Наименование используемых криптографических средств в школе

Обновлено: 02.07.2024

СКЗИ (средство криптографической защиты информации) — это программа (служба), которая отвечает за работу с электронной подписью, а также обеспечивает:

СКЗИ может быть представлена как отдельный программный продукт или встроена в носитель, например Рутокен ЭЦП 2.0 и JaCarta-2 SE. При использовании такого носителя не требуется лицензия и установка дополнительных программ — все действия по шифрованию и расшифровке выполняются непосредственно на носителе.

Виды СКЗИ

    — для Windows 7/8/8.1/10/Server 2008 R2/2012 R2, для UNIX-подобных операционных систем. — для Windows 7/8/8.1/10/Server 2008 R2/2012/2012 R2, для Linux. — для Windows Vista/7/8/8.1/10/Server 2008 R2/2012 R2/2016/2019. — для Windows XP/Vista/7/8/8.1/Server 2003/2008/2008 R2.

Приобрести их можно в наших офисах продажи.

На одном компьютере нельзя работать с несколькими СКЗИ одновременно. Если вы используете, например, КриптоПро CSP для сдачи отчетности, а VipNet CSP для клиент-банка, установите их на разные ПК.

При выборе СКЗИ учитывайте требования госорганов и контрагентов. Например, LISSI-CSP, Signal-COM CSP, встроенная СКЗИ на JaCarta не поддерживают расшифровку данных в режиме шифрования CBC. Поэтому они не подходят для сдачи некоторых отчетов. Выберите КриптоПро CSP, VipNet CSP или Рутокен ЭЦП 2.0, если будете отправлять:

  • ЭЛН, ПОВЭД — в ФСС;
  • СЗВ-ТД, ЗПЭД — в ПФР;
  • любые отчеты в МВД или Росприроднадзор.

Лицензия

Для нормального функционирования системы необходима лицензия на использование приобретенной версии СКЗИ. Без лицензии система работает примерно месяц в демонстрационном режиме. По истечении этого периода, если лицензия не была введена, система становится неработоспособной.

В приказе ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер. " вышедшего в поддержку применения средств криптографической защиты информация (СКЗИ) для обеспечения защиты Персональных данных, в зависимости от выбранного уровня защищенности ИСПДн, содержаться требования к тому или ному классу СКЗИ.

Так же можно почитать мнения Волкова и Алексея Лукацкого о данном документе, когда он еще готовился в печать.

Обратите особое внимание, на то, что вмененное в обязательном порядке требование "использовать средства защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз" (п.5г), рассматриваемого документа предполагается использование сертифицированных СКЗИ.

А далее даются конкретные классы СКЗИ под уровни защищенности ПДн, которые мы и приведем в нашей таблице.

Требования ФСБ остаются до сих пор загадкой для многих специалистов. Почему так происходит?

  • Необязательное применение средств шифрования операторами.
  • Сложная для понимания нормативная база.
  • Отсутствие разъяснений к документам со стороны регулятора.
  • Страх операторов навлечь на себя дополнительные проверки при использовании криптографии.

Но, несмотря на все трудности, без криптографической защиты не обойтись при передаче персональных данных по незащищенному каналу связи, сюда входит, например, удаленная работа сотрудников с базой данных клиентов, обмен информацией между филиалами и головным офисом, передача личной информации работников третьим лицам. В том или ином виде подобные задачи присутствуют практически в каждой организации.

Давайте разберем в общих чертах нормативную базу по этому вопросу. Можно выделить три основных документа по криптографической защите персональных данных в Российской Федерации:

Методические рекомендации

Требования вышеуказанного документа (а также других нормативных актов в области криптографической защиты ПДн) не распространяются на следующие случаи:

  • Обработка персональных данных без использования средств автоматизации;
  • Работа с персональными данными, составляющими государственную тайну;
  • Использование технических средств, расположенных за пределами РФ.

В документе сказано, что в случае использования средств криптографической защиты, нужно разрабатывать модель угроз по требованиям как ФСТЭК, так и ФСБ (за редким исключением). Операторы могут сами составлять модели угроз и нарушителя, лишь при необходимости привлекая лицензиатов ФСБ. Все угрозы в документе делятся на атаки и угрозы, не являющиеся атаками, приведены примеры распространенных угроз. Вы можете руководствоваться Методикой как справочным материалом при написании модели по новым требованиям.

