektronický digitálny podpis, kontrola integrity)

Vstupné a výstupné argumenty kryptografickej transformácie sú prítomné v AS v nejakej materiálnej forme (objekty AS)

CIPF používa na svoju činnosť niektoré dôverné informácie (kľúče).

Algoritmus kryptografickej transformácie je implementovaný vo forme nejakého hmotného objektu, s ktorým interaguje životné prostredie(aj so subjektmi a predmetmi chráneného AS).

Úlohou CIPF v chránenom AS je teda transformácia objektov. V každom konkrétnom prípade má táto transformácia svoje vlastné zvláštnosti. Šifrovacia procedúra teda využíva ako vstupné parametre objekt – otvorený text a objekt – kľúč, výsledkom transformácie je objekt – šifrový text; naopak, postup dešifrovania používa ako vstupné parametre šifrový text a kľúč; postup pripájania digitálneho podpisu využíva ako vstupné parametre objekt – správu a objekt – tajný podpisový kľúč, výsledkom digitálneho podpisu je objekt – podpis, zvyčajne integrovaný do objektu – správy. Dá sa povedať, že CIPF chráni objekty na sémantickej úrovni. Objekty - parametre kryptografickej transformácie sú zároveň plnohodnotnými AS objektmi a môžu byť objektmi nejakej bezpečnostnej politiky (napríklad šifrovacie kľúče môžu a mali by byť chránené pred neoprávneným prístupom, verejné kľúče na kontrolu digitálneho podpisu pred zmenami) . Takže CIPF ako súčasť chránených systémov má špecifickú implementáciu - môže to byť samostatné špecializované zariadenie zabudované do počítača alebo špecializovaný program. Nasledujúce body sú nevyhnutné:

CIPF si s vonkajším prostredím vymieňa informácie, a to: zadávajú sa do neho kľúče, pri šifrovaní otvorený text

CIPF v prípade použitia hardvérovej implementácie elementová základňa obmedzená spoľahlivosť (t. j. časti, ktoré tvoria CIPF, môžu mať poruchy alebo poruchy)

CIPF sa v prípade softvérovej implementácie vykonáva na procesore s obmedzenou spoľahlivosťou a v softvérovom prostredí obsahujúcom programy tretích strán, čo môže ovplyvniť rôzne fázy jeho práce

CIPF je uložený na hmotnom médiu (v prípade implementácie softvéru) a môže byť úmyselne alebo náhodne skreslený počas uchovávania

CIPF interaguje s vonkajším prostredím nepriamo (napájaný zo siete, vyžaruje elektromagnetické polia)

CIPF vyrába a/alebo používa osoba, ktorá sa môže dopustiť chýb (úmyselných alebo náhodných) počas vývoja a prevádzky

Existujúce nástroje ochrany údajov v telekomunikačných sieťach možno rozdeliť do dvoch skupín na základe princípu konštrukcie kľúčového systému a autentifikačného systému. Prvá skupina zahŕňa nástroje, ktoré využívajú symetrické kryptografické algoritmy na vytvorenie systému kľúčov a autentifikačného systému, a druhá skupina zahŕňa asymetrické.

Urobme porovnávaciu analýzu týchto systémov. Informačná správa pripravená na prenos, pôvodne otvorená a nechránená, je zašifrovaná a tým prevedená na šifru, teda na uzavretý text alebo grafický obrázok dokumentu. V tejto forme sa správa prenáša cez komunikačný kanál, aj keď nie je bezpečný. Oprávnený používateľ po prijatí správy ju dešifruje (t. j. otvorí) spätnou transformáciou kryptogramu, výsledkom čoho je pôvodná, prehľadná forma správy prístupná oprávneným používateľom. Metóda konverzie v kryptografickom systéme zodpovedá použitiu špeciálneho algoritmu. Činnosť takéhoto algoritmu je spustená jedinečným číslom (postupnosťou bitov), ​​ktoré sa zvyčajne nazýva šifrovací kľúč.

Pre väčšinu systémov môže byť obvod generátora kľúčov súborom inštrukcií a príkazov, buď hardvéru alebo počítačový program, alebo to všetko spolu, ale v každom prípade je proces šifrovania (dešifrovania) realizovaný len týmto špeciálnym kľúčom. Aby bola výmena šifrovaných údajov úspešná, odosielateľ aj príjemca musia poznať správne nastavenie kľúča a udržiavať ho v tajnosti. Sila každého uzavretého komunikačného systému je určená stupňom utajenia kľúča, ktorý sa v ňom používa. Tento kľúč však musia poznať ostatní používatelia siete, aby si mohli voľne vymieňať zašifrované správy. V tomto zmysle napomáhajú kryptografické systémy aj pri riešení problému autentifikácie (stanovenia pravosti) prijatých informácií. V prípade zachytenia správy sa útočník bude zaoberať iba zašifrovaným textom a skutočný príjemca, ktorý dostáva súkromné ​​správy s kľúčom známym jemu aj odosielateľovi, bude spoľahlivo chránený pred prípadnými dezinformáciami. Okrem toho je možné šifrovať informácie a ďalšie jednoduchým spôsobom- pomocou generátora pseudonáhodných čísel. Použitie generátora pseudonáhodných čísel zahŕňa generovanie šifry gama pomocou generátora pseudonáhodných čísel s určitým kľúčom a aplikáciu výslednej hodnoty gama na otvorené dáta reverzibilným spôsobom. Tento spôsob kryptografickej ochrany je pomerne jednoduchý na implementáciu a poskytuje pomerne vysokú rýchlosť šifrovania, ale nie je dostatočne odolný voči dešifrovaniu.

