Криптографические средства

защиты от
несанкционированного доступа

Рак Евгения Алексеевна

кандидат социологических наук
Доцент кафедры государственного и
муниципального управления Западного
филиала РАНХиГС

Калининград, 2023

1
 Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (с
изменениями и дополнениями
Статья
1) электронная подпись - информация 2. Основные
в электронной понятия,
форме, используемые
которая присоединена вк настоящем Федеральном
другой информации законеформе (подписываемой
в электронной
информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

2) сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром
либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа
проверки электронной подписи;

3) квалифицированный сертификат ключа проверки электронной подписи (далее - квалифицированный сертификат) - сертификат ключа проверки
электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо
федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (далее - уполномоченный федеральный орган);

4) владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном настоящим Федеральным законом порядке выдан
сертификат ключа проверки электронной подписи;

5) ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи;

6) ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и
предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи);

7) удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов
ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом;

9) средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций -
создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи;

11) участники электронного взаимодействия - осуществляющие обмен информацией в электронной форме государственные органы, органы местного
самоуправления, организации, а также граждане;

12) корпоративная информационная система - информационная система, участники электронного взаимодействия в которой составляют определенный круг
лиц;

13) информационная система общего пользования - информационная система, участники электронного взаимодействия в которой составляют
неопределенный круг лиц и в использовании которой этим лицам не может быть отказано.

2
 Цели обеспечения безопасности информации
Главной целью обеспечения безопасности информации является
предотвращение (минимизация) ущерба субъектам правоотношений в
результате противоправных действий с информацией, приводящих к ее
разглашению, утрате, утечке, искажению (модификации), уничтожению или
незаконному использованию, либо нарушению работы ИС и
телекоммуникационной инфраструктуры, используемой для
информационного обмена и взаимодействия с органами государственной
власти и организациями.
•Основными целями обеспечения безопасности информации являются:
•предотвращение несанкционированного доступа к информации;
•предотвращение нарушений прав субъектов при обработке информации;
•предупреждение последствий нарушения порядка доступа к информации;
•недопущение воздействия на технические средства обработки информации;
•недопущение деструктивного информационного воздействия на информацию.

3
 Федеральный закон «Об информации, информационных технологиях и
защите информации (№149-ФЗ от 27 июля 2006г.)
Статья 5. Информация как объект правовых отношений

1. Информация может являться объектом публичных, гражданских и иных правовых

отношений. Информация может свободно использоваться любым лицом и
передаваться одним лицом другому лицу, если федеральными законами не
установлены ограничения доступа к информации либо иные требования к порядку
ее предоставления или распространения.
2. Информация в зависимости от категории доступа к ней подразделяется на
общедоступную информацию, а также на информацию, доступ к которой ограничен
федеральными законами (информация ограниченного доступа).
3. Информация в зависимости от порядка ее предоставления или распространения
подразделяется на:
◦ 1) информацию, свободно распространяемую;
◦ 2) информацию, предоставляемую по соглашению лиц, участвующих в
соответствующих отношениях;
◦ 3) информацию, которая в соответствии с федеральными законами подлежит
предоставлению или распространению;
◦ 4) информацию, распространение которой в Российской Федерации ограничивается
или запрещается.

4
ИР, содержащие открытую информацию, которые подлежат защите от уничтожения,
модифицировании, блокирования, а также от иных неправомерных действий в
отношении такой информации, и на реализацию права на доступ к информации
относятся:
• Открытые налоговые ИР - ресурсы, содержащие сведения о нарушениях законодательства о налогах и сборах и
мерах ответственности за эти нарушения, а также сведения, передаваемые средствам массовой информации и
размещаемые на Интернет-сайтах России и государственных органов власти, в соответствии с законодательством
Российской Федерации;

• Базовые государственные ИР - ресурсы, содержащие сведения, по реализации государственной услуги, по

регистрации юридических лиц и индивидуальных предпринимателей, а также ресурсы, подключаемые к единой
системе межведомственного электронного взаимодействия (ресурсы: «Ответ»; «ЕГРН», «ЕГРИП», «ЕГРЮЛ» (за
исключением сведений, отнесенных к информации ограниченного доступа);

• Общедоступные ИР - ресурсы, размещаемые на Интернет-сайтах России и Управлений по субъектам РФ, на

открытых почтовых и публичных серверах России, содержащие информацию о деятельности налоговых органов в
соответствии Федеральным законом № 8-ФЗ «Об обеспечении доступа к информации о деятельности
государственных органов и органов местного самоуправления» (ресурсы: «Правовые БД»; «Жалобы»; «Интернет-сайт
России»; «Интернет-сайты Управлений по субъектам РФ»).

