Академический Документы
Профессиональный Документы
Культура Документы
Криптографические Средства Защиты От Несанкционированного Доступа
Криптографические Средства Защиты От Несанкционированного Доступа
защиты от
несанкционированного доступа
Калининград, 2023
1
Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (с
изменениями и дополнениями
Статья
1) электронная подпись - информация 2. Основные
в электронной понятия,
форме, используемые
которая присоединена вк настоящем Федеральном
другой информации законеформе (подписываемой
в электронной
информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
2) сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром
либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа
проверки электронной подписи;
3) квалифицированный сертификат ключа проверки электронной подписи (далее - квалифицированный сертификат) - сертификат ключа проверки
электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо
федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (далее - уполномоченный федеральный орган);
4) владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном настоящим Федеральным законом порядке выдан
сертификат ключа проверки электронной подписи;
5) ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи;
6) ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и
предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи);
7) удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов
ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом;
9) средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций -
создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи;
11) участники электронного взаимодействия - осуществляющие обмен информацией в электронной форме государственные органы, органы местного
самоуправления, организации, а также граждане;
12) корпоративная информационная система - информационная система, участники электронного взаимодействия в которой составляют определенный круг
лиц;
13) информационная система общего пользования - информационная система, участники электронного взаимодействия в которой составляют
неопределенный круг лиц и в использовании которой этим лицам не может быть отказано.
2
Цели обеспечения безопасности информации
Главной целью обеспечения безопасности информации является
предотвращение (минимизация) ущерба субъектам правоотношений в
результате противоправных действий с информацией, приводящих к ее
разглашению, утрате, утечке, искажению (модификации), уничтожению или
незаконному использованию, либо нарушению работы ИС и
телекоммуникационной инфраструктуры, используемой для
информационного обмена и взаимодействия с органами государственной
власти и организациями.
•Основными целями обеспечения безопасности информации являются:
•предотвращение несанкционированного доступа к информации;
•предотвращение нарушений прав субъектов при обработке информации;
•предупреждение последствий нарушения порядка доступа к информации;
•недопущение воздействия на технические средства обработки информации;
•недопущение деструктивного информационного воздействия на информацию.
3
Федеральный закон «Об информации, информационных технологиях и
защите информации (№149-ФЗ от 27 июля 2006г.)
Статья 5. Информация как объект правовых отношений
4
ИР, содержащие открытую информацию, которые подлежат защите от уничтожения,
модифицировании, блокирования, а также от иных неправомерных действий в
отношении такой информации, и на реализацию права на доступ к информации
относятся:
• Открытые налоговые ИР - ресурсы, содержащие сведения о нарушениях законодательства о налогах и сборах и
мерах ответственности за эти нарушения, а также сведения, передаваемые средствам массовой информации и
размещаемые на Интернет-сайтах России и государственных органов власти, в соответствии с законодательством
Российской Федерации;
5
ИР, содержащие информацию ограниченного доступа
(распространения)
• государственная тайна и информация конфиденциального характера:
• налоговые ИР –
ресурсы по государственной регистрации налогоплательщиков;
полученные налоговыми органами сведения о налогоплательщиках: охраняемые
налогоплательщиком сведения о производственной деятельности и коммерческой
деятельности (ресурсы: «Недействительные паспорта», «Банковские счета», НДС, «Налоговая
отчетность по форме 7-НП», «Сведения о физических лицах», частично: «ЕГРИП», «ЕГРЮЛ» в
части сведений о номере документа, о дате выдачи и об органе, выдавшем документ,
удостоверяющий личность физического лица и т.д.);
• ИР персональных данных - ресурсы, содержащие сведения, составляющие персональные данные работников налоговых
органов (ресурсы: «Бухгалтерия», «Кадры», «Электронные адреса», «Бюро пропусков», «Учет планирования и
распределения путевок работникам России в ФБЛПУ России» и другие);
• Служебные ИР - ресурсы, содержащие агрегированные сведения, необходимые для обеспечения работы информационно-
аналитической системы России (витрины данных), в том числе содержащие
сведения, необходимые для решения комплексной задачи «Управление финансами»,
сведения, составляющие служебную тайну взаимодействующих с России органов
государственной власти, передаваемые в рамках межведомственного электронного
документооборота (ресурсы: «База данных деклараций об объемах производства и оборота
этилового спирта и алкогольной продукции», «Однодневка», «Реестр операций с
нефтепродуктами», «Журнал учета федеральных специальных марок для маркировки
алкогольной продукции», «СЭД России», «Финансовое планирование», «Анализ финансово-
хозяйственной деятельности налоговых органов» и т.д.);
• Технологические ИР - ресурсы, содержащие сведения о принципах, методах,
технических решениях и правилах обеспечения безопасности информации в
России и ее территориальных органах (ресурсы: «Безопасность», «Реестр» и т.д.).