Klasická kryptografia sa vyznačuje používaním jednej tajnej jednotky – kľúča, ktorý umožňuje odosielateľovi zašifrovať správu a príjemcovi ju dešifrovať. V prípade šifrovania dát uložených na magnetických alebo iných pamäťových médiách kľúč umožňuje šifrovať informácie pri zápise na médium a dešifrovať ich pri čítaní z neho.

"Organizačné a právne metódy informačnej bezpečnosti"

Základné regulačné usmernenia týkajúce sa štátnych tajomstiev, regulačných a referenčných dokumentov

Dnes má naša krajina vytvorený stabilný legislatívny rámec v oblasti ochrany informácií. Základný zákon možno nazvať Federálny zákon Ruskej federácie „o informáciách, informačných technológiách a ochrane informácií“. "Štátna regulácia vzťahov v oblasti ochrany informácií sa vykonáva stanovením požiadaviek na ochranu informácií, ako aj zodpovednosti za porušenie právnych predpisov Ruskej federácie o informáciách, informačných technológiách a ochrane informácií." zodpovednosti držiteľov informácií a prevádzkovateľov informačných systémov.

Pokiaľ ide o „kodifikovanú“ úpravu informačnej bezpečnosti, potrebné články obsahujú aj normy Kódexu správnych deliktov Ruskej federácie a Trestného zákona Ruskej federácie. V čl. 13.12 Kódexu správnych deliktov Ruskej federácie hovorí o porušení pravidiel ochrany informácií. Tiež čl. 13.13, ktorý ustanovuje trest za nelegálne aktivity v oblasti informačnej bezpečnosti. A umenie. 13.14. ktorý stanovuje sankcie za zverejnenie obmedzených informácií. Článok 183. Trestný zákon Ruskej federácie stanovuje tresty za nezákonné prijímanie a zverejňovanie informácií, ktoré predstavujú obchodné, daňové alebo bankové tajomstvo.

Federálny zákon „o informáciách, informatizácii a ochrane informácií“ stanovuje, že štátne informačné zdroje Ruskej federácie sú otvorené a verejne prístupné. Výnimkou sú zdokumentované informácie klasifikované zákonom ako s obmedzeným prístupom.

Pojem štátne tajomstvo je v zákone o štátnom tajomstve definovaný ako „štátom chránené informácie v oblasti vojenskej, zahraničnopolitickej, hospodárskej, spravodajskej, kontrarozviedky a operatívnej vyšetrovacej činnosti, ktorých šírenie môže poškodiť bezpečnosť. Ruskej federácie“. Na základe rovnováhy záujmov štátu, spoločnosti a občanov je teda rozsah pôsobnosti zákona obmedzený na určité druhy činností: vojenskú, zahraničnopolitickú, ekonomickú, spravodajskú, kontrarozviedku a operačnú investigatívu.

Zákon určil, že hlavným kritériom je, že utajované skutočnosti patria štátu.

Zákon tiež ustanovil vytvorenie viacerých orgánov na úseku ochrany štátneho tajomstva, najmä medzirezortnej komisie na ochranu štátneho tajomstva, zaviedol inštitút úradníkov oprávnených utajovať informácie ako štátne tajomstvo, pričom zároveň čas pripisovať im osobnú zodpovednosť za činnosti na ochranu štátneho tajomstva v oblasti ich pôsobnosti.

Všeobecná organizácia a koordináciu prác v krajine na ochranu informácií spracovávaných technickými prostriedkami vykonáva kolegiálny orgán - Federálna služba pre technickú a exportnú kontrolu (FSTEK) Ruska pod vedením prezidenta Ruskej federácie, ktorá vykonáva kontrolu nad poskytovaním v r. orgány štátnej správy a v podnikoch vykonávajúcich obranné práce a iné tajné témy.