• Инфраструктурные ИР - ресурсы, содержащие командную (управляющую и измерительную) и служебно-

технологическую информацию (базы и файлы данных, документация, конфигурационные файлы, таблицы
маршрутизации, а также информация о подсистемах жизнеобеспечения и физической безопасности, о состоянии
каналов связи, планах обеспечения бесперебойной работы) информацию телекоммуникационной инфраструктуры
налоговых органов, которая не относится к информации с ограниченным доступом, а также сведения о их создании,
структуре, системе управления и защиты.

5
 ИР, содержащие информацию ограниченного доступа
(распространения)
• государственная тайна и информация конфиденциального характера:
• налоговые ИР –
 ресурсы по государственной регистрации налогоплательщиков;
 полученные налоговыми органами сведения о налогоплательщиках: охраняемые
налогоплательщиком сведения о производственной деятельности и коммерческой
деятельности (ресурсы: «Недействительные паспорта», «Банковские счета», НДС, «Налоговая
отчетность по форме 7-НП», «Сведения о физических лицах», частично: «ЕГРИП», «ЕГРЮЛ» в
части сведений о номере документа, о дате выдачи и об органе, выдавшем документ,
удостоверяющий личность физического лица и т.д.);
• ИР персональных данных - ресурсы, содержащие сведения, составляющие персональные данные работников налоговых
органов (ресурсы: «Бухгалтерия», «Кадры», «Электронные адреса», «Бюро пропусков», «Учет планирования и
распределения путевок работникам России в ФБЛПУ России» и другие);
• Служебные ИР - ресурсы, содержащие агрегированные сведения, необходимые для обеспечения работы информационно-
аналитической системы России (витрины данных), в том числе содержащие
 сведения, необходимые для решения комплексной задачи «Управление финансами»,
 сведения, составляющие служебную тайну взаимодействующих с России органов
государственной власти, передаваемые в рамках межведомственного электронного
документооборота (ресурсы: «База данных деклараций об объемах производства и оборота
этилового спирта и алкогольной продукции», «Однодневка», «Реестр операций с
нефтепродуктами», «Журнал учета федеральных специальных марок для маркировки
алкогольной продукции», «СЭД России», «Финансовое планирование», «Анализ финансово-
хозяйственной деятельности налоговых органов» и т.д.);
• Технологические ИР - ресурсы, содержащие сведения о принципах, методах,
технических решениях и правилах обеспечения безопасности информации в
России и ее территориальных органах (ресурсы: «Безопасность», «Реестр» и т.д.).
6
Средства криптографической защиты информации (СКЗИ), в состав которых
входят средства шифрования и электронной цифровой подписи (ЭП),
интегрированные в программный комплекс (ПК), предназначены для:
заверки файлов электронных документов, циркулирующих в системе информационного
обмена электронными документами между Клиентом и Контрагентом по
телекоммуникационным каналам связи, электронной цифровой подписью и
подтверждения ее подлинности;
шифрования этих файлов для закрытия содержащейся в них информации от
несанкционированного просмотра при передаче по открытым каналам связи и
расшифровки их при получении.

Средства шифрования и ЭП могут использоваться для защиты конфиденциальной

информации, не содержащей сведений, составляющих государственную тайну.

7
 Дополнительные требования использования
должны криптографических средств
удовлетворять требованиям технических регламентов,

поставляться разработчиками с полным комплектом эксплуатационной документации, включая

описание ключевой системы, правил работы с ней, а также обоснование необходимого
организационно-штатного обеспечения

иметь строгий регламент использования ключей, предполагающий контроль со стороны

администратора ИБ за действиями пользователей ИС налоговых органов на всех этапах работы с
ключевой информацией (получение ключевого носителя, ввод ключей, использование ключей и сдача
ключевого носителя)

Применяемые в России СКЗИ должны обеспечивать

встраивание в действующую в налоговых органах технологическую схему обработки электронных

сообщений;

взаимодействие с прикладным программным обеспечением ИС налоговых органов на уровне

обработки запросов на криптографические преобразования и выдачи результатов;

реализацию процедур сброса ключей в случаях отсутствия штатной активности пользователей в

соответствии с регламентом использования ключей или при переходе ИС налоговых органов в
нештатный режим работы.