6
Средства криптографической защиты информации (СКЗИ), в состав которых
входят средства шифрования и электронной цифровой подписи (ЭП),
интегрированные в программный комплекс (ПК), предназначены для:
заверки файлов электронных документов, циркулирующих в системе информационного
обмена электронными документами между Клиентом и Контрагентом по
телекоммуникационным каналам связи, электронной цифровой подписью и
подтверждения ее подлинности;
шифрования этих файлов для закрытия содержащейся в них информации от
несанкционированного просмотра при передаче по открытым каналам связи и
расшифровки их при получении.
7
Дополнительные требования использования
должны криптографических средств
удовлетворять требованиям технических регламентов,
8
Выделим важнейшие моменты для каждого из перечисленных сервисов
безопасности:
9
Задачи государственной политики в сфере информатизации и
построения инфраструктуры электронного правительства
10
Инциденты*
Злоумышленные нарушения
Незлоумышленные
нарушения
• подключение к сети Интернет компьютеров
общей сети;
• установка нелицензионного программного
обеспечения.
Нарушение в работе
технических средств
А.Н. Соловьев., начальник отдела
• сбой в работе серверов; информационной безопасности ЦА ФНС России.
• отсутствие запасного копирования Совещание-семинар работников центрального
информации. аппарата и территориальных органов ФНС
России по вопросу информационной безопасности
в системе Федеральной налоговой службы
11
Элементы инфраструктуры, как объекты защиты
помещения, здания, объекты, сооружения, передвижные объекты России, предназначенные для работы с
информацией;
программные средства (операционные системы, системы управления базами данных, другое общесистемное,
специальное и прикладное программное обеспечение);
12
Нарушители безопасности информации России
Вид нарушителя
Тип нарушителя
1.Внешние нарушители
2. Внутренние нарушители
13
Взаимодействие*
С местного уровня нет доступа к СКЗ России, Региональные администраторы выпускают отчеты штатными
средствами MaxPatrol и направляют их в Инспекции
Главный администратор не взаимодействует с пользователями местного уровня
При правильной настройке MaxPatrol может ежеквартально сканировать все узлы (на всех Площадках
информатизации) в автоматическом режиме
Базовые законы в области криптозащиты от несанкционированного
доступа
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
• Постановление Правительства Российской Федерации от 03.11.94 № 1233 «Об утверждении Положения о порядке обращения со
служебной информацией ограниченного распространения в федеральных органах исполнительной власти»
• Федеральнй закон от 06.04.2011 № 63-ФЗ «Об электронной подписи», обеспечивающего юридическую значимость электронных
документов.
Необходимо так же учитывать, что одним из направлений государственной политики в сфере информатизации является
формирование и защита ИР государства, как национального достояния.
• Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную
тайну, содержащейся в государственных информационных системах" (Зарегистрировано в Минюсте России 31.05.2013 N 28608)
16
Основные понятия
Криптографическим алгоритмом защиты информации называется последовательность действий, обеспечивающая
преобразование защищаемой информации по правилу, заданному ключом. Криптоалгоритмы могут выполнять
шифрование (дешифрование) сообщений, формирование и проверку аутентификаторов сообщений, генерацию
ключей, необходимых для выполнения других криптоалгоритмов, и т.п.