Účel a úlohy v oblasti zabezpečovania informačnej bezpečnosti na úrovni štátu

Štátna politika zabezpečovania informačnej bezpečnosti Ruskej federácie určuje hlavné smery činnosti federálnych vládnych orgánov a vládnych orgánov ustanovujúcich subjektov Ruskej federácie v tejto oblasti, postup pri upevňovaní ich zodpovednosti pri ochrane záujmov Ruskej federácie v r. informačnej sfére v rámci svojej činnosti a je založená na udržiavaní rovnováhy záujmov jednotlivca, spoločnosti a štátu v informačnej sfére. Štátna politika zabezpečovania informačnej bezpečnosti Ruskej federácie je založená na týchto základných princípoch: dodržiavanie Ústavy Ruskej federácie, legislatívy Ruskej federácie, všeobecne uznávaných princípov a noriem medzinárodného práva pri vykonávaní činností na zabezpečenie informácií. bezpečnosť Ruskej federácie; otvorenosť pri vykonávaní funkcií federálnych vládnych orgánov, vládnych orgánov zakladajúcich subjektov Ruskej federácie a verejných združení, zabezpečenie informovania verejnosti o ich činnosti, berúc do úvahy obmedzenia stanovené legislatívou Ruskej federácie; právna rovnosť všetkých účastníkov procesu interakcie informácií bez ohľadu na ich politické, sociálne a ekonomické postavenie, založená na ústavnom práve občanov slobodne vyhľadávať, prijímať, prenášať, produkovať a šíriť informácie akýmkoľvek legálnym spôsobom; prioritný rozvoj domácich moderných informačných a telekomunikačných technológií, výroba hardvéru a softvéru schopného zabezpečiť skvalitnenie národných telekomunikačných sietí, ich napojenie na globálne informačné siete v súlade so životnými záujmami Ruskej federácie.

Štát v procese implementácie svojich funkcií na zabezpečenie informačnej bezpečnosti Ruskej federácie: vykonáva objektívnu a komplexnú analýzu a prognózovanie hrozieb pre informačnú bezpečnosť Ruskej federácie, vypracúva opatrenia na jej zabezpečenie; organizuje prácu zákonodarných (zastupiteľských) a výkonných orgánov štátnej moci Ruskej federácie na implementáciu súboru opatrení zameraných na predchádzanie, odpudzovanie a neutralizáciu hrozieb pre informačnú bezpečnosť Ruskej federácie; podporuje činnosť verejných združení zameranú na objektívne informovanie obyvateľstva o spoločensky významných javoch verejného života, ochranu spoločnosti pred skreslenými a nedôveryhodnými informáciami; vykonáva kontrolu nad návrhom, tvorbou, vývojom, používaním, exportom a importom nástrojov informačnej bezpečnosti prostredníctvom ich certifikácie a licencovania činností v oblasti informačnej bezpečnosti; presadzuje potrebnú ochranársku politiku voči výrobcom nástrojov informatizácie a ochrany informácií na území Ruskej federácie a prijíma opatrenia na ochranu domáceho trhu pred prenikaním nekvalitných nástrojov informatizácie a informačných produktov; prispieva k poskytovaniu fyzických a právnických osôb prístup k svetovým informačným zdrojom, globálnym informačným sieťam; formuluje a realizuje štátnu informačnú politiku Ruska; organizuje vypracovanie federálneho programu na zaistenie informačnej bezpečnosti Ruskej federácie, ktorý spája úsilie štátnych a neštátnych organizácií v tejto oblasti; prispieva k internacionalizácii globálneho informačných sietí a systémov, ako aj vstup Ruska do globálnej informačnej komunity za podmienok rovnocenného partnerstva.

Prioritným smerom štátnej politiky v oblasti zaisťovania informačnej bezpečnosti Ruskej federácie je zlepšenie právnych mechanizmov regulácie vzťahov s verejnosťou vznikajúcich v informačnej sfére.

Ide o: posúdenie efektívnosti aplikácie existujúcich legislatívnych a iných regulačných právnych aktov v informačnej sfére a vypracovanie programu na ich zlepšenie; vytvorenie organizačných a právnych mechanizmov na zabezpečenie informačnej bezpečnosti; určenie právneho postavenia všetkých subjektov vzťahov v informačnej sfére vrátane používateľov informačných a telekomunikačných systémov a stanovenie ich zodpovednosti za dodržiavanie právnych predpisov Ruskej federácie v tejto oblasti; vytvorenie systému na zber a analýzu údajov o zdrojoch ohrozenia informačnej bezpečnosti Ruskej federácie, ako aj o dôsledkoch ich implementácie; vývoj normatívnych právnych aktov, ktoré určujú organizáciu vyšetrovania a súdneho konania skutkových okolností protiprávnych konaní v informačnej sfére, ako aj postupu pri odstraňovaní následkov týchto protiprávnych konaní; vývoj priestupkov s prihliadnutím na špecifiká trestnej, občianskoprávnej, správnej, disciplinárnej zodpovednosti a začlenenie relevantných právne normy do trestného, ​​občianskeho, správneho a pracovného zákonníka, do právnych predpisov Ruskej federácie o verejnej službe; zlepšenie systému výcviku personálu používaného v oblasti zaisťovania informačnej bezpečnosti Ruskej federácie.