8
Выделим важнейшие моменты для каждого из перечисленных сервисов
безопасности:

криптографические методы (технический, юридический)

◦ Симметричные криптосистемы.
◦ Криптосистемы с открытым ключом.
◦ Системы электронной подписи.
◦ Управление ключами

модель управления доступом, разграничение доступа

протоколирование и аудит должны быть всепроникающими и постоянным
активный аудит

9
 Задачи государственной политики в сфере информатизации и
построения инфраструктуры электронного правительства

1. Обеспечение юридической значимости электронного

взаимодействия
2. Обеспечение взаимодействия информационных систем
3. Обеспечение совместимости (способности к взаимодействию)
информационных систем
4. Обеспечение информационной безопасности и защиты
информации
5. Обеспечение доступа к информации

10
 Инциденты*
Злоумышленные нарушения

• изменение записей БД в интересах третьих

лиц;
• разглашение информации, составляющей
налоговую тайну.

Незлоумышленные
нарушения
• подключение к сети Интернет компьютеров
общей сети;
• установка нелицензионного программного
обеспечения.

Нарушение в работе
технических средств
А.Н. Соловьев., начальник отдела
• сбой в работе серверов; информационной безопасности ЦА ФНС России.
• отсутствие запасного копирования Совещание-семинар работников центрального
информации. аппарата и территориальных органов ФНС
России по вопросу информационной безопасности
в системе Федеральной налоговой службы

11
 Элементы инфраструктуры, как объекты защиты

помещения, здания, объекты, сооружения, передвижные объекты России, предназначенные для работы с
информацией;

оборудование ИС (серверные комплексы, рабочие станции пользователей, технические средства ввода/вывода

информации, комплексы сканирования документов, принтеры, средства хранения и архивирования данных,
программно-аппаратные средства удостоверяющего центра, источники бесперебойного питания);

телекоммуникационные сети и системы (активное и пассивное коммуникационное оборудование, система

управления, мониторинга и обслуживания инфраструктурой);

средства и системы связи и передачи данных (ведомственной, междугородней, городской, внутренней);

программные средства (операционные системы, системы управления базами данных, другое общесистемное,
специальное и прикладное программное обеспечение);

средства защиты информации (далее - СЗИ);

технические средства приема, передачи и обработки информации (звукозаписи, звукоусиления,

звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования
документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой
информации);

средства обеспечения жизнедеятельности объектов (гарантированные и бесперебойные системы

электропитания и заземления объектов, системы пожарной и охранной сигнализации, электронные системы
контроля и управления доступом на территорию и в помещения, системы громкоговорящей связи и оповещения,
системы кондиционирования, отопления, вентиляции и пожаротушения).

12
 Нарушители безопасности информации России

Под внутренними потенциальными нарушителями подразумеваются работники России, имеющие

санкционированный доступ на территорию налоговых органов или к ИР России.

Под внешними потенциальными нарушителями подразумеваются все остальные лица.

Вид нарушителя

Тип нарушителя

1.Внешние нарушители

1.1 Внешний нарушитель, не имеющий прав доступа в контролируемую зону

1.2 Сотрудник сторонней организации, не являющийся зарегистрированным пользователем ИС налоговых

органов, но имеющий право доступа в контролируемую зону

2. Внутренние нарушители

2.1. Работник налоговых органов, не являющийся зарегистрированным пользователем ЛВС налогового

органа, но имеющий право доступа в контролируемую зону

13
 Взаимодействие*

Проблемы организации взаимодействия в электронном виде в области

информационной безопасности (определение)

Доступность Конфиденциальность Целостность

• Отсутствие централизованных • Принятие решения об • Применение ЭП на всех этапах
информационных баз данных. использовании СКЗИ. передачи информации.
• Большое количество • Создание единого пространства • Законы в области обеспечения
промежуточных звеньев. доверия. информационной безопасности.

А.Н. Соловьев, начальник отдела информационной безопасности ЦА ФНС России.