Модель угроз верхнего уровня определяет характеристики безопасности ПДн и других объектов защиты. В детализированной модели угроз обозначены требуемые условия криптозащиты.

На модель угроз влияют различные факторы: условия создания и использования ПДн, формы представления ПДн, характеристики безопасности и т.д.

Кроме привычных характеристик: целостности, конфиденциальности и доступности выделяют также неотказуемость, учетность, аутентичность и адекватность.

Пример модели угроз верхнего уровня:

  1. Угроза конфиденциальности персональных данных.
  2. Угроза целостности персональных данных.
  3. Угроза доступности персональных данных.

Документ посвящен не только вопросам формирования модели угроз, но и особенностям составления адекватной модели нарушителя. Все нарушения в Методических рекомендациях делятся на два класса: прямые и косвенные нарушения безопасности ПДн (угрозы, создающие условия для возникновения прямых угроз). Выделяется 6 основных типов нарушителей: Н1, Н2, Н3, Н4, Н5, Н6. Чем выше цифра, тем больше возможностей, нарушитель каждого следующего типа наследует возможности предыдущего. Оператор самостоятельно определяет уровень подготовки нарушителей, доступные им инструменты и делает предположение о сговоре. В документе указаны основные характеристики нарушителя каждого типа. Также определены 6 уровней криптозащиты: KC1, KC2, KC3, KB1, KB2, KA1 и 6 классов криптосредств с аналогичными названиями, в этом плане ничего не изменилось и по сей день. ИСПДн также разделяются на 6 классов, в зависимости от наивысшей категории нарушителя. АК1- если наивысшая категория нарушителя Н1, АК2-если Н2, АК3 — если Н3, АК4 — если Н4, АК5 — если Н5, АК6 — если Н6. Соответственно распределены средства криптозащиты: АК1 — КС1, АК2 — КС2, АК3 — КС3, АК4 — КВ1, АК5 — КВ2, АК6 — КА1.

Типовые требования

  • не допускать копирования ключевой информации;
  • не разглашать информацию о ключах;
  • не записывать на ключевые носители постороннюю информацию и т.д.

Описан процесс уничтожения ключа, основные требования к помещениям, представлены типовые формы журналов. На основании информации, содержащейся в документе можно построить некоторые полезные инструкции.

Приказ 378

Выхода 378 Приказа ждало все профессиональное сообщество и вот, наконец, он вступил в силу. На сегодняшний день это — главный документ в области криптографической защиты персональных данных, и его действие распространяется на все ИСПДн, в которых используются в качестве защиты криптографические СЗИ. Приказом определены требования не только к криптографической защите, но и к режиму обеспечения безопасности помещений, порядок хранения носителей информации и другие организационные меры в зависимости от уровня защищенности системы. Отдельно указано, что оператору следует использовать СЗИ, прошедшие оценку соответствия — сертифицированные по требованиям безопасности. Защитные меры описаны очень подробно, включают в себя требования к оснащенности помещений (замки, приспособления для опечатывания, решетки на окна и т.д.). В отличие от положений Методических рекомендаций в Приказе 378 класс СКЗИ определяется относительно уровня защищенности и актуального типа угроз. Возможности злоумышленника учитываются лишь при определении класса СКЗИ для 4 уровня защищенности.

Таблица 1. Класс СКЗИ


Зависимость от уровня защищенности и типа угроз достаточно очевидна, и, как мы видим, оператор почти всегда может выбрать класс СКЗИ из нескольких вариантов.

Документ отличается четкой логикой изложения — достаточно знать уровень защищенности своей системы — требования к ИСПДн каждого уровня представлены в отдельных разделах. Стоит отметить, что требования наследуются от более низких уровней к более высоким, ИСПДн 1-го уровня защищенности должна отвечать требованиям для ИСПДн 2-го, 3-го и 4-го уровней. На мой взгляд, разобраться с требованиями нового Приказа не составит труда даже начинающему специалисту.

Безусловно, в одной краткой статье невозможно определить все нюансы криптографической защиты персональных данных, да и нужно ли это делать? Мы разобрали здесь основные моменты, поняли логику документов, остальное — детали, которые можно изучить самостоятельно. А в пятой части будут рассмотрены не менее важные вопросы: определение требований к системе защиты персональных данных и выбор мер защиты.

Автор: Шудрова К.Е.