Právna podpora informačnej bezpečnosti Ruskej federácie by mala byť založená predovšetkým na dodržiavaní zásad zákonnosti, vyváženosti záujmov občanov, spoločnosti a štátu v informačnej sfére. Dodržiavanie zásady zákonnosti si vyžaduje, aby sa federálne vládne orgány a vládne orgány zakladajúcich subjektov Ruskej federácie pri riešení konfliktov vznikajúcich v informačnej sfére prísne riadili legislatívnymi a inými regulačnými právnymi aktmi upravujúcimi vzťahy v tejto oblasti. Dodržiavanie princípu vyvažovania záujmov občanov, spoločnosti a štátu v informačnej sfére predpokladá legislatívne upevnenie priority týchto záujmov v rôznych oblastiach spoločnosti, ako aj využívanie foriem verejnej kontroly činnosti federálnej vlády. orgány a vládne orgány zakladajúcich subjektov Ruskej federácie. Realizácia garancií ústavných práv a slobôd človeka a občana súvisiacich s činnosťou v informačnej sfére je najdôležitejšou úlohou štátu v oblasti informačnej bezpečnosti. Rozvoj mechanizmov právnej podpory informačnej bezpečnosti v Ruskej federácii zahŕňa opatrenia na informatizáciu právnej sféry ako celku. Za účelom identifikácie a koordinácie záujmov federálnych vládnych orgánov, vládnych orgánov zakladajúcich subjektov Ruskej federácie a iných subjektov vzťahov v informačnej sfére a vypracovania potrebných rozhodnutí štát podporuje vytváranie verejných rád, výborov a komisií so širokým zastúpením verejných združení a uľahčuje organizáciu ich efektívnej práce.

Vlastnosti certifikácie a štandardizácie kryptografických služieb

Takmer vo všetkých krajinách s rozvinutými kryptografickými technológiami podlieha vývoj CIPF vládnej regulácii. Štátna regulácia spravidla zahŕňa licencovanie činností súvisiacich s vývojom a prevádzkou kryptografických nástrojov, certifikáciu CIPF a štandardizáciu kryptografických transformačných algoritmov.

Licencovaniu podliehajú tieto druhy činností: vývoj, výroba, certifikačné testovanie, predaj, prevádzka šifrovacích nástrojov určených na kryptografickú ochranu informácií obsahujúcich informácie predstavujúce štátne alebo iné zákonom chránené tajomstvo pri ich spracúvaní, uchovávaní a prenose prostredníctvom komunikačných kanálov, ako aj poskytovanie služieb v oblasti šifrovania týchto informácií; vývoj, výroba, certifikačné testovanie, prevádzka telekomunikačných systémov a komplexov najvyšších vládnych orgánov Ruskej federácie; vývoj, výroba, certifikačné testovanie, implementácia, prevádzka uzavretých systémov a telekomunikačných komplexov orgánov zakladajúcich subjektov Ruskej federácie, ústredných federálnych výkonných orgánov, organizácií, podnikov, bánk a iných inštitúcií nachádzajúcich sa na území Ruskej federácie bez ohľadu na ich rezortná príslušnosť a tvorí majetok (ďalej len uzavreté systémy a telekomunikačné komplexy) určený na prenos informácií tvoriacich štátne alebo iné zákonom chránené tajomstvo; vykonávanie certifikačných skúšok, implementácia a prevádzka šifrovacích nástrojov, uzavretých systémov a telekomunikačných komplexov určených na spracovanie informácií, ktoré neobsahujú informácie predstavujúce štátne alebo iné zákonom chránené tajomstvo pri ich spracúvaní, uchovávaní a prenose prostredníctvom komunikačných kanálov, ako aj poskytovanie služby v oblasti šifrovania týchto informácií

Šifrovacie nástroje zahŕňajú: hardvérové, softvérové ​​a hardvérovo-softvérové ​​nástroje, ktoré implementujú kryptografické algoritmy na konverziu informácií, zaisťujúce bezpečnosť informácií počas ich spracovania, uchovávania a prenosu prostredníctvom komunikačných kanálov vrátane šifrovacej technológie; Hardvérové, softvérové ​​a hardvérovo-softvérové ​​prostriedky ochrany pred neoprávneným prístupom k informáciám počas ich spracovania a ukladania, ktoré implementujú kryptografické algoritmy na konverziu informácií; implementácia kryptografických algoritmov na konverziu informácií, hardvérových, softvérových a hardvérovo-softvérových prostriedkov ochrany proti vloženiu nepravdivých informácií, vrátane prostriedkov na ochranu proti imitácii a „digitálneho podpisu“; hardvér, hardvér-softvér a softvér na výrobu kľúčových dokumentov pre šifrovacie nástroje, bez ohľadu na typ nosiča kľúčovej informácie.

Uzavreté systémy a telekomunikačné komplexy zahŕňajú telekomunikačné systémy a komplexy, ktoré zabezpečujú ochranu informácií pomocou šifrovacích nástrojov, bezpečných zariadení a organizačných opatrení.

Okrem toho, nasledujúce typy činností podliehajú licencovaniu: prevádzka šifrovacích nástrojov a/alebo nástrojov na digitálny podpis, ako aj šifrovacích nástrojov na ochranu elektronických platieb pomocou plastových kreditných kariet a čipových kariet; poskytovanie služieb ochrany informácií (šifrovanie); Inštalácia, inštalácia, úprava šifrovacích nástrojov a/alebo nástrojov na digitálny podpis, šifrovacích nástrojov na ochranu elektronických platieb pomocou plastových kreditných kariet a čipových kariet; vývoj šifrovacích nástrojov a/alebo nástrojov na digitálny podpis, šifrovacích nástrojov na ochranu elektronických platieb pomocou plastových kreditných kariet a čipových kariet

Postup certifikácie CIPF je stanovený certifikačným systémom pre nástroje ochrany kryptografických informácií ROSS.R11.0001.030001 ruského štátneho štandardu.