Совещание-семинар работников центрального аппарата и территориальных органов
России по вопросу информационной безопасности в системе Федеральной налоговой службы,
14
 Взаимодействие пользователей

С местного уровня нет доступа к СКЗ России, Региональные администраторы выпускают отчеты штатными
средствами MaxPatrol и направляют их в Инспекции
Главный администратор не взаимодействует с пользователями местного уровня
При правильной настройке MaxPatrol может ежеквартально сканировать все узлы (на всех Площадках
информатизации) в автоматическом режиме
 Базовые законы в области криптозащиты от несанкционированного
доступа
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

• Закон Российской Федерации от 21.07.1993 № 5485-1 «О государственной тайне»

• Налоговый кодекс Российской Федерации (вводит понятие налоговой тайны).

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

• Нормативно-методические документы по обеспечению безопасности информации в ключевых системах информационной

инфраструктуры (КСИИ).

• Постановление Правительства Российской Федерации от 03.11.94 № 1233 «Об утверждении Положения о порядке обращения со
служебной информацией ограниченного распространения в федеральных органах исполнительной власти»

• Гражданский кодекс Российской Федерации (далее - ГК РФ)

• Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

• Федеральнй закон от 06.04.2011 № 63-ФЗ «Об электронной подписи», обеспечивающего юридическую значимость электронных
документов.

Необходимо так же учитывать, что одним из направлений государственной политики в сфере информатизации является
формирование и защита ИР государства, как национального достояния.

• Постановление Правительства Российской Федерации от 25.12.2009 № 1088 «О единой вертикально интегрированной

государственной автоматизированной информационной системе «Управление» (предусмотрено обеспечение единства
методологической основы для всех ИС органов государственной власти, и в частности, стандартов, технологий, форматов и
протоколов взаимодействия, обеспечения комплексной безопасности ИР).

• Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную
тайну, содержащейся в государственных информационных системах" (Зарегистрировано в Минюсте России 31.05.2013 N 28608)

16
 Основные понятия
Криптографическим алгоритмом защиты информации называется последовательность действий, обеспечивающая
преобразование защищаемой информации по правилу, заданному ключом. Криптоалгоритмы могут выполнять
шифрование (дешифрование) сообщений, формирование и проверку аутентификаторов сообщений, генерацию
ключей, необходимых для выполнения других криптоалгоритмов, и т.п.

Нарушение (взлом) криптографического алгоритма – событие, при котором нарушитель, не знающий секретной
ключевой информации криптоалгоритма, способен систематически срывать цель защиты информации.

Криптографический протокол зашиты информации – совокупность используемых криптографических алгоритмов и

правил их выполнения, определяющих порядок взаимодействия участников информационного обмена для
достижения определенной цели защиты информации. Криптографические протоколы ориентированы на
обеспечение безопасного взаимодействия участников информационного обмена.

Нарушение (взлом) криптографического протокола - событие, при котором нарушитель, не обладающий

возможностью взломать непосредственно сами используемые в протоколе криптоалгоритмы, используя слабости
протокола, способен сорвать цель защиты информации.

Криптографическая система зашиты информации – совокупность используемых криптографических алгоритмов,

протоколов и процедур формирования, распределения, передачи и использования криптографических ключей.

17
 Симметричное шифрование – это метод шифрования, при котором для
защиты информации используется ключ, зная который любой может
расшифровать или зашифровать данные (A.B. Аграновский, Р.А. Хади.
Практическая криптография (серия «Аспекты защиты»), М.: Солон-Пресс,
2002. 254 с.)

Используется для защиты данных на локальном компьютере

Остаётся самым актуальным и криптографически гарантированным методом
защиты информации.
В симметричном шифрование, основанном на использовании составных ключей,
идея состоит в том, что секретный ключ делится на две части, хранящиеся
отдельно. Каждая часть сама по себе не позволяет выполнить дешифрование.
позволяет сочетать права на разного рода тайны (персональную, коммерческую)
Алгоритмы с симметричными ключами имеют очень высокую
производительность.
Могут быстро шифровать большие объемы данных.

Самостоятельно сформулируйте проблемы

18
 Асимметричное шифрование- или шифрование с помощью публичного
ключа, основано на использовании пары ключей: закрытого (частного)
и открытого (публичного).

Используется для защиты данных при передаче по каналам связи

сообщение шифруется публичным ключом, а расшифровывается
приватным (концепция Диффи)
Суть алгоритма: принимающая сторона перед приемкой сообщения
генерирует пару ключей на основе алгоритма модульной арифметики
(принцип как и в алгоритме Диффи-Хеллмана), собственно приватный и
публичный ключ. Отправитель перед отправкой получает публичный ключ
и шифрует сообщение данным ключом, после чего данное сообщение
можно расшифровать только приватным ключом, который хранится в
секрете у принимающей стороны
Самостоятельно сформулируйте проблемы

19
 Общепризнанная схема цифровой подписи
охватывает три процесса:

Генерация ключевой пары. При помощи алгоритма генерации ключа

равновероятным образом из набора возможных закрытых ключей
выбирается закрытый ключ, вычисляется соответствующий ему открытый
ключ.
Формирование подписи. Для заданного электронного документа с помощью
закрытого ключа вычисляется подпись.
Проверка (верификация) подписи. Для данных документа и подписи с
помощью открытого ключа определяется действительность подписи.

Проанализируйте проблемы каждого процесса

20
 Централизованная система
управления доступом (ЦСУД)

ЦСУД включает в себя следующие задачи:

• Сервис управления ролевой принадлежностью пользователей;
• Инструментальные средства формирования ролевой матрицы.

Сервис управления ролевой принадлежностью пользователей

обеспечивает поддержку процессов управления ролями пользователей
на основании сведений, содержащихся в документированных заявках:
• на предоставление прав доступа;
• на отзыв прав доступа;
• на изменение прав доступа;
• на приостановку прав доступа;
• на возобновление прав доступа;
• на делегирование прав доступа.
Инструментальные средства формирования ролевой матрицы
обеспечивают автоматизацию: процессов наполнения ролевой
матрицы на основании сведений о ролях, определенных при
проектировании и разработке прикладных задач АИС “Налог-3”.
 Подсистема управления идентификационной информацией и электронными
ключами
Компонент Описание
взаимодействия
БД «Web-интерфейс База данных Подсистемы «Управление кадрами».
кадрового сотрудника»
БД Аванпост База данных Подсистемы «Управление кадрами».

Единая служба каталогов Используется для хранения данных каталога и управления

взаимодействиями пользователя и домена, включая процессы входа
пользователя в систему, проверку подлинности и поиски в каталоге.
Кадровая система Обеспечивает автоматизацию совместной деятельности рабочих групп
пользователей. Содержит в себе средства исполнения приложений
делового взаимодействия.
MS CA Используется для управления сертификатами открытых ключей.

Консоль AP PKI SAS Admin Предназначена для управления AP PKI — Сервером.

(АРМ Оператора ПУЭК)
Консоль AP PKI SAS Agent Обеспечивает управление PKI инфраструктурой, является средством для
(АРМ Администратора создания запросов на доступ сотрудников к централизованным
безопасности ПУЭК) информационным ресурсам.

22
 Подсистема управления идентификационной информацией и
электронными ключами
Компонент взаимодействия Описание

Сервер IP PKI (SAS Server) Обеспечивает:

•контроль доступа к удостоверяющим центрам,
•интеграцию с кадровой системой,
•взаимодействие удостоверяющих центров, администраторов безопасности,
операторов удостоверяющих центров,
•управление сертификатами и носителями ключевой информации.
Сервер IDM (SAS Server) Используется для:
•создания запросов на СКП;
•одобрения запросов на СКП;
•отклонения запросов на СКП;
•отзыв выпущенных ранее СКП;
•создание запросов к базе данных.
Сервер SLS Предназначен для самостоятельного управления пользователем своими
ключевыми носителями и сертификатами.
Сервер SSO Предназначен для централизованного обновления парольной информации в
токенах пользователя с целью дальнейшей её автоматической подстановки в
обслуживаемые подсистемой приложения.

23
 Парадигма построения Системы обеспечения безопасности
информации (СОБИ)

•формирование единой политики обеспечения ИБ России,

•достижение требуемого уровня защищенности ИС,
•оперативное реагирование на возникающие угрозы и негативные
тенденции,

Система обеспечения безопасности информации (СОБИ) - комплекс

мер и средств, направленных на выявление, противодействие и
ликвидацию различных угроз безопасности информации.