Нарушение (взлом) криптографического алгоритма – событие, при котором нарушитель, не знающий секретной
ключевой информации криптоалгоритма, способен систематически срывать цель защиты информации.
17
Симметричное шифрование – это метод шифрования, при котором для
защиты информации используется ключ, зная который любой может
расшифровать или зашифровать данные (A.B. Аграновский, Р.А. Хади.
Практическая криптография (серия «Аспекты защиты»), М.: Солон-Пресс,
2002. 254 с.)
19
Общепризнанная схема цифровой подписи
охватывает три процесса:
20
Централизованная система
управления доступом (ЦСУД)
22
Подсистема управления идентификационной информацией и
электронными ключами
Компонент взаимодействия Описание
23
Парадигма построения Системы обеспечения безопасности
информации (СОБИ)
24
Требования к составу мероприятий, реализуемых
СОБИ России
Подуровни
•физический
•технологический
•пользовательский
•сетевой (локальный)
•канальный
25
РАЗРАБОТКА И СОВЕРШЕНСТВОВАНИЕ НОРМАТИВНОЙ И 28
МЕТОДИЧЕСКОЙ БАЗЫ ПО СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ
(ВОЙНАЛОВИЧ В.Ю., НАЧАЛЬНИК УПРАВЛЕНИЯ ФАУ «ГНИИИ ПТЗИ ФСТЭК
РОССИИ», К.Т.Н., С.Н.С)
Требования к системам обнаружения вторжений,
утверждены приказом ФСТЭК России от 6 декабря
2011 г. № 638, зарегистрирован Минюстом России 1
февраля 2012 г., рег. № 23088.
12 методических документов, устанавливающих
профили защиты к системам обнаружения вторжений.
28
Требования по информационной безопасности изложены в следующих
документах:
• Конституция Российской Федерации.
• Указ Президента РФ от 06.03.1997 №188 «Об утверждении Перечня сведений конфиденциального характера».
• Федеральный закон от 27.07.2006 №149 (ред. от 28.12.2013) «Об информации, информационных технологиях и о защите
информации».
• Постановление Правительства РФ от 13.06.2012 №584 «Об утверждении Положения о защите информации в платежной системе».
• Нормативные документы государственных регуляторов (ФСТЭК России, ФСБ России, Роскомнадзор, Центральный Банк Российской
Федерации). 29
Нормативно-правовая база в сфере ИБ
• Указ Президента Российской Федерации от 12 мая 2009 г. N 537 О стратегии национальной безопасности Российской Федерации до
2020 года
• Федеральный закон от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации
• Указ Президента Российской Федерации от 17 марта 2008 г. N 351 О мерах по обеспечению информационной безопасности
Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного
обмена
• Указ Президента Российской Федерации от 6 марта 1997 г. N 188 Об утверждении Перечня сведений конфиденциального характера
• Указ Президента Российской Федерации от 30 ноября 1995 г. N 1203 Об утверждении Перечня сведений, отнесенных к
государственной тайне
• Совместный приказ ФСТЭК России, ФСБ России и Минкомсвязи России от 31 декабря 2013 г. N 151/786/461
О признании утратившим силу приказа Федеральной службы по техническому и экспортному контролю, Федеральной службы
безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля
2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»
• Приказ ФСТЭК России от 18 февраля 2013 г. N 21 Об утверждении Состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
• Приказ ФСТЭК России от 11 февраля 2013 г. N 17 Об утверждении Требований о защите информации, не составляющей
государственную тайну, содержащейся в государственных информационных системах
• Приказ ФСТЭК России от 31 августа 2010 г. N 489 Об утверждении требований о защите информации, содержащейся в
информационных системах общего пользования
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (вы
писка). ФСТЭК России, 2008
год
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персо
нальных данных. ФСТЭК России, 2008 год
Пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г.