Štandardizácia kryptografických transformačných algoritmov zahŕňa komplexný výskum a publikáciu vo forme štandardov prvkov kryptografických postupov s cieľom využitia overených kryptograficky silných transformácií vývojármi CIPF, zabezpečenie možnosti spoločného fungovania rôznych CIPF, ako aj schopnosť testovať a overiť súlad implementácie CIPF s algoritmom špecifikovaným normou. V Rusku boli prijaté tieto štandardy: kryptografický transformačný algoritmus 28147-89, algoritmy hashovania, pripájania a overovania digitálneho podpisu R34.10.94 a R34.11.94. Zo zahraničných štandardov sú široko známe a používané šifrovacie algoritmy DES, RC2, RC4, hashovacie algoritmy MD2, MD4 a MD5 a algoritmy na pripevňovanie a overovanie digitálnych podpisov DSS a RSA.

Legislatívny rámec informačná bezpečnosť

Základné koncepcie, požiadavky, metódy a nástroje na navrhovanie a posudzovanie systému informačnej bezpečnosti informačných systémov (IS) sú premietnuté do týchto základných dokumentov:

"Oranžová kniha" Národného centra počítačovej bezpečnosti

"Harmonizované kritériá európskych krajín (ITSEC)";

Koncepcia ochrany pred nezákonnou činnosťou Štátnej komisie pod vedením prezidenta Ruskej federácie.

Koncepcia informačnej bezpečnosti

Bezpečnostná koncepcia vyvíjaného systému je "súbor zákonov, pravidiel a noriem správania, ktoré určujú, ako organizácia spracováva, chráni a distribuuje informácie. Predovšetkým pravidlá určujú, v ktorých prípadoch má používateľ právo pracovať s určitými množiny údajov Čím je systém spoľahlivejší, tým je prísnejší a koncepcia bezpečnosti by mala byť rôznorodejšia Podľa formulovanej koncepcie si môžete vybrať konkrétne mechanizmy, ktoré zaisťujú bezpečnosť systému Bezpečnostná koncepcia je aktívnou zložkou ochrany, vrátane analýzy možných hrozieb a výberu protiopatrení."

Bezpečnostný koncept vyvíjaného systému by mal podľa Orange Book obsahovať tieto prvky:

Náhodné riadenie prístupu;

Bezpečnosť opätovné použitie predmety;

Bezpečnostné štítky;

Vynútená kontrola prístupu.

Uvažujme o obsahu uvedených prvkov.

Riadenie náhodného prístupu je metóda obmedzenia prístupu k objektom, založená na zohľadnení identity subjektu alebo skupiny, do ktorej subjekt patrí. Svojvoľnosť kontroly spočíva v tom, že niektorá osoba (zvyčajne vlastník objektu) môže podľa vlastného uváženia poskytnúť alebo odobrať iným subjektom prístupové práva k objektu.

Hlavnou výhodou kontroly náhodného prístupu je flexibilita, hlavnými nevýhodami je rozptýlenosť kontroly a zložitosť centralizovaného riadenia, ako aj izolácia prístupových práv od údajov, čo umožňuje kopírovať tajné informácie do verejných súborov.

Zabezpečenie opätovného použitia objektov je v praxi dôležitým doplnkom kontroly prístupu, ktorý chráni pred náhodným alebo úmyselným získaním citlivých informácií z odpadu. Bezpečnosť opätovného použitia musí byť zaručená pre oblasti pamäte RAM (najmä pre vyrovnávacie pamäte s obrazmi obrazovky, dešifrované heslá atď.), pre bloky diskov a magnetické médiá vo všeobecnosti.

Bezpečnostné označenia sú priradené k subjektom a objektom na vynútenie kontroly prístupu. Označenie subjektu popisuje jeho dôveryhodnosť, označenie objektu popisuje stupeň dôvernosti informácií, ktoré obsahuje. Bezpečnostné štítky sa podľa Orange Book skladajú z dvoch častí – úrovne zabezpečenia a zoznamu kategórií. Hlavným problémom, ktorý je potrebné riešiť pomocou značiek, je zabezpečenie ich integrity. Po prvé, nemali by existovať žiadne neoznačené subjekty alebo objekty, inak budú v označenom zabezpečení ľahko zneužiteľné diery. Po druhé, počas akýchkoľvek operácií s údajmi musia štítky zostať správne. Jedným zo spôsobov zabezpečenia integrity bezpečnostných štítkov je oddelenie zariadení na viacúrovňové a jednoúrovňové zariadenia. Viacúrovňové zariadenia môžu uchovávať informácie rôznych úrovní utajenia (presnejšie ležiace v určitom rozsahu úrovní). Jednoúrovňové zariadenie možno považovať za degenerovaný prípad viacúrovňového zariadenia, kde povolený rozsah pozostáva z jednej úrovne. Na základe znalosti úrovne zariadenia sa systém môže rozhodnúť, či je dovolené naň zapisovať informácie s určitým štítkom.