24
 Требования к составу мероприятий, реализуемых
СОБИ России
Подуровни
•физический
•технологический
•пользовательский
•сетевой (локальный)
•канальный

25
 РАЗРАБОТКА И СОВЕРШЕНСТВОВАНИЕ НОРМАТИВНОЙ И 28
МЕТОДИЧЕСКОЙ БАЗЫ ПО СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ
(ВОЙНАЛОВИЧ В.Ю., НАЧАЛЬНИК УПРАВЛЕНИЯ ФАУ «ГНИИИ ПТЗИ ФСТЭК
РОССИИ», К.Т.Н., С.Н.С)
Требования к системам обнаружения вторжений,
утверждены приказом ФСТЭК России от 6 декабря
2011 г. № 638, зарегистрирован Минюстом России 1
февраля 2012 г., рег. № 23088.
12 методических документов, устанавливающих
профили защиты к системам обнаружения вторжений.

Требования к средствам антивирусной

защиты, утверждены Приказом ФСТЭК
России от 20 марта 2012 г. № 28,
зарегистрирован Минюстом России 3 мая
2012 г., рег. № 24045.
24 методических документа,
устанавливающих профили защиты к
средствам антивирусной защиты.
26
 Основные актуальные источники угроз безопасности информации
ИР являются:
• иностранные технические разведки (антропогенные, внешние);
• террористы, криминальные элементы (антропогенные, внешние);
• компьютерные злоумышленники, осуществляющие целенаправленные деструктивные
воздействия, в том числе с использованием компьютерных вирусов и других типов
вредоносных кодов (антропогенные, внешние);
• поставщики программно-технических средств, расходных материалов, услуг, в том числе
провайдеры телематических услуг (антропогенные, внешние);
• подрядчики, осуществляющие монтаж, пусконаладочные работы оборудования ИС
налоговых органов и его ремонт (антропогенные, внешние);
• работники налоговых органов, являющиеся легальными участниками процессов
обработки информации и действующие вне рамок предоставленных полномочий
(антропогенные, внутренние);
• работники налоговых органов, являющиеся легальными участниками процессов
обработки информации и действующие в рамках предоставленных полномочий
(антропогенные, внутренние);
• неблагоприятные события природного характера, в том числе пожары, стихийные
бедствия, магнитные бури, природные катаклизмы (стихийные);
• неблагоприятные события техногенного характера, в том числе аварии на средствах
инженерных коммуникаций, средствах телекоммуникационной инфраструктуры, сбои и
отказы оборудования (техногенные).
27
 Федеральная служба по техническому и экспортному контролю

• Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — федеральный

орган исполнительной власти России, осуществляющий реализацию государственной политики,
организацию межведомственной координации и взаимодействия, специальные и контрольные
функции в области государственной безопасности.
• ФСТЭК России ‒ общегосударственный орган исполнительной власти специальной компетенции,
предусмотренный подзаконным актом и действующий неопределённый срок; созданное
Российской Федерацией государственное учреждение; политическая, некоммерческая,
формальная организация; часть государственного аппарата; юридическое лицо.
• 5 января 1992 года была создана
Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия
России).[4]
• В соответствии с Указом Президента Российской Федерации от 9 марта 2004 г. № 314 «О системе и
структуре федеральных органов исполнительной власти» вместо существовавшей
Государственной технической комиссии при Президенте Российской Федерации была создана
Федеральная служба по техническому и экспортному контролю Российской Федерации.[1]
• Положение о Службе утверждено Указом Президента РФ от 16 августа 2004 г. № 1085[2]
• С 20 мая 2005 года служба стала называться Федеральная служба по техническому и экспортному
контролю (ФСТЭК России)

28
 Требования по информационной безопасности изложены в следующих
документах:
• Конституция Российской Федерации.

• Доктрина информационной безопасности Российской Федерации.

• Указ Президента РФ от 06.03.1997 №188 «Об утверждении Перечня сведений конфиденциального характера».

• Федеральный закон от 27.07.2006 №149 (ред. от 28.12.2013) «Об информации, информационных технологиях и о защите
информации».

• Федеральный Закон от 27.07.2006 №152-ФЗ «О персональных данных».

– Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных».
– Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации».
– Постановление Правительства РФ от 06.07.2008 № 512 (ред. От 27.12.2012) «Об утверждении требований к материальным носителям
биометрических персональных данных вне информационных систем персональных данных».
– Постановление Правительства РФ от 21.03.2012 №211 (ред. 20.07.2013) «Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним
нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

• Федеральный закон от 06.04.2011 №63 «Об электронной подписи».

