Читайте также:
|
Положение "О государственном лицензировании деятельности в области защиты информации" определяет порядок проведения лицензирования предприятий в области защиты информации, который включает следующие действия: проведение экспертизы заявителя; подачу, рассмотрение заявления на лицензирование, оформление и выдачу лицензий; продление срока действия лицензий; учет лицензиатов и информирование в сфере лицензирования.
Перечень видов деятельности, лицензируемых ФСТЭК России:
I. Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации), включающих:
а) сертификацию и сертификационные испытания (технических средств защиты информации; защищенных технических средств обработки информации; технических средств контроля эффективности мер защиты информации; программных (программно-технических) средств защиты информации; защищенных программных (программно-технических) средств обработки информации; программных (программно-технических) средств контроля защищенности информации);
б) контроль защищенности информации, составляющей государственную тайну, аттестация средств и систем на соответствие требованиям по защите информации (автоматизированных систем различного уровня и назначения; систем связи, приема, обработки и передачи данных; систем отображения и размножения; технических средств (систем) не обрабатывающих информацию, составляющую государственную тайну, но размещенных в помещениях, где она обрабатывается; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для проведения секретных переговоров);
в) проведение специсследований на ПЭМИН технических средств обработки информации;
г) проектирование объектов в защищенном исполнении (автоматизированных систем различного уровня и назначения; систем связи, приема, обработки и передачи данных; систем отображения и размножения; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения секретных переговоров).
II. Осуществление мероприятий и (или) оказание услуг (в сфере компетенции) в области защиты государственной тайны, включающих:
а) осуществление специальных экспертиз организаций-соискателей лицензии ФСТЭК России на оказание услуг в области защиты государственной тайны (в части технической защиты информации);
б) осуществление специальных экспертиз организаций-соискателей лицензии ФСТЭК России на проведение мероприятий и (или) оказание услуг в области защиты государственной тайны (в части противодействия техническим разведкам);
в) осуществление специальных экспертиз организаций-соискателей лицензии ФСТЭК России на выполнение работ, связанных с созданием средств защиты информации.
III. Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части противодействия техническим разведкам);
IV. Проведение работ, связанных с созданием средств защиты информации, включающих разработку, производство, реализацию, установку, монтаж, наладку, испытания, ремонт или сервисное обслуживание:
а) технических средств защиты информации;
б) защищенных технических средств обработки информации;
в) технических средств контроля эффективности мер защиты информации;
г) программных (программно-технических) средств защиты информации;
д) защищенных программных (программно-технических) средств обработки информации;
е) программных (программно-технических) средств контроля защищенности информации.
V. Деятельность по технической защите конфиденциальной информации;
VI. Деятельность по разработке и (или) производству средств защиты конфиденциальной информации.
Структура системы лицензирования ФСТЭК России.
Организационную структуру системы лицензирования ФСТЭК России образуют:
ФСТЭК России осуществляет следующие функции:
Правовой базой деятельности Системы сертификации средств защиты информации по требованиям безопасности информации являются:
· Закон Российской Федерации "О государственной тайне",
· федеральные законы "О техническом регулировании", "Об информации, информационных технологиях и о защите информации",
· Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 "Вопросы Федеральной службы по техническому и экспортному контролю",
· постановление Правительства Российской Федерации от 26 июня 1995 года № 608 "О сертификации средств защиты информации",
· Правила по проведению сертификации, утвержденные постановлением Госстандарта России и Порядок проведения сертификации продукции в Российской Федерации.
Организационную структуру Cистемы сертификации образуют:
· ФСТЭК России (федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации);
· органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;
· испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
· заявители - изготовители, продавцы или потребители продукции.
Органы по сертификации средств защиты информации:
· сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в ФСТЭК России и ведут их учет;
· приостанавливают либо отменяют действие выданных ими сертификатов и лицензий на применение знака соответствия;
· принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
· формируют фонд нормативных документов, необходимых для сертификации;
· представляют изготовителям по их требованию необходимую информацию в пределах своей компетенции;
· осуществляют инспекционный контроль за сертифицированными средствами защиты информации.
Перечень средств защиты информации, подлежащих сертификации:
1. Технические средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении.
2. Средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности.
3. Средства контроля эффективности применения средств защиты информации.
4. Защищенные программные средства обработки информации.
5. Программные средства общего назначения.
Особенности эксплуатации КСИБ на объекте защиты.
Для формирования полного представления о системах защиты информации целесообразно рассмотреть их основные составляющие, а именно:
1. Законодательная, нормативно-методическая и научная база.
2. Организационно-технические и режимные меры.
3. Программно-технические методы и средства защиты информации.
4. Структура и задачи органов (подразделений), осуществляющих комплексную защиту информации.