Vynútená kontrola prístupu je založená na zhode bezpečnostných označení subjektu a objektu. Tento spôsob kontroly prístupu sa nazýva nútený, pretože nezávisí od vôle subjektov (dokonca správcov systému). Vynútená kontrola prístupu prichádza v mnohých variantoch operačné systémy a DBMS, ktoré sa vyznačujú zvýšenými bezpečnostnými opatreniami.

Počúvajte... mohli by ste si, pre náš spoločný prospech, vytlačiť každý list, ktorý vám príde na poštu, došlý aj odchádzajúce, viete, trochu a prečítať si ho: obsahuje nejaký druh správy alebo len korešpondenciu... .

N.V. Gogol „Generálny inšpektor“

V ideálnom prípade by dôverný list mali vedieť prečítať iba dvaja ľudia: odosielateľ a osoba, ktorej je adresovaný Formulácia takejto zdanlivo veľmi jednoduchej veci bola východiskovým bodom kryptografických ochranných systémov. Rozvoj matematiky dal impulz vývoju takýchto systémov.

Už v 17. – 18. storočí boli šifry v Rusku dosť sofistikované a odolné voči prelomeniu. Mnohí ruskí matematici pracovali na vytváraní alebo zlepšovaní šifrovacích systémov a zároveň sa pokúšali nájsť kľúče k šifrám iných systémov. V súčasnosti je možné zaznamenať niekoľko ruských šifrovacích systémov, ako sú Lexicon Verba, Secret Net, DALLAS LOCK, Secret Disk, rodina produktov Accord atď. Budeme o nich hovoriť. Zoznámite sa tiež s hlavnými softvérovými a hardvérovými kryptografickými ochranné komplexy, dozvedieť sa o ich schopnostiach, silných a slabých stránkach. Dúfame, že vám tento článok pomôže pri výbere kryptoochranného systému.

Úvod

Máte z toho obavy dôležitá informácia z vášho počítača sa môže dostať do nesprávnych rúk? Tieto informácie môžu použiť konkurenti, regulačné orgány a jednoducho nepriatelia. Je zrejmé, že takéto akcie vám môžu spôsobiť značné škody. Čo robiť? Ak chcete chrániť svoje informácie pred cudzími ľuďmi, musíte si nainštalovať jeden z programov na šifrovanie údajov. Naša recenzia je venovaná analýze šifrovacích systémov pre desktopové systémy. Je potrebné poznamenať, že používanie zahraničných šifrovacích systémov v Rusku je z viacerých dôvodov výrazne obmedzené, takže vládne organizácie a veľké domáce spoločnosti sú nútené využívať ruský vývoj. Stredné a malé firmy, ale aj jednotlivci však niekedy uprednostňujú zahraničné systémy.

Pre nezasvätených vyzerá šifrovanie informácií ako trochu čiernej mágie. Šifrovanie správ s cieľom skryť ich obsah pred cudzincami je skutočne zložitý matematický problém. Okrem toho musí byť šifra vybraná tak, aby ju bolo takmer nemožné otvoriť bez kľúča, ale pomocou kľúča - rýchlo a jednoducho. Pre mnohé spoločnosti a organizácie je veľmi ťažké vybrať si pri inštalácii šifrovacích programov tú najlepšiu voľbu. Vec je ďalej komplikovaná skutočnosťou, že neexistujú absolútne bezpečné počítače a absolútne spoľahlivé šifrovacie systémy. Stále však existuje dostatok spôsobov, ako odraziť takmer všetky pokusy o odhalenie zašifrovaných informácií.

Čo je súčasťou šifrovacích programov?

Šifrovacie programy sa navzájom líšia v šifrovacom algoritme. Po zašifrovaní súboru ho môžete zapísať na disketu a odoslať cez e-mail alebo ho umiestnite na server vo vašej lokálnej sieti. Príjemca vášho šifrovania musí mať rovnaký šifrovací program, aby mohol čítať obsah súboru.

Ak chcete poslať šifrovanú správu viacerým používateľom súčasne, potom môžu byť vaše informácie pre každého príjemcu zašifrované pomocou jeho vlastného kľúča alebo pomocou zdieľaného kľúča pre všetkých používateľov (vrátane autora správy).

Kryptografický bezpečnostný systém používa tajný kód na premenu vašich informácií na nezmyselný, pseudonáhodný reťazec znakov. S dobrým šifrovacím algoritmom je takmer nemožné dešifrovať správu bez znalosti tajný kód, ktorý sa používa na šifrovanie. Takéto algoritmy sa nazývajú algoritmy symetrického kľúča, pretože rovnaký kľúč sa používa na šifrovanie a dešifrovanie informácií.

Na ochranu vašich údajov vytvorí šifrovací program pomocou vášho hesla tajný kľúč. Stačí si nastaviť dlhé heslo, ktoré nikto neuhádne. Ak však chcete, aby si súbor mohol prečítať niekto iný, budete musieť tejto osobe povedať tajný kľúč (alebo heslo, z ktorého bol vytvorený). Môžete si byť istí, že aj jednoduchý šifrovací algoritmus ochráni vaše dáta pred bežný používateľ povedzme od kolegu z práce. Profesionáli však majú množstvo spôsobov, ako dešifrovať správu bez toho, aby poznali tajný kód.