• Федеральный закон от 29.07.2004 № 98-ФЗ (ред. от 11.07.2011) «О коммерческой тайне».

• Федеральный закон от 27.06.2011 № 161-ФЗ (ред. от 23.07.2013) «О национальной платежной системе».

• Постановление Правительства РФ от 13.06.2012 №584 «Об утверждении Положения о защите информации в платежной системе».

• Нормативные документы государственных регуляторов (ФСТЭК России, ФСБ России, Роскомнадзор, Центральный Банк Российской
Федерации). 29
 Нормативно-правовая база в сфере ИБ
• Указ Президента Российской Федерации от 12 мая 2009 г. N 537 О стратегии национальной безопасности Российской Федерации до
2020 года

• Доктрина от 9 сентября 2000 г. N Пр-1895 Информационной безопасности Российской Федерации

• Федеральный закон от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации

• Федеральный закон от 27 июля 2006 г. N 152-ФЗ О персональных данных

• Закон Российской Федерации от 21 июля 1993 г. N 5485-1 О государственной тайне

• Указ Президента Российской Федерации от 17 марта 2008 г. N 351 О мерах по обеспечению информационной безопасности
Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного
обмена

• Указ Президента Российской Федерации от 6 марта 1997 г. N 188 Об утверждении Перечня сведений конфиденциального характера

• Указ Президента Российской Федерации от 30 ноября 1995 г. N 1203 Об утверждении Перечня сведений, отнесенных к
государственной тайне

• Совместный приказ ФСТЭК России, ФСБ России и Минкомсвязи России от 31 декабря 2013 г. N 151/786/461
О признании утратившим силу приказа Федеральной службы по техническому и экспортному контролю, Федеральной службы
безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля
2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

• Приказ ФСТЭК России от 18 февраля 2013 г. N 21 Об утверждении Состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

• Приказ ФСТЭК России от 11 февраля 2013 г. N 17 Об утверждении Требований о защите информации, не составляющей
государственную тайну, содержащейся в государственных информационных системах

• Приказ ФСТЭК России от 31 августа 2010 г. N 489 Об утверждении требований о защите информации, содержащейся в
информационных системах общего пользования

• Решение ФСТЭК России от 5 марта 2010 г.

• Положение от 25 ноября 1994 г. По аттестации объектов информатизации по требованиям безопасности информации 30

 Специальные нормативные документы
http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty
• Методический документ Меры защиты информации в государственных информационных системах

• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (вы
писка). ФСТЭК России, 2008
год

• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персо
нальных данных. ФСТЭК России, 2008 год
Пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г.

• Руководящий документ. Приказ председателя Гостехкомиссии России от 19 июня 2002 г. N 187 Безопасность информационных
технологий. Критерии оценки безопасности информационных технологий

• Руководящий документ. Приказ председателя Гостехкомиссии России от 4 июня 1999 г. N 114 Защита от несанкционированного
доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля
отсутствия недекларированных возможностей

• Руководящий документ. Решение председателя Гостехкомиссии России от 25 июля 1997 г.

Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от
несанкционированного доступа к информации

• Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г.

Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных
систем и требования по защите информации

• Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г.

Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от
несанкционированного доступа к информации

• Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г.

Защита от несанкционированного доступа к информации. Термины и определения

• Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г.

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к
информации 31
 Стандарты
http://fstec.ru/rss-lenta/113-tekhnicheskaya-zashchita-informatsii/dokumenty/gosudarstvennye-standarty/377-gosudarstvennye-standarty

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России

ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Госстандарт России

ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России

ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России

ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения

ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования

ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения

ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средста обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности
информационных и телекоммуникационных технологий

ГОСТ Р ИСО/МЭК 15408-2-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные
требования безопасности. Госстандарт России

ГОСТ Р ИСО/МЭК 15408-3-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования
доверия к безопасности. Госстандарт России

ГОСТ Р ИСО/МЭК ТО 15443-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и
основы

ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем

ГОСТ Р ИСО/МЭК 27001-2006. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения

ГОСТ Р ИСО/МЭК 27005-2009. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции

32
 Skybox Security (Апробация ЦОД)

• Предназначен для мониторинга и контроля настроек активного сетевого

оборудования и межсетевых экранов и агрегирования полученных с них данных
с данными со сканеров уязвимостей.
• На основе этой информации Skybox строит карту сети с существующими
уязвимостями, что позволяет проводить анализ рисков, связанных с сетевой ИБ,
с а одновременным учетом уязвимостей операционных систем, также строить
векторы возможных атак на сеть.
• Пилотное использование Skybox позволило выявить значительное число
комбинаций настроек в сетевом оборудовании, сочетания которых
потенциально могут привести к образованию серьезных брешей в периметровой
защите.
• Полученная информация поможет ИБ-службе следить за безопасностью
сетевых настроек, что особенно важно в период активных изменений в них,
производимых в связи с развертыванием АИС “Налог-3”.
• Возможности продукта Skybox хорошо вписываются в концепцию будущей
системы управления ИБ-рисками , в нее также войдут продукты ArcSight,
Avanpost, Skybox и InfoWatch Traffic Monitor Enterprise.

33
 Апробация ЦОД
Базой централизованного управления ИБ России станет продукт класса SIEM
HP ArcSight (http://arcsight-russia.ru/ ).
В настоящее время он уже развернут в ЦОДе и действует как система
регистрации, накопления данных о событиях ИБ и формирования отчетности
по этим событиям.
В перспективе она будет выдавать коррелированную метаинформацию о
событиях ИБ, правила для формирования которой сейчас находятся в стадии
разработки.
А в дальнейшем она может стать базовым компонентом ситуационного
центра для мониторинга состояния ИБ всей России, который будет
располагать также средствами анализа ИБ-рисков и расследования ИБ-
инцидентов.
Реализуется мониторинг событий информационной безопасности на базе
решений HP ArcSight ESM и HP ArcSight Logger

34
Решения HP ArcSight Security Intelligence включают в себя следующие
продукты:
HP ArcSight Logger - обеспечивает сбор и фильтрацию событий;
HP ArcSight Threat Response - обеспечивает моментальную реакцию на инциденты
путем анализа информации от HP ArcSight ESM, локализацию проблемы и
применение ответных мер реагирования;
HP ArcSight Configuration Management - позволяет провести конфигурацию
сетевого оборудования и настроек безопасности;
HP ArcSight Fraud Detection - уникальное решение для выявления и
предотвращения мошенничества в области интернет-банкинга и банковских
(пластиковых) карт.

35
 Факторы, влияющие на безопасность информации при
модернизации систем
имеются средства защиты информации, позволяющие решать локальные задачи защиты ИР России;

в налоговых органах имеются организационно-распорядительные документы и проводятся мероприятия, направленные на

обеспечение ИБ; сложились устоявшиеся связи взаимодействия между подразделениями налоговых органов при решении
задач ИБ;

имеющиеся СЗИ и проводимые мероприятия по обеспечению ИБ составляют локальную систему обеспечения безопасности
налоговых органов, однако требуемый уровень защищенности ИС налоговых органов не в полной мере обеспечивается;

в структуре России развернут Удостоверяющий центр России, обеспечивающий юридически значимый электронный
документооборот между налоговыми органами и при взаимодействии с другими органами государственной власти;

размещение элементов ИС налоговых органов нового поколения осуществляется в основном на действующих объектах
информатизации налоговых органов, имеющих устоявшуюся инфраструктуру обеспечения деятельности объектов;

модернизация ИС налоговых органов не затрагивает изменения состава объектов защиты и субъектов информационного
обмена и, как следствие, не требует существенных изменений организационной базы и механизма поддержки СОБИ
России;

основные изменения, при переходе к ИС налоговых органов нового поколения, касаются исполнительского механизма
СОБИ России;

в ходе модернизации ИС налоговых органов будет произведена консолидация локальных ИР России в Центрах обработки
данных (ЦОД);

при модернизации ИС налоговых органов ожидается резкое увеличение обмена конфиденциальной информацией по
каналам связи телекоммуникационной инфраструктуры России.

36
 Мониторинг и контроль состояния безопасности информации

Мониторинг состояния обеспечения безопасности информации

Контроль состояния обеспечения безопасности информации
Аудит (обследование) обеспечения безопасности информации

37
 Корпоративный USB Флэш-Диск
Журналирование действий пользователя;
Авторизация пользователя и ПЭВМ;
Ограничение функциональности в
соответствии с профилем пользователя;
Возможность использования
модифицированного протокола USB;

38
39
40
41
42
43
Спасибо за внимание

44