• Руководящий документ. Приказ председателя Гостехкомиссии России от 19 июня 2002 г. N 187 Безопасность информационных
технологий. Критерии оценки безопасности информационных технологий
• Руководящий документ. Приказ председателя Гостехкомиссии России от 4 июня 1999 г. N 114 Защита от несанкционированного
доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля
отсутствия недекларированных возможностей
ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России
ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России
ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России
ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования
ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средста обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности
информационных и телекоммуникационных технологий
ГОСТ Р ИСО/МЭК 15408-2-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные
требования безопасности. Госстандарт России
ГОСТ Р ИСО/МЭК 15408-3-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования
доверия к безопасности. Госстандарт России
ГОСТ Р ИСО/МЭК ТО 15443-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и
основы
ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем
ГОСТ Р ИСО/МЭК 27001-2006. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения
ГОСТ Р ИСО/МЭК 27005-2009. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции
32
Skybox Security (Апробация ЦОД)
33
Апробация ЦОД
Базой централизованного управления ИБ России станет продукт класса SIEM
HP ArcSight (http://arcsight-russia.ru/ ).
В настоящее время он уже развернут в ЦОДе и действует как система
регистрации, накопления данных о событиях ИБ и формирования отчетности
по этим событиям.
В перспективе она будет выдавать коррелированную метаинформацию о
событиях ИБ, правила для формирования которой сейчас находятся в стадии
разработки.
А в дальнейшем она может стать базовым компонентом ситуационного
центра для мониторинга состояния ИБ всей России, который будет
располагать также средствами анализа ИБ-рисков и расследования ИБ-
инцидентов.
Реализуется мониторинг событий информационной безопасности на базе
решений HP ArcSight ESM и HP ArcSight Logger
34
Решения HP ArcSight Security Intelligence включают в себя следующие
продукты:
HP ArcSight Logger - обеспечивает сбор и фильтрацию событий;
HP ArcSight Threat Response - обеспечивает моментальную реакцию на инциденты
путем анализа информации от HP ArcSight ESM, локализацию проблемы и
применение ответных мер реагирования;
HP ArcSight Configuration Management - позволяет провести конфигурацию
сетевого оборудования и настроек безопасности;
HP ArcSight Fraud Detection - уникальное решение для выявления и
предотвращения мошенничества в области интернет-банкинга и банковских
(пластиковых) карт.
35
Факторы, влияющие на безопасность информации при
модернизации систем
имеются средства защиты информации, позволяющие решать локальные задачи защиты ИР России;
имеющиеся СЗИ и проводимые мероприятия по обеспечению ИБ составляют локальную систему обеспечения безопасности
налоговых органов, однако требуемый уровень защищенности ИС налоговых органов не в полной мере обеспечивается;
в структуре России развернут Удостоверяющий центр России, обеспечивающий юридически значимый электронный
документооборот между налоговыми органами и при взаимодействии с другими органами государственной власти;
размещение элементов ИС налоговых органов нового поколения осуществляется в основном на действующих объектах
информатизации налоговых органов, имеющих устоявшуюся инфраструктуру обеспечения деятельности объектов;
модернизация ИС налоговых органов не затрагивает изменения состава объектов защиты и субъектов информационного
обмена и, как следствие, не требует существенных изменений организационной базы и механизма поддержки СОБИ
России;
основные изменения, при переходе к ИС налоговых органов нового поколения, касаются исполнительского механизма
СОБИ России;
в ходе модернизации ИС налоговых органов будет произведена консолидация локальных ИР России в Центрах обработки
данных (ЦОД);
при модернизации ИС налоговых органов ожидается резкое увеличение обмена конфиденциальной информацией по
каналам связи телекоммуникационной инфраструктуры России.
36
Мониторинг и контроль состояния безопасности информации
37
Корпоративный USB Флэш-Диск
Журналирование действий пользователя;
Авторизация пользователя и ПЭВМ;
Ограничение функциональности в
соответствии с профилем пользователя;
Возможность использования
модифицированного протокола USB;
38
39
40
41
42
43
Спасибо за внимание
44