Bez špeciálnych znalostí nebudete môcť nezávisle skontrolovať, aký spoľahlivý je váš šifrovací algoritmus. Môžete sa však spoľahnúť na názor profesionálov. Niektoré šifrovacie algoritmy, ako napríklad Triple DES (Data Encryption Standard), boli testované mnoho rokov. Na základe výsledkov testov sa tento algoritmus osvedčil a kryptografi veria, že mu možno dôverovať. Väčšina nových algoritmov je tiež starostlivo študovaná a výsledky sú publikované v odbornej literatúre.

Ak algoritmus programu nebol otvorene preskúmaný a prediskutovaný odborníkmi, ak nemá certifikáty a iné oficiálne dokumenty, je to dôvod pochybovať o jeho spoľahlivosti a odmietnuť takýto program používať.

Ďalším typom šifrovacieho systému sú systémy verejného kľúča. Aby takýto systém fungoval, nie je potrebné poskytnúť príjemcovi tajný kľúč (alebo heslo, na základe ktorého bol vytvorený). Tieto šifrovacie systémy generujú pre každého používateľa dva digitálne kľúče: jeden sa používa na šifrovanie údajov a druhý na ich dešifrovanie. Prvý kľúč (nazývaný verejný kľúč) môže byť zverejnený, ale druhý kľúč môže byť utajený. Potom môže ktokoľvek zašifrovať informácie pomocou verejného kľúča a iba tí, ktorí majú zodpovedajúci tajný kľúč, ich môžu dešifrovať.

Niektoré šifrovacie programy obsahujú ďalší dôležitý bezpečnostný prvok – digitálny podpis. Digitálny podpis potvrdzuje, že súbor nebol od podpísania zmenený a poskytuje príjemcovi informácie o tom, kto súbor podpísal. Algoritmus na vytvorenie digitálneho podpisu je založený na výpočte kontrolného súčtu - takzvaného hash súčtu alebo správy. Použité algoritmy zaisťujú, že nie je možné nájsť dva rôzne súbory, ktorých súčty hash by sa zhodovali.

Keď príjemca dostane digitálne podpísaný súbor, jeho šifrovací program prepočíta hash pre tento súbor. Príjemca potom použije verejný kľúč zverejnený odosielateľom na rekonštrukciu digitálneho podpisu. Ak sa výsledok zhoduje s hodnotou vypočítanou pre súbor, príjemca si môže byť istý, že text správy nebol zmenený (ak áno, hash by bol iný) a podpis patrí niekomu, kto má prístup k súkromnému kľúču odosielateľa. .

Ochrana dôležitých alebo dôverných informácií vyžaduje nielen dobrý programšifrovanie. Na zabezpečenie informačnej bezpečnosti musíte prijať množstvo opatrení. Ak je vaše heslo slabé (odborníci odporúčajú použiť osem alebo viac znakov) alebo ak je vo vašom počítači uložená nezašifrovaná kópia citlivých informácií, potom bude aj ten najlepší šifrovací systém bezmocný.

Systém "Lexicon-Verba"

Systém Lexikon-Verba je prostriedkom na organizáciu bezpečného toku elektronických dokumentov v rámci podnikovej siete a medzi rôznymi organizáciami. Lexikon-Verba využíva dve modifikácie kryptografického systému: systém Verba-W je určený pre orgány štátnej správy (ochrana dôverných informácií, najmä drevotrieskových dosiek; podpisové kľúče sú verejné, šifrovacie kľúče sú súkromné), systém Verba-OW je určený pre komerčné organizácie (ochrana obchodného tajomstva; podpisové a šifrovacie kľúče sú verejné).

Existuje pomerne veľa globálnych šifrovacích štandardov, ale len malá časť z nich má certifikáty od Federálnej agentúry pre vládne komunikácie a informácie (FAGSI), čo znemožňuje používanie necertifikovaných riešení v Rusku. Systém Verba-W má certifikát FAPSI č. SF/114-0176. Systém "Verba-OW" - FAPSI certifikát č. SF/114-0174.

Lexikon-Verba poskytuje šifrovanie a elektronický digitálny podpis v súlade s požiadavkami GOST 28147-89 „Systémy spracovania informácií. Kryptografická ochrana" a GOST R34.10-94" Informačné technológie. Ochrana kryptografických informácií. Postupy na vývoj a overovanie elektronického digitálneho podpisu založeného na asymetrickom kryptografickom algoritme.

Program je certifikovaný Štátnou technickou komisiou pod vedením prezidenta Ruskej federácie. Očakáva sa, že v júli dostane certifikát od ruského ministerstva obrany.

Kryptografická ochrana systému je založená na technike šifrovania verejným kľúčom. Každý kľúč, ktorý identifikuje používateľa, pozostáva z dvoch častí: verejného kľúča a súkromného kľúča. Verejný kľúč je možné voľne šíriť a používa sa na šifrovanie informácií daného používateľa. Na dešifrovanie dokumentu musí mať používateľ, ktorý ho zašifroval, váš verejný kľúč a pri jeho šifrovaní uviesť, že máte prístup k dokumentu.

Ak chcete dešifrovať dokument, musíte použiť súkromný kľúč. Súkromný kľúč pozostáva z dvoch častí, z ktorých jedna je uložená na čipovej karte alebo v dotykovej pamäti a druhá na pevnom disku vášho počítača. Teda ani strata čipovej karty ani nepovolený prístup do počítača nedávajú každému jednotlivo možnosť dešifrovať dokumenty.

Počiatočná sada kľúčov, ktorá obsahuje úplné informácie o verejných a súkromných kľúčoch používateľa, sa vytvára na špeciálne vybavenej zabezpečenej pracovnej stanici. Disketa s kľúčovými informáciami sa používa iba vo fáze prípravy pracovnej stanice používateľa.

Systém Lexikon-Verba možno použiť v rámci dvoch hlavných systémov na organizáciu bezpečného toku dokumentov:

• ako nezávislé riešenie. Ak má vaša organizácia lokálnu sieť, systém nie je možné nainštalovať na všetky počítače, ale iba na tie, ktoré vyžadujú prácu s dôvernými dokumentmi. To znamená, že v rámci podnikovej siete vzniká podsieť na výmenu utajovaných skutočností. Účastníci uzavretej časti systému si zároveň môžu vymieňať otvorené dokumenty s ostatnými zamestnancami;
• Ako komponent tok dokumentov. "Lexikon-Verba" má štandardné rozhrania pripojenie externých funkcií na vykonávanie operácií otvárania, ukladania, zatvárania a odosielania dokumentov, čo uľahčuje integráciu tohto systému do existujúcich aj novo vyvinutých systémov toku dokumentov.

Je potrebné poznamenať, že vlastnosti systému Lexicon-Verba z neho robia nielen prostriedok na poskytovanie ochrany informácií pred vonkajšími prienikmi, ale aj prostriedok na zvýšenie internej firemnej dôvernosti a zdieľania prístupu.

Jedným z dôležitých dodatočných zdrojov na zvýšenie úrovne kontroly informačnej bezpečnosti je schopnosť viesť „záznam udalostí“ pre akýkoľvek dokument. Funkciu záznamu histórie dokumentov je možné povoliť alebo zakázať iba počas inštalácie systému; ak je aktivovaný, tento protokol sa bude udržiavať bez ohľadu na želanie používateľa.

Hlavnou výhodou a charakteristickou črtou systému je jednoduchá a intuitívna implementácia funkcií informačnej bezpečnosti pri zachovaní tradičných textové procesory pracovné prostredie používateľa.

Kryptografická jednotka vykonáva šifrovanie, ako aj inštaláciu a odstraňovanie elektronických digitálnych podpisov (EDS) dokumentov.

Medzi pomocné funkcie bloku patrí načítanie tajného kľúča, export a import verejných kľúčov, nastavenie a údržba adresára systémových účastníckych kľúčov.

Každá osoba, ktorá má prístup k dokumentu, teda môže vložiť iba svoj vlastný podpis, ale odstrániť ktorýkoľvek z predtým podpísaných.

Odzrkadľuje to akceptovaný postup pre kancelársku prácu, keď dokument, ktorý prechádza schvaľovaním, môže podliehať opravám v rôznych fázach, ale potom musí byť dokument znovu schválený.

Keď sa pokúsite vykonať zmeny v dokumente iným spôsobom ako Lexikon-Verba, digitálny podpis sa poškodí a v dôsledku toho sa v poli „Stav podpisu“ zobrazí správa „Poškodený“.

Kancelária

S rastúcim počtom používateľov systému je zadávanie každého verejného kľúča na každom počítači ťažké. Preto je na organizáciu práce kancelárie organizovaná centralizovaná správa adresára verejných kľúčov. Toto sa robí nasledovne:

1) „Lexicon-Verba“ je nainštalovaný na počítači správcu v lokálnom režime. Tým sa vytvorí adresár verejných kľúčov, do ktorého administrátor pridá každý kľúč používaný v kancelárii;

2) na všetkých ostatných počítačoch je systém nainštalovaný v sieťovom režime. V tomto režime sa používa adresár verejných kľúčov umiestnený na počítači správcu;

3) všetci Nový užívateľ zadaný administrátorom do adresára, sa stane „viditeľným“ pre všetkých používateľov pripojených k adresáru. Od tohto momentu mu dokážu preniesť zašifrované dokumenty.

Správa adresára sa stáva centralizovanou, ale to nemá vplyv na úroveň bezpečnosti systému, pretože poskytovanie prístupu k verejným kľúčom je akýmsi „úvodom“ pre používateľov, ale neposkytuje prístup k žiadnym dokumentom. Aby mohol používateľ dokument dešifrovať, je potrebné, aby sa jeho verejný kľúč nielen nachádzal v adresári, ale aby bol aj výslovne označený, že má k dokumentu prístup.