Химеры информационной безопасности

Каждый специалист по защите информации рано или поздно задумывается о границах своих возможностей. В данной статье мне хотелось бы по-рассуждать о том, что является неосуществимым на данный момент, спустя пару лет мы с вами будем наблюдать совсем другую картину и причин тому масса: глобализация, изменение потребностей бизнеса, увеличение мощности информационных систем и многое другое.


Обратил внимание, что несмотря на положение про " использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз " (п.5г), в документа предполагается использование сертифицированных СКЗИ, даются конкретные классы СКЗИ под уровни защищенности ПДн.

Стоит понимать, что обеспечение конфиденциальности не подразумевает обязательное применение средств шифрования. Применение средств криптографической защиты информации (далее – СКЗИ) актуально в том случае, если это установлено в техническом задании, следует из Модели угроз (МУ) и/или Модели нарушителя, а также при передаче персональных данных по линиям связи, выходящим за пределы контролируемой зоны оператора.

Правильный выбор средств криптографической защиты информации позволяет обеспечить не только соблюдение нормативно-правовых актов, но и безопасность персональных данных, передаваемых по каналам связи с использованием таких средств. Подбор СКЗИ должен осуществляться с учетом требований нормативно-правовых актов, особенностей инфраструктуры информационной системы персональных данных, выявленных актуальных угроз персональным данным и необходимых функциональных характеристик СКЗИ.

Классы СКЗИ

Классы СКЗИ и соответствующие возможности нарушителей согласно приказу ФСБ № 378 представлены в таблице 1.

СКЗИ определенного класса применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных для предыдущего класса и не менее одной данного класса.

Каждый следующий класс СКЗИ включает в себя возможности нарушителей предыдущего класса.

Таблица 1 – Классы СКЗИ и соответствующие возможности нарушителей

Возможности нарушителей

Создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ

Создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ

Проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее - контролируемая зона)

Проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:

  • внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;
  • внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ.

Проведение атак на этапе эксплуатации СКЗИ на:

  • персональные данные;
  • ключевую, аутентифицирующую и парольную информацию СКЗИ;
  • программные компоненты СКЗИ;
  • аппаратные компоненты СКЗИ;
  • программные компоненты СФ, включая программное обеспечение BIOS;
  • аппаратные компоненты СФ;
  • данные, передаваемые по каналам связи;
  • иные объекты, которые установлены при формировании совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее - АС) и программного обеспечения (далее - ПО).

Получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация:

  • общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);
  • сведения об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационной системе совместно с СКЗИ;
  • содержание конструкторской документации на СКЗИ;
  • содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;
  • общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
  • сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее - канал связи);
  • все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами;
  • сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;
  • сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;
  • сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ.
  • находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;
  • специально разработанных АС и ПО.

Использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:

  • каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами;
  • каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ.

Проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети.

Использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства).

Проведение атаки при нахождении в пределах контролируемой зоны.

Проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

  • документацию на СКЗИ и компоненты СФ;
  • помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ.

Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

  • сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;
  • сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;
  • сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ.

Использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Физический доступ к СВТ, на которых реализованы СКЗИ и СФ.

Возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО.

Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.

Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО.

Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ.

Возможность располагать всеми аппаратными компонентами СКЗИ и СФ.

При выборе СКЗИ стоит обратить внимание на наличие сертификата соответствия требованиям ФСБ России и его актуальность. В процессе эксплуатации СКЗИ важно обеспечивать контроль использования СКЗИ и актуальности срока действия сертификата соответствия.

Контроль и проверка использования СКЗИ

В подготовке к самой проверке ФСБ особого смысла нет. Построение комплексной системы защиты персональных данных – процесс, требующий времени и определенных компетенций. Наличие документов (например: приказов, инструкций, журналов) необходимо, но для проверки этого недостаточно. Необходимо осуществлять ведение журналов и систематически проводить проверки по исполнению положений локально-нормативных актов, регламентирующих эксплуатацию СКЗИ. В случае отсутствия таких процедур подготовка к проверке приведет к пустой трате времени, а проверяющие все равно выявят все ошибки эксплуатации СКЗИ, способных впоследствии привести к утере, несанкционированному доступу, уничтожению и блокированию ПДн.

Федеральная служба безопасности проверяет условия обработки и защиты персональных данных с использованием средств криптографической защиты информации. Более детальная информация приведена в таблице 2.

Таблица 2 – Соответствие требований и перечня предоставляемых документов

Перечень предоставляемых документов

Организация системы организационных мер защиты персональных данных.