В содержании документов нормативно-методической базы целесообразно отразить следующие группы вопросов:
ОСНОВЫ:
структура и задачи органов (подразделений), обеспечивающих защиту информации;
организационно-технические и режимные меры и методы (политика информационной безопасности);
программно-технические способы и средства.
НАПРАВЛЕНИЯ:
защита объектов корпоративных систем;
защита процессов, процедур и программ обработки информации;
защита каналов связи;
подавление побочных электромагнитных излучений;
управление системой защиты.
ЭТАПЫ:
определение информационных и технических ресурсов, подлежащих защите;
выявление полного множество потенциально возможных угроз и каналов утечки информации;
проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
определение требований к системе защиты;
осуществление выбора средств защиты информации и их характеристик;
внедрение и организация использования выбранных мер, способов и средств защиты;
осуществление контроля целостности и управление системой защиты.
Подсистема организационно-правовой защиты предназначена для регламентации деятельности пользователей ИС и представляет собой упорядоченную совокупность организационных решений, нормативов, законов и правил, определяющих общую организацию работ по защите информации в ИС.
Организационно-правовую защиту структурно можно представить так:
Организационно-правовые вопросы:
а) органы, подразделения и лица, ответственные за защиту;
б) нормативно-правовые, методические и другие материалы;
в) меры ответственности за нарушение правил защиты;
г) порядок разрешения спорных ситуаций.
Регистрационные аспекты:
а) фиксация “подписи” под документом;
б) фиксация фактов ознакомление с информацией;
в) фиксация фактов изменение данных;
г) фиксация фактов копирования содержания.
Юридические аспекты. Утверждение в качестве законов:
а) правил защиты информации;
б) мер ответственности за нарушение правил защиты;
в) регистрационных решений;
г) процессуальных норм и правил.
Морально-психологические аспекты:
а) подбор и расстановка кадров;
б) обучение персонала;
в) система моральных и материальных стимулов;
г) контроль за соблюдением правил.
ИС должна быть защищена путем внедрения продуманных правил безопасности. СЗИ должна использовать набор правил для того, чтобы определить, может ли данный субъект получить доступ к данному объекту. Для ИС целесообразно внедрение правил обеспечения безопасности и получение полномочий, с помощью которых можно было бы эффективно реализовать доступ к секретной информации. Пользователи, не обладающие соответствующими полномочиями, не должны получать доступ к секретной информации. Кроме того, необходимо применение дискриминационных методов управления, обеспечивающих доступ к данным только для некоторых пользователей или пользовательских групп, например, исходя из служебных обязанностей.
ИС должна быть защищена с помощью правил безопасности, которые ограничивают доступ к объектам (файлы, приложения) со стороны субъектов (пользователи).
Нормативные документы, определяющие порядок защиты ИС, должны удовлетворять следующим требованиям:
-соответствовать структуре, целям и задачам ИС,
-описывать общую программу обеспечения безопасности сети, включая вопросы эксплуатации и усовершенствования,
-перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры,
-определять ответственных за внедрение и эксплуатацию всех средств защиты.
-определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил безопасности.
Разработка нормативно-методической основы ЗИ
Прежде чем приступить к разработке документов, определяющих порядок ЗИ, нужно провести оценку угроз, определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности.
Правила должны основываться на здравом смысле.
Целесообразно обратить внимание на следующие вопросы:
-принадлежность информации; об информации обязан заботиться тот, кому она принадлежит,
-определение важности информации; пока не определена значимость информации, не следует ожидать проявлений должного отношения к ней,
-значение секретности; как пользователи хотели бы защищать секретность информации? Нужна ли она им вообще? Если право на сохранение тайны будет признано в вашей организации, то может ли она выработать такие правила, которые обеспечивали бы права пользователей на защиту информации?
Нормативно-методическая документация должна содержать следующие вопросы защиты информации:
-какие информационные ресурсы защищаются,
-какие программы можно использовать на служебных компьютерах,
-что происходит при обнаружении нелегальных программ или данных,
-дисциплинарные взыскания и общие указания о проведении служебных расследований,
-на кого распространяются правила,
-кто разрабатывает общие указания,
-кто имеет право изменять указания,
-точное описание полномочий и привилегий должностных лиц,
-кто может предоставлять полномочия и привилегии,
-порядок предоставления и лишения привилегий в области безопасности,
-полнота и порядок отчетности о нарушениях безопасности и преступной деятельности,
-особые обязанности руководства и служащих по обеспечению безопасности,
-объяснение важности правил (пользователи, осознающие необходимость соблюдения правил, точнее их выполняют),
-дата ввода в действие и даты пересмотра,
-кто и каким образом ввел в действие эти правила.
Некоторые нормативно-методические документы, необходимые для организации защиты информации
Для организации и обеспечения эффективного функционирования СЗИ должны быть разработаны документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в ИС, а также документы, определяющие права и обязанности пользователей при работе с электронными документами юридического характера (договор об организации обмена электронными документами).
План защиты информации может содержать следующие сведения:
-назначение ИС;
-перечень решаемых ИС задач;
-конфигурация;
-характеристики и размещение технических средств и программного обеспечения;
-перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;
-требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации;
-список пользователей и их полномочий по доступу к ресурсам системы;
-цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации;
-перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;
-основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации;
-требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;
-основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС).
-цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и чем она достигается;
-перечень и классификация возможных кризисных ситуаций;
-требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);
-обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;
-разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
-определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
-определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);
-определение порядка разрешения споров в случае возникновения конфликтов.
Функции государственной системы по обеспечению информационной безопасности.
Основные функции системы обеспечения информационной безопасности Российской Федерации(из Доктрины, 10 пункт)
Система обеспечения информационной безопасности Российской Федерации предназначена для реализации государственной политики в данной сфере.
Основными функциями системы обеспечения информационной безопасности Российской Федерации являются:
1. разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;
2. создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;
3. определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
4. оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;
5. координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;
6. контроль деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, государственных и межведомственных комиссий, участвующих в решении задач обеспечения информационной безопасности Российской Федерации;
7. предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;
8. развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;
9. организация разработки федеральной и региональных программ обеспечения информационной безопасности и координация деятельности по их реализации;
10. проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации;
11. организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;
12. защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;
13. обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;
14. совершенствование и развитие единой системы подготовки кадров, используемых в области информационной безопасности Российской Федерации;
15. осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.
Компетенция федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.
Функции органов, координирующих деятельность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Российской Федерации.
Цифровая подпись. Схемы цифровой подписи. Стандарт ГОСТ Р 34.10
Электронная цифровая подпись (ЭЦП)— реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Общая схема.
Схема электронной подписи обычно включает в себя:
· алгоритм генерации ключевых пар пользователя;
· функцию вычисления подписи;
· функцию проверки подписи.
Функция вычисления подписи на основе документа и секретного ключа пользователя вычисляет собственно подпись. В зависимости от алгоритма функция вычисления подписи может быть детерминированной или вероятностной. Детерминированные функции всегда вычисляют одинаковую подпись по одинаковым входным данным. Вероятностные функции вносят в подпись элемент случайности, что усиливает криптостойкость алгоритмов ЭЦП. Однако, для вероятностных схем необходим надёжный источник случайности (либо аппаратный генератор шума, либо криптографически надёжный генератор псевдослучайных бит), что усложняет реализацию.
В настоящее время детерминированные схемы практически не используются. Даже в изначально детерминированные алгоритмы сейчас внесены модификации, превращающие их в вероятностные (так, в алгоритм подписи RSA вторая версия стандарта PKCS#1 добавила предварительное преобразование данных (OAEP), включающее в себя, среди прочего, зашумление).
Функция проверки подписи проверяет, соответствует ли данная подпись данному документу и открытому ключу пользователя. Открытый ключ пользователя доступен всем, так что любой может проверить подпись под данным документом.
Поскольку подписываемые документы — переменной (и достаточно большой) длины, в схемах ЭЦП зачастую подпись ставится не на сам документ, а на его хэш. Для вычисления хэша используются криптографические хэш-функции, что гарантирует выявление изменений документа при проверке подписи. Хэш-функции не являются частью алгоритма ЭЦП, поэтому в схеме может быть использована любая надёжная хэш-функция.
Юридические аспекты
В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 10.01.2002 N 1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»
ГОСТ Р 34.10-2001 (полное название: «ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи») — российский стандарт, описывающий алгоритмы формирования и проверки электронной цифровой подписи. Принят и введён в действие Постановлением Госстандарта России от 12 сентября 2001 года вместо ГОСТ Р 34.10-94.
Описание
ГОСТ Р 34.10-2001 основан на эллиптических кривых. Его стойкость основывается на сложности взятия дискретного логарифма в группе точек эллиптической кривой, а также на стойкости хэш-функции по ГОСТу Р 34.11.
После подписывания сообщения М к нему дописывается цифровая подпись размером 512 бит и текстовое поле. В текстовом поле могут содержаться, например, дата и время отправки или различные данные об отправителе:
Данный алгоритм не описывает механизм генерации параметров, необходимых для формирования подписи, а только определяет, каким образом на основании таких параметров получить цифровую подпись. Механизм генерации параметров определяется на месте в зависимости от разрабатываемой системы.
Дата добавления: 2015-10-28; просмотров: 301 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Основные методы защиты телефонных переговоров. | | | Системный подход к защите информации и его практическая реализация в современных условиях. |