  • о назначении ответственного пользователя СКЗИ;
  • о перечне лиц, допущенных к работе с СКЗИ;
  • об утверждении инструкций;
  • иные.
  • модель нарушителя ИСПДн, содержащая возможности нарушителей в соответствии с приказом ФСБ №378.

Смысл данного приказа заключается в обосновании выбора класса СКЗИ.

Организация системы криптографических мер защиты информации.

  • Модель угроз на каждую ИСПДн.
  • Документы по поставке СКЗИ оператору.

Разрешительная и эксплуатационная документация на СКЗИ.

  • Лицензии на СКЗИ.
  • Сертификаты соответствия на СКЗИ.
  • Формуляры на СКЗИ.

Следует предоставлять в печатном виде.

Требования к обслуживающему персоналу (требование к лицам, допущенным к работе).

  • Утвержденный список лиц, допущенных к работе с СКЗИ.
  • Документы, подтверждающие функциональные обязанности сотрудников.
  • Журнал учета пользователей криптосредств.
  • Документы, подтверждающие прохождение обучения сотрудников.
  • ответственного за эксплуатацию средств криптографической защиты информации;
  • по обращению со средствами криптографической защиты информации;
  • пользователя и администратора СКЗИ.
  • ввода СКЗИ в эксплуатацию;
  • приема-передачи средств криптографической защиты;
  • установления уровня защищенности ПДн, обрабатываемых в информационных системах персональных данных.

В процессе изучения актов проверяющими будут интервьюироваться сотрудники, работающие с данными информационными системами. Тут уже важно то, насколько уместно и корректно они будут отвечать на задаваемые им вопросы.

  • установки средств защиты информации на все рабочие станции.

Следует опечатать рабочие станции

  • поэкземплярного учета СКЗИ;
  • учета и выдачи носителей с ключевой информацией.

Оценка соответствия применяемых СКЗИ

  • Средства СКЗИ.
  • Программное обеспечение СКЗИ (дистрибутив).
  • Эксплуатационная документация на СКЗИ.
  • Помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним.
  • Инструкции, регламентирующие правила и процедуры доступа в помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним.
  • Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ.

Необходимо иметь сигнализацию и сейфы во всех помещениях, где установлены средства криптографической защиты.

С целью прохождения проверки ФСБ оператор при эксплуатации СКЗИ в обязательном порядке должен:

  1. Обеспечивать контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, согласно эксплуатационной документации производителя.
  2. Обеспечивать контроль за актуальностью сертификата соответствия ФСБ России и лицензии на применяемое СКЗИ.
  3. Издавать локально-нормативные акты, регламентирующие порядок, правила обращения и обслуживания СКЗИ.
  4. Обеспечивать физическую защиту средств вычислительной техники, содержащих СКЗИ или их компоненты, аппаратных СКЗИ и ключевых носителей информации.
  5. Ограничивать физический и логический доступ к СКЗИ и ключевым носителям информации.
  6. Обеспечивать контроль соответствия положений организационно-распорядительной документации реальным условиям эксплуатации СКЗИ и информационной системы персональных данных в целом.
  7. Обеспечивать контроль работоспособности и правильности функционирования СКЗИ.

Мероприятия для обеспечения безопасности ПДн

При нарушении требований по обеспечению персональных данных, предусмотренных нормативно-правовыми актами, предусмотрена административная ответственность. Для физического лица, как правило, в среднем предусмотрены штрафы около тысячи - двух тысяч рублей, для юридического лица – от двадцати тысяч рублей. При невыполнении множества требований нормативно-правовых актов другими регуляторами, например, Роскомнадзором, могут накладываться более серьезные штрафы, суммы которых в совокупности могут привести к значительным финансовым потерям.

При подготовке к проверке регулятора к типовым нарушениям относятся:

- Отсутствие актуального сертификата соответствия СКЗИ;

- Отсутствие журналов учета или нерегулярное их заполнение;

- Отсутствие дистрибутивов СКЗИ, формуляров, документов;

- Недостаточные меры по обеспечению физической защиты;

- Использование СКЗИ класса ниже необходимого.

- Некорректно разработанная модель угроз.

Остались вопросы? Нужна консультация? Необходимо выполнить работы по внедрению СКЗИ?
Напишите нам! Сегодня обсудим, а завтра начнем выполнять!

Читайте также: