Što se odnosi na kriptografske alate za sigurnost informacija. (skzi) sredstvo kriptografske zaštite informacija

21.07.2019 Windows 10

Termin "kriptografija" dolazi od starogrčkih riječi "skriveno" i "pisanje". Fraza izražava glavnu svrhu kriptografije - to je zaštita i očuvanje tajnosti prenesenih informacija. Zaštita informacija može se odvijati na različite načine. Na primjer, ograničavanjem fizičkog pristupa podacima, skrivanjem kanala prijenosa, stvaranjem fizičkih poteškoća u povezivanju na komunikacijske linije itd.

Svrha kriptografije Za razliku od tradicionalne kriptografije, kriptografija pretpostavlja pun pristup kanalu prijenosa za napadače i osigurava povjerljivost i autentičnost informacija korištenjem algoritama za šifriranje koji informacije čine nedostupnima autsajderima. Savremeni sistem kriptografske zaštite informacija (CIP) je softversko-hardverski računarski kompleks koji obezbeđuje zaštitu informacija prema sledećim glavnim parametrima.

+ Povjerljivost- nemogućnost čitanja informacija od strane lica koja nemaju odgovarajuća prava pristupa. Glavna komponenta osiguranja povjerljivosti u CIPF-u je ključ (ključ), koji je jedinstvena alfanumerička kombinacija za pristup korisnika određenom bloku CIPF-a.

+ Integritet- nemogućnost neovlaštenih promjena, kao što je uređivanje i brisanje informacija. Za to se početnim informacijama dodaje redundancija u obliku kombinacije provjere, izračunate korištenjem kriptografskog algoritma i ovisno o ključu. Stoga, bez poznavanja ključa, dodavanje ili promjena informacija postaje nemoguće.

+ Autentifikacija- potvrdu autentičnosti informacija i strana koje ih šalju i primaju. Informacije koje se prenose komunikacijskim kanalima moraju biti nedvosmisleno potvrđene sadržajem, vremenom nastanka i prijenosa, izvorom i primaocem. Treba imati na umu da izvor prijetnji može biti ne samo napadač, već i strane uključene u razmjenu informacija sa nedovoljno međusobnog povjerenja. Kako bi spriječio takvu situaciju, CIPF koristi sistem vremenskog žiga kako bi onemogućio slanje ili ponovno slanje informacija i promjenu njihovog redoslijeda.

+ Autorstvo- potvrda i nemogućnost odbijanja radnji korisnika informacija. Najčešći način za potvrdu autentičnosti je elektronski digitalni potpis (EDS). EDS sistem se sastoji od dva algoritma: za kreiranje potpisa i za njegovu verifikaciju. U slučaju intenzivnog rada sa ECC-om, preporučljivo je koristiti centre za sertifikaciju softvera za kreiranje i upravljanje potpisima. Takvi centri se mogu implementirati kao alat za kriptografsku zaštitu informacija, potpuno nezavisan od interne strukture. Šta to znači za organizaciju? To znači da sve transakcije sa elektronskim potpisima obrađuju nezavisne sertifikovane organizacije i krivotvorenje je gotovo nemoguće.

U ovom trenutku među alatima za zaštitu kriptografskih informacija prevladavaju otvoreni algoritmi za šifriranje sa upotrebom simetričnih i asimetričnih ključeva dužine dovoljne da osigura potrebnu kriptografsku složenost. Najčešći algoritmi su:

simetrični ključevi - ruski R-28147.89, AES, DES, RC4;
asimetrični ključevi - RSA;
korištenjem hash funkcija - R-34.11.94, MD4 / 5/6, SHA-1/2. 80

Mnoge zemlje imaju svoje nacionalne standarde za algoritme šifriranja. U SAD se koristi modifikovani AES algoritam sa dužinom ključa od 128-256 bita, au Ruskoj Federaciji algoritam elektronskog potpisa R-34.10.2001 i blok kriptografski algoritam R-28147.89 sa 256-bitnim ključem. Neki elementi nacionalnih kriptografskih sistema zabranjeni su za izvoz van zemlje, a razvoj kriptografskih sistema zaštite informacija zahteva licenciranje.

Hardverski sistemi kripto zaštite

Hardverski kriptografski uređaji za zaštitu informacija su fizički uređaji koji sadrže softver za šifriranje, snimanje i prijenos informacija. Enkripcijski uređaji se mogu izraditi u obliku ličnih uređaja, kao što su ruToken USB enkriptori i IronKey fleš diskovi, kartice za proširenje za personalne računare, specijalizovani mrežni svičevi i ruteri, na osnovu kojih je moguće izgraditi potpuno sigurne računarske mreže.

Alati za hardversku kriptografsku zaštitu informacija se brzo instaliraju i rade velikom brzinom. Nedostaci - visoka, u poređenju sa softverskim i hardverskim kriptografskim alatima za zaštitu informacija, cena i ograničene mogućnosti modernizacije. Također, hardver se može pripisati CIPF blokovima ugrađenim u različite uređaje za snimanje i prijenos podataka, gdje je potrebna enkripcija i ograničenje pristupa informacijama. Takvi uređaji uključuju automobilske tahometre, fiksiranje parametara vozila, neke vrste medicinske opreme itd. Za potpuni rad takvih sistema potrebna je posebna aktivacija CIPF modula od strane stručnjaka dobavljača.

Softverski sistemi kripto zaštite

Softver CIPF je poseban softverski paket za šifrovanje podataka na medijumima za skladištenje (hard i fleš disk, memorijske kartice, CD/DVD) i tokom prenosa preko Interneta (e-mailovi, fajlovi u prilozima, bezbedni razgovori, itd.). Postoji mnogo programa, uključujući besplatne, na primjer DiskCryptor. Zaštićene virtuelne mreže za razmjenu informacija koje rade "preko Interneta" (VPN), proširenje internet protokola HTTP s podrškom za enkripciju HTTPS i SSL, kriptografski protokol za prijenos informacija koji se široko koristi u sistemima IP telefonije i internet aplikacijama, također mogu upućivati na softverske CIPF-ove.
Softverski kriptografski alati za zaštitu informacija se uglavnom koriste na Internetu, na kućnim računarima i u drugim oblastima gde zahtevi za funkcionalnost i stabilnost sistema nisu previsoki. Ili kao u slučaju Interneta, kada morate stvoriti mnogo različitih sigurnih veza u isto vrijeme.

Hardverska i softverska kripto zaštita

Kombinira najbolje kvalitete hardverskih i softverskih sistema za kriptografsku zaštitu informacija. Ovo je najpouzdaniji i najfunkcionalniji način stvaranja sigurnih sistema i mreža za prijenos podataka. Podržane su sve opcije identifikacije korisnika, kako hardverske (USB-pohrana ili pametna kartica) tako i "tradicionalne" - prijava i lozinka. Softverski i hardverski alati za kriptografsku zaštitu informacija podržavaju sve moderne algoritme šifriranja, imaju širok spektar funkcija za kreiranje sigurnog toka dokumenata zasnovanog na EDS-u, svim potrebnim državnim certifikatima. Instalaciju SKZI izvodi kvalifikovano osoblje programera.

Broj pregleda: 295

Sredstva kriptografske zaštite informacija, ili skraćeno CIPF, koriste se kako bi se osigurala sveobuhvatna zaštita podataka koji se prenose preko komunikacijskih linija. Da biste to učinili, potrebno je pratiti autorizaciju i zaštitu elektronskog potpisa, autentifikaciju strana koje komuniciraju korištenjem TLS i IPSec protokola, kao i zaštitu samog komunikacijskog kanala, ako je potrebno.

U Rusiji je upotreba kriptografskih sredstava za zaštitu informacija uglavnom tajna, tako da je malo javno dostupnih informacija o ovoj temi.

Metode koje se koriste u kriptografskim sistemima zaštite informacija

Autorizacija podataka i osiguranje sigurnosti njihovog pravnog značaja tokom prenosa ili skladištenja. Za to se koriste algoritmi za kreiranje elektronskog potpisa i njegovu verifikaciju u skladu sa utvrđenim propisima RFC 4357 i sertifikati prema X.509 standardu.
Zaštita povjerljivosti podataka i kontrola njihovog integriteta. Koristi se asimetrična enkripcija i zaštita od imitacije, odnosno protivzamjena supstituciji podataka. U skladu sa GOST R 34.12-2015.
Zaštita sistemskog i aplikativnog softvera. Praćenje neovlaštenih promjena ili kvarova.
Upravljanje najvažnijim elementima sistema u strogom skladu sa usvojenim propisima.
Autentifikacija strana koje razmjenjuju podatke.
Osiguravanje veze pomoću TLS protokola.
Zaštita IP konekcija korištenjem IKE, ESP, AH protokola.

Metode su detaljno opisane u sljedećim dokumentima: RFC 4357, RFC 4490, RFC 4491.

CIPF mehanizmi za zaštitu informacija

Povjerljivost pohranjenih ili prenesenih informacija zaštićena je algoritmima za šifriranje.
Prilikom uspostavljanja veze, identifikacija se vrši putem elektronskog potpisa kada se koriste prilikom autentifikacije (prema preporuci X.509).
Digitalni tok rada je takođe zaštićen elektronskim potpisima zajedno sa zaštitom od upada ili ponavljanja, dok se kontroliše validnost ključeva koji se koriste za proveru elektronskih potpisa.
Integritet informacija je osiguran digitalnim potpisom.
Korištenje funkcija asimetričnog šifriranja pomaže u zaštiti vaših podataka. Osim toga, funkcije heširanja ili algoritmi zaštite od imitacije mogu se koristiti za provjeru integriteta podataka. Međutim, ove metode ne podržavaju atribuciju dokumenta.
Zaštita od ponavljanja se javlja kriptografskim funkcijama elektronskog potpisa za šifriranje ili zaštitu od imitacije. Istovremeno, svakoj mrežnoj sesiji dodaje se jedinstveni identifikator, dovoljno dug da isključi njegovu slučajnu podudarnost, a provodi se verifikacija od strane primaoca.
Zaštita od upada, odnosno od prodora u komunikacije izvana, obezbjeđuje se elektronskim potpisom.
Ostala zaštita – od obeleživača, virusa, modifikacija operativnog sistema itd. – obezbeđena je korišćenjem različitih kriptografskih alata, bezbednosnih protokola, antivirusnog softvera i organizacionih mera.

Kao što vidite, algoritmi elektronskog potpisa su osnovni dio zaštite kriptografskih informacija. O njima će biti riječi u nastavku.

Zahtjevi za korištenje CIPF-a

CIPF ima za cilj zaštitu (verifikacija elektronskog potpisa) otvorenih podataka u različitim informacionim sistemima opšte upotrebe i obezbeđivanje njihove poverljivosti (provera elektronskog potpisa, imitacija zaštite, šifrovanje, provera heša) u korporativnim mrežama.

Lična sredstva kriptografske zaštite informacija koriste se za zaštitu ličnih podataka korisnika. Međutim, potrebno je istaknuti podatke koji se tiču državne tajne. Prema zakonu, CIPF se ne može koristiti za rad sa njim.

Važno: prije instaliranja alata za zaštitu kriptografskih informacija, prvo što treba učiniti je provjeriti sam softverski paket. Ovo je prvi korak. Obično se integritet instalacijskog paketa provjerava upoređivanjem kontrolnih suma primljenih od proizvođača.

Nakon instalacije, potrebno je odrediti nivo prijetnje, na osnovu kojeg možete odrediti tipove kriptografskih alata za zaštitu informacija potrebnih za korištenje: softver, hardver i hardversko-softver. Takođe treba imati na umu da je prilikom organizovanja nekih alata za zaštitu kriptografskih informacija potrebno voditi računa o lokaciji sistema.

Klase zaštite

Prema naredbi FSB Rusije od 10.7.2014. pod brojem 378, koja reguliše upotrebu kriptografskih sredstava za zaštitu informacija i ličnih podataka, definisano je šest klasa: KS1, KS2, KS3, KV1, KV2, KA1. Klasa zaštite za određeni sistem utvrđuje se analizom podataka o modelu uljeza, odnosno procjenom mogućih načina hakovanja sistema. U ovom slučaju, zaštita je izgrađena od softverske i hardverske kriptografske zaštite informacija.

AU (stvarne prijetnje), kao što se može vidjeti iz tabele, su 3 vrste:

Pretnje prvog tipa su povezane sa nedokumentovanim mogućnostima u sistemskom softveru koji se koristi u informacionom sistemu.
Pretnje drugog tipa su povezane sa nedokumentovanim mogućnostima u aplikativnom softveru koji se koristi u informacionom sistemu.
Svi ostali se nazivaju trećom vrstom prijetnje.

Nedokumentovane mogućnosti su funkcije i svojstva softvera koji nisu opisani u zvaničnoj dokumentaciji ili joj ne odgovaraju. Odnosno, njihova upotreba može povećati rizik od ugrožavanja povjerljivosti ili integriteta informacija.

Radi jasnoće, razmotrimo modele prekršitelja za čije presretanje je potrebna jedna ili druga klasa kriptografskih sredstava zaštite informacija:

KS1 - uljez djeluje spolja, bez pomagača unutar sistema.
KS2 je interni uljez, ali nema pristup CIPF-u.
KS3 je interni uljez koji je korisnik CIPF-a.
KV1 je uljez koji privlači resurse trećih strana, na primjer, stručnjake za kripto-sigurnost.
KV2 je uljez, iza čijeg djelovanja stoji institut ili laboratorij koji se bavi proučavanjem i razvojem kriptografskih alata za sigurnost informacija.
KA1 - posebne službe država.

Dakle, KC1 se može nazvati osnovnom klasom zaštite. Shodno tome, što je viša klasa zaštite, to je manje stručnjaka koji su u stanju da je obezbede. Na primjer, u Rusiji, prema podacima za 2013., postojalo je samo 6 organizacija sa certifikatom FSB-a i sposobne da pruže zaštitu klase KA1.

Korišteni algoritmi

Razmotrimo glavne algoritme koji se koriste u sredstvima kriptografske zaštite informacija:

GOST R 34.10-2001 i ažurirani GOST R 34.10-2012 - algoritmi za kreiranje i provjeru elektronskog potpisa.
GOST R 34.11-94 i najnoviji GOST R 34.11-2012 - algoritmi za kreiranje hash funkcija.
GOST 28147-89 i noviji GOST R 34.12-2015 - implementacija algoritama šifriranja i imitacija zaštite podataka.
Dodatni kriptografski algoritmi se nalaze u RFC 4357.

Elektronski potpis

Korišćenje sredstava kriptografske zaštite informacija ne može se zamisliti bez upotrebe algoritama elektronskog potpisa, koji dobijaju sve veću popularnost.

Elektronski potpis je poseban dio dokumenta nastao kriptografskim transformacijama. Njegov glavni zadatak je da identificira neovlaštene promjene i pripisivanje.

Sertifikat elektronskog potpisa je poseban dokument kojim se dokazuje autentičnost i vlasništvo nad elektronskim potpisom njegovom vlasniku pomoću javnog ključa. Certifikat izdaju tijela za certifikaciju.

Vlasnik sertifikata elektronskog potpisa je lice na čije je ime sertifikat registrovan. Povezan je sa dva ključa: javnim i privatnim. Privatni ključ vam omogućava da kreirate elektronski potpis. Javni ključ je dizajniran za provjeru autentičnosti potpisa putem kriptografske veze s privatnim ključem.

Vrste elektronskog potpisa

Prema Federalnom zakonu br. 63, elektronski potpis je podijeljen u 3 vrste:

redovni elektronski potpis;
nekvalifikovani elektronski potpis;
kvalifikovani elektronski potpis.

Jednostavan elektronski potpis nastaje lozinkom nametnutim prilikom otvaranja i pregleda podataka, ili sličnim sredstvima koja posredno potvrđuju vlasnika.

Nekvalificirani digitalni potpis kreira se korištenjem kriptografskih transformacija podataka korištenjem privatnog ključa. Zahvaljujući tome, možete potvrditi osobu koja je potpisala dokument i utvrditi činjenicu da je izvršena neovlaštena promjena podataka.

Kvalifikovani i nekvalifikovani potpisi se razlikuju samo po tome što u prvom slučaju sertifikat za elektronski potpis mora izdati sertifikaciono telo koje je overio FSB.

Obim upotrebe elektronskog potpisa

Tabela ispod opisuje opseg primjene elektronskog potpisa.

Tehnologije elektronskog potpisa se najaktivnije koriste u razmjeni dokumenata. U internom toku dokumenata, elektronski potpis djeluje kao odobrenje dokumenata, odnosno kao lični potpis ili pečat. U slučaju eksternog toka dokumenata, prisustvo ES je kritično, jer je to pravna potvrda. Također je vrijedno napomenuti da se dokumenti potpisani elektronskim potpisom mogu čuvati na neodređeno vrijeme i ne gube svoj pravni značaj zbog faktora kao što su izbrisani potpisi, oštećeni papir itd.

Izvještavanje regulatornim tijelima je još jedna oblast u kojoj se povećava protok elektronskih dokumenata. Mnoge kompanije i organizacije već su cijenile pogodnost rada u ovom formatu.

Prema zakonu Ruske Federacije, svaki građanin ima pravo da koristi elektronski potpis kada koristi javne usluge (na primjer, potpisivanje elektronske aplikacije za vlasti).

Online trgovina je još jedna zanimljiva oblast u kojoj se aktivno koriste elektronski potpisi. To je potvrda činjenice da na aukciji učestvuje stvarna osoba i njeni prijedlozi se mogu smatrati pouzdanim. Takođe je važno da svaki ugovor zaključen uz pomoć ES-a dobije pravnu snagu.

Algoritmi elektronskog potpisa

Hash pune domene (FDH) i standardi kriptografije javnog ključa (PKCS). Potonji je čitava grupa standardnih algoritama za različite situacije.
DSA i ECDSA su američki standardi za elektronski potpis.
GOST R 34.10-2012 je standard za kreiranje elektronskih potpisa u Ruskoj Federaciji. Ovaj standard je zamijenio GOST R 34.10-2001, koji je službeno ukinut nakon 31. decembra 2017.
Evroazijska unija koristi standarde koji su potpuno slični onima u Rusiji.
STB 34.101.45-2013 - Bjeloruski standard za digitalni elektronski potpis.
DSTU 4145-2002 - standard za kreiranje elektronskog potpisa u Ukrajini i mnogi drugi.

Također treba napomenuti da algoritmi za izradu elektronskih potpisa imaju različite svrhe i namjene:

Grupni elektronski potpis.
Jednokratni digitalni potpis.
Pouzdani digitalni potpis.
Kvalifikovani i nekvalifikovani potpisi itd.

Sa stanovišta sigurnosti informacija, kriptografski ključevi su kritični podaci. Ako su ranije, da bi opljačkali kompaniju, zlonamjernici morali da uđu na njenu teritoriju, otvore prostorije i sefove, sada je dovoljno ukrasti token sa kriptografskim ključem i izvršiti transfer putem Internet sistema Klijent-Banka. Osnova osiguranja sigurnosti korištenjem kriptografskih sistema zaštite informacija (CIPS) je održavanje povjerljivosti kriptografskih ključeva.

Kako osigurati povjerljivost nečega za što ne znate da postoji? Da biste stavili token sa ključem u sef, morate znati o postojanju tokena i sefa. Koliko god paradoksalno zvučalo, vrlo malo kompanija ima predstavu o tačnom broju ključnih dokumenata koje koriste. To se može dogoditi iz više razloga, na primjer, potcjenjivanje prijetnji sigurnosti informacija, nedostatak dobro uspostavljenih poslovnih procesa, nedovoljne kvalifikacije osoblja u sigurnosnim pitanjima itd. Ovaj zadatak se obično pamti nakon incidenata kao što je ovaj.

Ovaj članak će opisati prvi korak ka poboljšanju sigurnosti informacija korištenjem kriptografskih sredstava, ili, preciznije, razmotrit ćemo jedan od pristupa reviziji kriptografskih alata za zaštitu informacija i kriptografskih ključeva. Naracija će biti obavljena u ime stručnjaka za informatičku sigurnost, dok ćemo pretpostaviti da se posao obavlja od nule.

Termini i definicije

Na početku članka, kako ne bismo uplašili nespremnog čitatelja složenim definicijama, naširoko smo koristili termine kriptografski ključ ili kriptoključ, sada je vrijeme da poboljšamo svoj konceptualni aparat i uskladimo ga s važećim zakonodavstvom. Ovo je veoma važan korak jer će efikasno strukturirati informacije dobijene od revizije.

Kriptografski ključ (kriptoključ)- skup podataka koji omogućava odabir jedne specifične kriptografske transformacije između svih mogućih u datom kriptografskom sistemu (definicija iz „ružičaste instrukcije - Naredba FAPSI br. 152 od 13. juna 2001. godine, u daljem tekstu FAPSI 152) .
Ključne informacije- posebno organizovan skup kripto ključeva dizajniranih za implementaciju kriptografske zaštite informacija u određenom periodu [FAPSI 152].
Možete razumjeti osnovnu razliku između kripto ključa i informacija o ključu koristeći sljedeći primjer. Prilikom organiziranja HTTPS-a generira se par javnog i privatnog ključa, a certifikat se dobiva iz javnog ključa i dodatnih informacija. Dakle, u ovoj shemi kombinacija certifikata i privatnog ključa formira informacije o ključu, a svaki od njih pojedinačno je kripto ključ. Ovdje se možete voditi sljedećim jednostavnim pravilom – krajnji korisnici, kada rade s alatima za kriptografsku zaštitu podataka, koriste informacije o ključu, a kriptografski ključevi obično koriste alate za kriptografsku zaštitu podataka unutar sebe. U isto vrijeme, važno je razumjeti da se ključna informacija može sastojati od jednog kripto ključa.
Ključni dokumenti- elektronski dokumenti na bilo kom mediju, kao i dokumenti na papirnom mediju koji sadrže ključne informacije ograničenog pristupa za kriptografsku transformaciju informacija korišćenjem algoritama za kriptografsku transformaciju informacija (kriptografski ključ) u enkripciona (kriptografska) sredstva. (definicija iz Odluke Vlade br. 313 od 16. aprila 2012. godine, u daljem tekstu - PP-313)
Jednostavno rečeno, ključni dokument je ključna informacija snimljena na mediju. Prilikom analize ključnih informacija i ključnih dokumenata potrebno je istaknuti šta se koristi (odnosno koristi za kriptografske transformacije - šifriranje, elektronski potpis i sl.) ključne informacije, a ključni dokumenti koji ih sadrže se prenose zaposlenima.
Alati za zaštitu kriptografskih informacija (CIPF)- sredstva za šifrovanje, sredstva imitacije zaštite, sredstva elektronskog potpisa, sredstva kodiranja, sredstva za izradu ključnih dokumenata, ključna dokumenta, sredstva hardverske enkripcije (kriptografske), softverska i hardverska sredstva za šifrovanje (kriptografska). [PP-313]
Kada analizirate ovu definiciju, u njoj možete pronaći prisustvo pojma ključni dokumenti. Termin je dat u Vladinoj uredbi i nemamo ga pravo mijenjati. Istovremeno, dalji opis će se vršiti na osnovu toga da će samo sredstva za izvođenje kriptografskih transformacija biti vezana za CIPF). Ovaj pristup će pojednostaviti reviziju, ali u isto vrijeme neće utjecati na njen kvalitet, jer ćemo i dalje voditi računa o ključnim dokumentima, ali u našem dijelu i korištenjem vlastitih metoda.

Metodologija revizije i očekivani rezultati

Glavne karakteristike metodologije revizije predložene u ovom članku su postulati da:

ni jedan zaposleni u kompaniji ne može tačno odgovoriti na postavljena pitanja tokom revizije;
postojeći izvori podataka (liste, registri, itd.) su netačni ili loše strukturirani.

Stoga je metodologija predložena u članku svojevrsno rudarenje podataka, tokom kojeg će isti podaci biti izvučeni iz različitih izvora, a zatim upoređivani, strukturirani i rafinirani.

Evo glavnih zavisnosti koje će nam pomoći u tome:

Ako postoji alat za zaštitu kriptografskih informacija, tu su i ključne informacije.
Ako postoji elektronički tok dokumenata (uključujući i druge ugovorne strane i regulatore), onda najvjerovatnije koristi elektronički potpis i, kao rezultat, alate za zaštitu kriptografskih informacija i ključne informacije.
Elektronski tok dokumenata u ovom kontekstu treba shvatiti široko, odnosno uključiće i direktnu razmjenu pravno značajnih elektronskih dokumenata i podnošenje izvještaja, te rad u platnim ili trgovačkim sistemima i tako dalje. Spisak i oblici elektronskog upravljanja dokumentima određeni su poslovnim procesima kompanije, kao i važećom zakonskom regulativom.
Ako je zaposlenik uključen u elektronsko upravljanje dokumentima, onda najvjerovatnije ima ključne dokumente.
Prilikom organizovanja elektronskog toka dokumenata sa ugovornim stranama obično se izdaju organizacioni i administrativni dokumenti (nalozi) o imenovanju odgovornih lica.
Ako se informacije prenose putem Interneta (ili drugih javnih mreža), onda su najvjerovatnije šifrirane. Ovo se prvenstveno odnosi na VPN i razne sisteme za daljinski pristup.
Ako se u mrežnom prometu pronađu protokoli koji prenose promet u šifriranom obliku, tada se koriste alati za zaštitu kriptografskih informacija i ključne informacije.
Ako bi se obračuni vršili sa ugovornim stranama koje se bave: isporukom proizvoda za informatičku sigurnost, telekomunikacijskih uređaja, pružanjem usluga za prijenos natečenosti, uslugama certifikacijskih centara, tada bi se ovom interakcijom mogli kupiti alati za kriptografsku zaštitu informacija ili ključni dokumenti.
Ključni dokumenti mogu biti ili na otuđivim medijima (flopi diskovi, fleš diskovi, tokeni,...), ili snimljeni unutar računara i hardverskih kriptografskih alata za sigurnost informacija.
Kada koristite alate za virtuelizaciju, ključni dokumenti se mogu pohraniti i unutar virtuelnih mašina i montirati na virtuelne mašine pomoću hipervizora.
Alati za hardversku kriptografsku zaštitu informacija mogu se instalirati u serverskim prostorijama i biti nedostupni za analizu preko mreže.
Neki sistemi za upravljanje elektronskim dokumentima mogu biti neaktivni ili neaktivni, ali u isto vrijeme sadrže informacije o aktivnom ključu i alate za zaštitu kriptografskih informacija.
Interna regulatorna i organizaciona i administrativna dokumentacija može sadržavati informacije o elektronskim sistemima upravljanja dokumentima, CIPF-u i ključnim dokumentima.

Za ekstrakciju primarnih informacija, mi ćemo:

intervjuisanje zaposlenih;
analizira dokumentaciju kompanije, uključujući interne regulatorne i administrativne dokumente, kao i izlazne naloge za plaćanje;
izvršiti vizualnu analizu serverskih soba i komunikacijskih ormara;
vršiti tehničku analizu sadržaja automatizovanih radnih stanica (AWS), servera i alata za virtuelizaciju.

Konkretne mjere ćemo formulirati kasnije, ali za sada ćemo uzeti u obzir konačne podatke koje bismo trebali dobiti kao rezultat revizije:

Spisak SKZI:

CIPF model... Na primjer, CIPF Crypto CSP 3.9 ili OpenSSL 1.0.1
Identifikator CIPF instance... Na primjer, serijski, licencni (ili registracijski prema PKZ-2005) SKZI broj
Informacije o certifikatu FSB Rusije za CIPF, uključujući broj i datum početka i završetka važenja.
Informacije o mjestu rada SKZI... Na primjer, naziv računara na kojem je instaliran softver SKZI, ili naziv tehničkog sredstva ili prostorije u kojoj je instaliran hardverski SKZI.

Ove informacije će omogućiti:

Upravljajte ranjivostima u sistemima zaštite kriptografskih informacija, odnosno brzo ih otkrijte i popravite.
Pratite period važenja sertifikata za alate za zaštitu kriptografskih informacija, kao i da proverite da li se sertifikovani alat za zaštitu kriptografskih informacija koristi u skladu sa pravilima utvrđenim dokumentacijom ili ne.
Planirajte troškove zaštite kriptografskih informacija, znajući koliko je već u funkciji i koliko je još konsolidovanih sredstava dostupno.
Generirajte regulatorno izvještavanje.

Lista ključnih informacija:

Za svaki element liste bilježimo sljedeće podatke:

Naziv ili identifikator ključnih informacija... Na primjer, „Kvalificirani ES ključ. Serijski broj sertifikata je 31: 2D: AF", a identifikator treba odabrati na način da se po njemu može pronaći ključ. Na primjer, tijela za izdavanje certifikata, kada šalju obavještenja, obično identifikuju ključeve prema brojevima certifikata.
Key System Control Center (CMC) izdavaoca ovih ključnih informacija. To može biti organizacija koja je izdala ključ, na primjer, certifikacijsko tijelo.
Pojedinac, u čije ime su izdate ključne informacije. Ove informacije se mogu dohvatiti iz CN polja X.509 certifikata
Format ključnih informacija... Na primjer, CryptoPRO CIP, Verba-OW CIP, X.509, itd. (ili drugim riječima, za koji je CIP ova ključna informacija namijenjena).
Dodjela ključnih informacija... Na primjer, "Učešće na aukcijama na web stranici Sberbank AST", "Kvalificirani elektronički potpis za podnošenje izvještaja" itd. Sa tehničke tačke gledišta, u ovom polju možete popraviti ograničenja koja su fiksirana proširenim poljima upotrebe ključa i drugim X.509 certifikatima.
Početak i kraj važenja ključnih informacija.
Postupak ponovnog izdavanja ključnih informacija... Odnosno, znanje o tome šta treba učiniti i kako ponovo izdati ključne informacije. U najmanju ruku, preporučljivo je zabilježiti kontakte službenika CMC-a koji su dali ključne informacije.
Spisak informacionih sistema, usluga ili poslovnih procesa u okviru kojih se koriste ključne informacije... Na primjer, "Sistem usluga daljinskog bankarstva Internet klijent-banka".

Ove informacije će omogućiti:

Pratite datume isteka ključnih informacija.
Ako je potrebno, brzo ponovo izdajte ključne informacije. Ovo može biti potrebno i za planirana i za neplanirana ponovna izdanja.
Blokirati korištenje ključnih informacija, nakon otpuštanja zaposlenika kome su one puštene.
Istražite incidente u informacionoj sigurnosti tako što ćete odgovoriti na pitanja: "Ko je imao ključeve za plaćanje?" i sl.

Spisak ključnih dokumenata:

Za svaki element liste bilježimo sljedeće podatke:

Ključne informacije sadržane u ključnom dokumentu.
Nosač ključnih informacija, na kojem su zabilježene ključne informacije.
Face odgovoran za sigurnost ključnog dokumenta i povjerljivost ključnih informacija sadržanih u njemu.

Ove informacije će omogućiti:

Ponovo izdati ključne informacije u slučajevima: otpuštanja zaposlenih koji imaju ključna dokumenta, kao iu slučaju kompromitacije medija.
Osigurajte povjerljivost ključnih informacija tako što ćete napraviti inventar nosilaca koji ih sadrže.

Plan revizije

Sada je vrijeme da razmotrimo praktične karakteristike revizije. Učinimo to na primjeru kreditno-finansijske organizacije ili drugim riječima na primjeru banke. Ovaj primjer nije slučajno odabran. Banke koriste prilično veliki broj različitih sistema kriptografske zaštite koji su uključeni u ogroman broj poslovnih procesa, a osim toga, gotovo sve banke imaju licencu FSB Rusije za kriptografiju. U daljem tekstu biće predstavljen plan revizije kriptografskih alata za zaštitu informacija i kriptoključeva u odnosu na Banku. Istovremeno, ovaj plan se može uzeti kao osnova pri obavljanju revizije gotovo svake kompanije. Radi lakše percepcije, plan je podijeljen u faze, koje su zauzvrat presavijene u spolijere.

Faza 1. Prikupljanje podataka od infrastrukturnih odjela kompanije

№	Akcija
Izvor - svi zaposleni u kompaniji
1	Svim zaposlenima u kompaniji šaljemo korporativnu poštu sa zahtjevom da informišu službu za sigurnost informacija o svim kriptografskim ključevima koje koriste	Primamo mejlove na osnovu kojih formiramo listu ključnih informacija i listu ključnih dokumenata
Izvor - šef Službe za informacione tehnologije
1	Tražimo listu ključnih informacija i ključnih dokumenata	Sa određenom vjerovatnoćom, IT služba održava takve dokumente, mi ćemo ih koristiti za formiranje i pojašnjavanje lista ključnih informacija, ključnih dokumenata i alata za zaštitu kriptografskih informacija
2	Zahtjev za listu resursa kriptografskih informacija
3	Tražimo registar softvera instaliranog na serverima i radnim stanicama	U ovom registru tražimo softverske kriptografske alate i njihove komponente. Na primjer, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, KritoARM itd. Na osnovu ovih podataka formiramo listu alata za zaštitu kriptografskih informacija.
4	Tražimo spisak zaposlenih (vjerovatno tehničke podrške) koji pomažu korisnicima da koriste alate za kriptografsku zaštitu informacija i ponovno izdaju ključne informacije.	Od ovih osoba tražimo iste informacije kao i od administratora sistema
Izvor - Sistemski administratori usluga informacionih tehnologija
1	Tražimo listu domaćih kripto gateway-a (VIPNET, Continent, S-terra, itd.)	U slučajevima kada kompanija ne implementira redovne poslovne procese upravljanja IT i informatičkom bezbednošću, ovakva pitanja mogu pomoći administratorima sistema da upamte postojanje određenog uređaja ili softvera. Koristimo ove informacije da dobijemo listu alata za zaštitu kriptografskih informacija.
2	Tražimo spisak domaćih softverskih kriptografskih alata (kriptografski alati za zaštitu informacija MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk,...)
3	Zahtijevamo listu rutera koji implementiraju VPN za: a) komunikacija između ureda kompanije; b) interakcija sa izvođačima i partnerima.
4	Zahtijevamo listu informativnih usluga objavljenih na Internetu (dostupnih sa Interneta). One mogu uključivati: a) korporativni email; b) sisteme za razmenu trenutnih poruka; c) korporativne web stranice; d) usluge za razmjenu informacija sa partnerima i izvođačima (ekstranet); e) sistemi daljinskog bankarstva (ako je kompanija banka); f) sistemi daljinskog pristupa mreži preduzeća. Da bismo provjerili kompletnost datih informacija, provjeravamo ih u odnosu na listu pravila prosljeđivanja portova za granične zaštitne zidove.	Analizirajući primljene informacije, s velikom vjerovatnoćom, možete pronaći upotrebu kriptografskih alata za zaštitu informacija i kripto ključeva. Dobivene podatke koristimo za formiranje liste kriptografskih alata za zaštitu informacija i ključnih informacija.
5	Tražimo listu informacionih sistema koji se koriste za izvještavanje (Taxcom, Kontur, itd.)	Ovi sistemi koriste ključeve kvalifikovanog elektronskog potpisa i SKZI. Preko ove liste formiramo listu alata za kriptografsku zaštitu podataka, listu ključnih informacija, a takođe saznajemo i zaposlene koji koriste ove sisteme za formiranje liste ključnih dokumenata.
6	Tražimo spisak internih sistema za elektronsko upravljanje dokumentima (Lotus, DIRECTUM, 1C: Upravljanje dokumentima, itd.), kao i spisak njihovih korisnika.	U okviru internih sistema elektronskog upravljanja dokumentima mogu se naići na ključeve elektronskog potpisa. Na osnovu dobijenih informacija formiramo listu ključnih informacija i listu ključnih dokumenata.
7	Tražimo listu internih certifikacijskih centara.	Sredstva utrošena za organizaciju sertifikacionih centara evidentiraju se na listi alata za zaštitu kriptografskih informacija. U budućnosti ćemo analizirati sadržaj baza podataka centara za sertifikaciju kako bismo identifikovali ključne informacije.
8	Tražimo informacije o upotrebi tehnologija: IEEE 802.1x, WiFiWPA2 Enterprise i IP sistemi video nadzora	U slučaju korištenja ovih tehnologija možemo pronaći ključne dokumente u uključenim uređajima.
Izvor - šef ljudskih resursa
1	Molimo opišite proces zapošljavanja i otpuštanja radnika. Fokusiramo se na pitanje ko uzima ključna dokumenta od odlaska radnika	Analiziramo dokumente (bypass sheets) na prisustvo informacionih sistema u kojima se može koristiti kriptografski sistem zaštite informacija.

Faza 2. Prikupljanje podataka od poslovnih jedinica kompanije (na primjeru Banke)

№	Akcija	Očekivani učinak i upotreba
Izvor - šef službe za poravnanje (dopisni odnosi)
1	Navedite šemu za organizovanje interakcije sa platnim sistemom Banke Rusije. Ovo će posebno biti relevantno za banke koje imaju razvijenu mrežu ekspozitura, u kojoj filijale mogu direktno povezati Centralnu banku sa platnim sistemom.	Na osnovu dobijenih podataka utvrđujemo lokaciju platnih prolaza (AWP KBR, UTA) i listu uključenih korisnika. Dobivene informacije koristimo za formiranje liste alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Tražimo spisak banaka sa kojima su uspostavljeni direktni korespondentni odnosi, a takođe tražimo da se kaže ko je uključen u vršenje transfera i koja tehnička sredstva se koriste.
3	Tražimo spisak platnih sistema u kojima Banka učestvuje (SWIFT, VISA, MasterCard, NSPK, itd.), kao i lokaciju terminala za komunikaciju	Isto kao i za platni sistem Banke Rusije
Izvor - Šef Odjeljenja zaduženog za pružanje usluga daljinskog bankarstva
1	Tražimo listu sistema daljinskog bankarstva.	U ovim sistemima analiziramo upotrebu kriptografskih alata za zaštitu informacija i ključnih informacija. Na osnovu primljenih podataka formiramo listu alata za zaštitu kriptografskih informacija i ključnih informacija i ključnih dokumenata.
Izvor - Šef odjela zaduženog za funkcionisanje obrade platnih kartica
1	Upitajte HSM registar	Na osnovu dobijenih informacija formiramo listu alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Traži se spisak službenika obezbjeđenja
4	Traženje informacija o LMK HSM komponentama
5	Tražimo informacije o organizaciji sistema kao što je 3D-Secure i organizaciji personalizacije platnih kartica
Izvor - Rukovodioci odjela koji obavljaju funkcije trezora i depozitara
1	Spisak banaka sa kojima su uspostavljeni korespondentni odnosi i koje učestvuju u međubankarskom kreditiranju.	Dobivene informacije koristimo za pojašnjenje prethodno primljenih podataka od službe poravnanja, kao i za evidentiranje informacija o interakciji sa berzama i depozitarima. Na osnovu primljenih informacija formiramo listu kriptografskih alata za zaštitu informacija i ključnih informacija.
2	Spisak berzi i specijalizovanih depozitara sa kojima Banka sarađuje
Izvor - Rukovodioci službi finansijskog monitoringa i odjeljenja odgovorni za podnošenje izvještaja Banci Rusije
1	Tražimo informacije o tome kako oni šalju informacije i primaju informacije od Centralne banke. Spisak uključenih lica i tehničkih sredstava.	Informaciona interakcija sa Bankom Rusije strogo je regulisana relevantnim dokumentima, na primer, 2332-U, 321-I i mnogim drugim, proveravamo usklađenost sa ovim dokumentima i formiramo liste alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
Izvor - Glavni računovođa i računovođe koji plaćaju račune za interne potrebe banke
1	Tražimo informacije o načinu pripreme i podnošenja izvještaja poreskim inspekcijama i Banci Rusije	Pojašnjavamo prethodno dobijene informacije
2	Zahtijevamo registar platnih dokumenata za plaćanje internih potreba banke	U ovom registru tražićemo dokumente gde: 1) Kao primaoci plaćanja navedeni su sertifikacioni centri, specijalizovani telekom operateri, proizvođači kriptografskih alata za zaštitu informacija, dobavljači telekomunikacione opreme. Imena ovih kompanija mogu se dobiti iz Registra sertifikovanih sistema kriptografske zaštite informacija FSB Rusije, liste akreditovanih sertifikacionih centara Ministarstva telekomunikacija i masovnih komunikacija i drugih izvora. 2) kao dešifrovanje uplate prisutne su reči: "CIPF", "potpis", "token", "ključ", "BKI" itd.
Izvor - Rukovodioci za dugove i upravljanje rizicima
1	Tražimo spisak kreditnih biroa i agencija za naplatu sa kojima Banka sarađuje.	Zajedno sa IT službom analiziramo dobijene podatke u cilju pojašnjenja organizacije upravljanja elektronskim dokumentima, na osnovu čega pojašnjavamo liste alata za kriptografsku zaštitu informacija, ključnih informacija i ključnih dokumenata.
Izvor - Rukovodioci Službe za upravljanje dokumentima, internu kontrolu i internu reviziju
1	Zahtijevamo registar internih organizacionih i administrativnih dokumenata (naloga).	U ovim dokumentima tražimo dokumente koji se odnose na kriptografski sistem zaštite informacija. Da bismo to uradili, analiziramo prisustvo ključnih reči "bezbednost", "odgovorno lice", "administrator", "elektronski potpis", "ES", "EDS", "EDO", "ASP", "SKZI" i njihovih derivata. Zatim identifikujemo spisak zaposlenih Banke koji je evidentiran u ovim dokumentima. Vodimo intervjue sa zaposlenicima na temu njihove upotrebe kripto-alata. Primljene informacije odražavamo u listama alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Zahtijevamo liste ugovora sa drugim ugovornim stranama	Pokušavamo da identifikujemo ugovore o elektronskom upravljanju dokumentima, kao i ugovore sa kompanijama koje isporučuju alate za informatičku bezbednost ili pružaju usluge u ovoj oblasti, kao i kompanije koje pružaju usluge sertifikacionih centara i usluge za podnošenje izveštaja putem interneta.
3	Analiziramo tehnologiju skladištenja dokumenata dana u elektronskom obliku	Prilikom implementacije skladištenja dokumenata dana u elektronskom obliku, potrebni su kriptografski alati za zaštitu informacija

Faza 3. Tehnička revizija

№	Akcija	Očekivani učinak i upotreba
1	Vršimo tehnički inventar softvera instaliranog na računarima. Za ovo koristimo: · Analitičke mogućnosti korporativnih sistema zaštite od virusa (na primer, Kaspersky Anti-Virus može da napravi takav registar). · WMI skripte za prozivanje računara koji koriste Windows; · Mogućnosti paket menadžera za polling * nix sisteme; · Specijalizovani softver za inventar.	Među instaliranim softverom tražimo softver SKZI, drajvere za hardver SKZI i ključeve. Na osnovu dobijenih informacija ažuriramo listu CIPF-ova.
2	Tražimo ključne dokumente na serverima i radnim stanicama. Za ovo · Logon-skripte anketiraju AWP u domenu za prisustvo sertifikata sa privatnim ključevima u korisničkim profilima i profilima računara. Na svim računarima, fajl serverima, hipervizorima, tražimo fajlove sa ekstenzijama: crt, cer, key, pfx, p12, pem, pse, jks itd. · Na hipervizorima virtualizacijskih sistema tražimo montirane flopi drajvove i slike disketa.	Vrlo često su ključni dokumenti predstavljeni u obliku kontejnera ključeva fajlova, kao i kontejnera pohranjenih u registrima računara koji koriste Windows. Pronađene ključne dokumente evidentiramo u listu ključnih dokumenata, a ključne informacije sadržane u njima u listu ključnih informacija.
3	Analiziramo sadržaj baza podataka centara za sertifikaciju	Baze podataka certifikacijskih tijela obično sadrže informacije o certifikatima koje izdaju ova tijela. Primljene informacije unosimo u listu ključnih informacija i listu ključnih dokumenata.
4	Vršimo vizualnu inspekciju serverskih soba i ormara za ožičenje, tražimo alate za kriptografsku zaštitu informacija i hardverske nosače ključeva (tokeni, diskovi)	U nekim slučajevima nemoguće je izvršiti popis alata za zaštitu kriptografskih informacija i ključnih dokumenata preko mreže. Sistemi mogu biti na izolovanim mrežnim segmentima ili uopšte nemaju mrežne veze. Da bismo to uradili, vršimo vizuelni pregled, na osnovu kojeg treba utvrditi nazive i namenu sve opreme koja se nalazi u server sobama. Primljene informacije unosimo u listu kriptografskih alata za zaštitu informacija i ključnih dokumenata.
5	Analiziramo mrežni promet kako bismo identificirali tokove informacija koristeći šifriranu razmjenu	Šifrovani protokoli - HTTPS, SSH, itd. omogućiće nam da identifikujemo mrežne čvorove na kojima se izvode kriptografske transformacije, i kao rezultat, sadrže alate za zaštitu kriptografskih informacija i ključne dokumente.

Zaključak

U ovom članku smo ispitali teoriju i praksu revizije kriptografskih alata za zaštitu informacija i kripto ključeva. Kao što ste vidjeli, ovaj postupak je prilično složen i dugotrajan, ali ako mu se pravilno pristupi, sasvim je izvodljiv. Nadamo se da će vam ovaj članak pomoći u stvarnom životu. Hvala vam na pažnji, čekamo vaše komentare.

Oznake: Dodaj oznake

Metode zaštite kriptografskih informacija

Kriptografska transformacija je transformacija informacija zasnovana na određenom algoritmu koji zavisi od promjenljivog parametra (obično se naziva tajni ključ), a ima svojstvo nemogućnosti povratka originalne informacije iz transformirane, bez poznavanja efektivnog ključa, sa složenošću manjom od unaprijed određene.

Glavna prednost kriptografskih metoda je da pružaju visoku zagarantovanu sigurnost, koja se može izračunati i izraziti u numeričkom obliku (prosječan broj operacija ili vrijeme potrebno za otkrivanje šifriranih informacija ili izračunavanje ključeva).

Glavni nedostaci kriptografskih metoda uključuju:

Značajna potrošnja resursa (vrijeme, performanse procesora) za izvođenje kriptografskih transformacija informacija;
... poteškoće u dijeljenju šifriranih (potpisanih) informacija koje se odnose na upravljanje ključevima (generacija, distribucija, itd.);
... visoki zahtjevi za sigurnost privatnih ključeva i zaštitu javnih ključeva od zamjene.

Kriptografija je podijeljena u dvije klase: kriptografija sa simetričnim ključem i kriptografija s javnim ključem.

Kriptografija simetričnog ključa
U kriptografiji sa simetričnim ključem (klasična kriptografija), pretplatnici koriste isti (dijeljeni) ključ (tajni element) i za šifriranje i za dešifriranje podataka.

Treba istaknuti sljedeće prednosti kriptografije simetričnog ključa:
... relativno visoke performanse algoritama;
... visoka kriptografska snaga algoritama po jedinici dužine ključa.

Nedostaci kriptografije simetričnog ključa uključuju:
... potreba za korištenjem složenog mehanizma distribucije ključeva;
... tehnološke poteškoće u osiguravanju neporicanja.

Kriptografija javnog ključa

Za rješavanje problema distribucije ključeva i digitalnog potpisa korištene su ideje asimetrije transformacija i otvorene distribucije Diffie i Hellman ključeva. Kao rezultat toga, stvorena je kriptografija javnog ključa, koja ne koristi jednu tajnu, već par ključeva: javni (javni) ključ i tajni (privatni, privatni) ključ poznati samo jednoj strani u interakciji. Za razliku od privatnog ključa, koji se mora čuvati u tajnosti, javni ključ se može distribuirati javno. Slika 1 prikazuje dva svojstva sistema javnih ključeva koji omogućavaju generiranje šifriranih i provjerenih poruka.

Dva važna svojstva kriptografije javnog ključa

Slika 1 Dva svojstva kriptografije javnog ključa

Šema šifriranja podataka pomoću javnog ključa prikazana je na slici 6 i sastoji se od dvije faze. Na prvom od njih, javni ključevi se razmjenjuju preko neklasificiranog kanala. U tom slučaju potrebno je osigurati autentičnost prijenosa ključnih informacija. U drugoj fazi, zapravo, implementira se enkripcija poruke, u kojoj pošiljalac šifrira poruku javnim ključem primaoca.

Šifrovani fajl može da čita samo vlasnik privatnog ključa, tj. primalac. Primačeva šema dešifriranja za to koristi primateljev tajni ključ.

Enkripcija

Slika 2 Šema šifriranja u kriptografiji javnog ključa.

Implementacija EDS šeme je povezana sa izračunavanjem hash funkcije (digest) podataka, što je jedinstveni broj dobijen iz originalnih podataka kompresijom (preklapanjem) pomoću složenog, ali dobro poznatog algoritma. Haš funkcija je jednosmjerna funkcija, tj. hash vrijednost se ne može koristiti za oporavak originalnih podataka. Hash funkcija je osjetljiva na sve vrste oštećenja podataka. Osim toga, vrlo je teško pronaći dva skupa podataka koji imaju istu hash vrijednost.

Generisanje EDS-a sa heširanjem
Šema za generiranje ED potpisa od strane pošiljaoca uključuje izračunavanje ED hash funkcije i šifriranje ove vrijednosti korištenjem tajnog ključa pošiljaoca. Rezultat enkripcije je vrijednost EDS-a EDS-a (atribut EDS-a), koji se zajedno sa samim EDS-om šalje primaocu. U tom slučaju, primatelju poruke se prvo mora dati javni ključ pošiljaoca poruke.

Slika 3 EDS šema u kriptografiji javnog ključa.

Šema EDS verifikacije (verifikacije) koju sprovodi primalac poruke sastoji se od sledećih faza. Na prvom od njih, EDS blok se dešifruje pomoću javnog ključa pošiljaoca. Tada se izračunava hash funkcija ED. Rezultat proračuna se uspoređuje s rezultatom dešifriranja EDS bloka. U slučaju poklapanja, donosi se odluka o usklađenosti EDS-a sa ED-om. Nepodudarnost između rezultata dešifriranja i rezultata izračunavanja ED hash funkcije može se objasniti sljedećim razlozima:

U procesu prenosa preko komunikacionog kanala izgubljen je integritet ED;
... prilikom generisanja EDS-a korišten je pogrešan (lažni) tajni ključ;
... prilikom provjere EDS-a korišćen je pogrešan javni ključ (u procesu prenosa preko komunikacionog kanala ili prilikom njegovog daljeg čuvanja javni ključ je modifikovan ili promijenjen).

Implementacija kriptografskih algoritama sa javnim ključevima (u poređenju sa simetričnim algoritmima) zahteva dosta CPU vremena. Stoga se kriptografija javnog ključa obično koristi za rješavanje problema distribucije ključeva i digitalnog potpisa, a simetrična kriptografija se koristi za šifriranje. Dobro poznata kombinovana šema šifrovanja kombinuje visoku sigurnost kriptosistema javnog ključa sa prednostima velike brzine simetričnih kriptosistema. U ovoj šemi, nasumično generirani simetrični (sesijski) ključ se koristi za šifriranje, koji se zauzvrat šifrira pomoću otvorenog kriptosistema za tajni prijenos preko kanala na početku komunikacijske sesije.

Kombinovana metoda

Slika 4 Kombinovana šema šifrovanja.

Povjerenje javnog ključa i digitalni certifikati
Centralno pitanje šeme distribucije javnog ključa je pitanje povjerenja u primljeni javni ključ partnera, koji se može mijenjati ili mijenjati tokom prijenosa ili skladištenja.

Za široku klasu praktičnih sistema (sistemi za elektronsko upravljanje dokumentima, sistemi klijent-banka, sistemi međubankarskog elektronskog poravnanja), u kojima je moguć lični sastanak partnera pre početka razmene elektronskih dokumenata, ovaj zadatak ima relativno jednostavno rešenje. - međusobna certifikacija javnih ključeva.

Ovaj postupak se sastoji u tome da svaka strana na ličnom sastanku potpisom ovlašćenog lica i pečatom na papirnom dokumentu ovjerava ispis sadržaja javnog ključa druge strane. Ovaj papirni sertifikat je, prvo, obaveza strane da koristi ovaj ključ za provjeru potpisa na dolaznim porukama, i, drugo, daje pravni značaj interakcije. Zaista, razmatrani papirni certifikati omogućavaju nedvosmislenu identifikaciju prevaranta među dva partnera, ako jedan od njih želi promijeniti ključeve.

Dakle, da bi se ostvarila pravno značajna elektronska interakcija između dvije strane, potrebno je zaključiti ugovor o razmjeni certifikata. Certifikat je dokument koji povezuje lične podatke vlasnika i njegov javni ključ. U papirnoj formi mora sadržavati svojeručne potpise ovlaštenih lica i pečate.

U sistemima u kojima ne postoji mogućnost preliminarnog ličnog kontakta partnera, potrebno je koristiti digitalne sertifikate izdate i ovjerene digitalnim potpisom provjerenog posrednika – certifikacijskog ili sertifikacionog centra.

Interakcija klijenata sa Centrom za sertifikaciju
U preliminarnoj fazi, svaki od partnera lično posjeti Centar za sertifikaciju (CA) i dobije lični sertifikat - neku vrstu elektronskog analoga građanskog pasoša.

Slika 5 Certifikat x.509.

Nakon posjete CA, svaki od partnera postaje vlasnik javnog ključa CA. CA javni ključ omogućava svom vlasniku da provjeri autentičnost javnog ključa partnera provjeravanjem autentičnosti EDS-a certifikacijskog tijela pod certifikatom javnog ključa partnera.

U skladu sa zakonom "O EDS-u", digitalni certifikat sadrži sljedeće podatke:

Naziv i detalji ključnog centra za sertifikaciju (centralno sertifikaciono telo, sertifikacioni centar);
... Potvrda da je sertifikat izdat u Ukrajini;
... Jedinstveni registarski broj certifikata ključa;
... Osnovni podaci (detalji) o pretplatniku - vlasniku privatnog (javnog) ključa;
... Datum i vrijeme početka i isteka certifikata;
... Javni ključ;
... Naziv kriptografskog algoritma koji koristi vlasnik javnog ključa;
... Informacije o ograničenju upotrebe potpisa;
... Ojačani sertifikat ključa, pored obaveznih podataka sadržanih u sertifikatu ključa, mora imati i znak ojačanog sertifikata;
... Ostali podaci mogu se unijeti u poboljšani certifikat ključa na zahtjev njegovog vlasnika.

Ovaj digitalni certifikat je potpisan CA privatnim ključem, tako da svako sa javnim ključem CA može provjeriti njegovu autentičnost. Dakle, upotreba digitalnog sertifikata pretpostavlja sledeću šemu elektronske interakcije između partnera. Jedan od partnera šalje drugom svoj vlastiti certifikat primljen od CA i poruku potpisanu EDS-om. Primalac poruke vrši provjeru autentičnosti certifikata ravnopravnog korisnika, što uključuje:

Provjera povjerenja u izdavaoca potvrde i perioda njenog važenja;
... verifikacija EDS izdavaoca po sertifikatu;
... provjera opoziva certifikata.

Ako sertifikat partnera nije izgubio važnost, a EDS se koristi u odnosima u kojima ima pravni značaj, iz sertifikata se izdvaja javni ključ partnera. Na osnovu ovog javnog ključa, EDS partnera može se verificirati putem elektronskog dokumenta (ED).
Važno je napomenuti da je, u skladu sa zakonom „O EDS“, potvrda autentičnosti EDS-a u EDS-u pozitivan rezultat verifikacije od strane odgovarajućeg sertifikovanog EDS alata korišćenjem sertifikata ključa potpisa.

CA, osiguravajući sigurnost interakcije između partnera, obavlja sljedeće funkcije:

Registruje EDS ključeve;
... kreira, na zahtjev korisnika, privatne i javne EDS ključeve;
... suspenduje i obnavlja sertifikate ključeva potpisa, kao i ih opoziva;
... vodi registar certifikata ključeva potpisa, osigurava relevantnost registra i mogućnost korisnika da slobodno pristupe registru;
... izdaje potvrde o ključevima potpisa na papiru iu obliku elektronskih dokumenata sa podacima o njihovoj važnosti;
... vrši, na zahtjev korisnika, potvrdu autentičnosti (važnosti) potpisa u ED u odnosu na EDS koji je registrovao.

CA stvara uslove za sigurno skladištenje privatnih ključeva na skupoj i dobro zaštićenoj opremi, kao i uslove za administriranje pristupa privatnim ključevima.

Registracija svakog digitalnog potpisa vrši se na osnovu aplikacije koja sadrži podatke potrebne za izdavanje sertifikata, kao i podatke potrebne za identifikaciju vlasnika digitalnog potpisa i prenošenje poruka na njega. Prijava je potpisana svojeručnim potpisom nosioca EDS-a, a podaci sadržani u njoj potvrđuju se predočenjem relevantnih dokumenata. Prilikom registracije provjerava se jedinstvenost javnih EDS ključeva u CA registru i arhivi.

Prilikom registracije kod CA na papiru izdaju se dva primjerka certifikata ključa potpisa, koji su ovjereni svojeručnim potpisima nosioca EDS-a i ovlaštene osobe sertifikacionog centra (CA) i pečatom sertifikacionog centra. Jedan primjerak se izdaje imaocu EDS-a, drugi ostaje u CA.

U stvarnim sistemima, svaki partner može koristiti više certifikata izdatih od strane različitih CA. Različiti CA-ovi mogu se kombinovati pomoću infrastrukture javnog ključa ili PKI-ja (infrastruktura javnog ključa). CA u okviru PKI-ja obezbeđuje ne samo skladištenje sertifikata, već i upravljanje njima (izdavanje, opoziv, verifikacija poverenja). Najčešći PKI model je hijerarhijski. Osnovna prednost ovog modela je u tome što validacija certifikata zahtijeva samo relativno mali broj korijenskih CA kojima se vjeruje. U isto vrijeme, ovaj model dozvoljava različit broj CA-a koji izdaju certifikate.

Termini i definicije

Kriptografski ključ (kriptoključ)- skup podataka koji omogućava odabir jedne specifične kriptografske transformacije između svih mogućih u datom kriptografskom sistemu (definicija iz „ružičaste instrukcije - Naredba FAPSI br. 152 od 13. juna 2001. godine, u daljem tekstu FAPSI 152) .
Ključne informacije- posebno organizovan skup kripto ključeva dizajniranih za implementaciju kriptografske zaštite informacija u određenom periodu [FAPSI 152].
Možete razumjeti osnovnu razliku između kripto ključa i informacija o ključu koristeći sljedeći primjer. Prilikom organiziranja HTTPS-a generira se par javnog i privatnog ključa, a certifikat se dobiva iz javnog ključa i dodatnih informacija. Dakle, u ovoj shemi kombinacija certifikata i privatnog ključa formira informacije o ključu, a svaki od njih pojedinačno je kripto ključ. Ovdje se možete voditi sljedećim jednostavnim pravilom – krajnji korisnici, kada rade s alatima za kriptografsku zaštitu podataka, koriste informacije o ključu, a kriptografski ključevi obično koriste alate za kriptografsku zaštitu podataka unutar sebe. U isto vrijeme, važno je razumjeti da se ključna informacija može sastojati od jednog kripto ključa.
Ključni dokumenti- elektronski dokumenti na bilo kom mediju, kao i dokumenti na papirnom mediju koji sadrže ključne informacije ograničenog pristupa za kriptografsku transformaciju informacija korišćenjem algoritama za kriptografsku transformaciju informacija (kriptografski ključ) u enkripciona (kriptografska) sredstva. (definicija iz Odluke Vlade br. 313 od 16. aprila 2012. godine, u daljem tekstu - PP-313)
Jednostavno rečeno, ključni dokument je ključna informacija snimljena na mediju. Prilikom analize ključnih informacija i ključnih dokumenata potrebno je istaknuti šta se koristi (odnosno koristi za kriptografske transformacije - šifriranje, elektronski potpis i sl.) ključne informacije, a ključni dokumenti koji ih sadrže se prenose zaposlenima.
Alati za zaštitu kriptografskih informacija (CIPF)- sredstva za šifrovanje, sredstva imitacije zaštite, sredstva elektronskog potpisa, sredstva kodiranja, sredstva za izradu ključnih dokumenata, ključna dokumenta, sredstva hardverske enkripcije (kriptografske), softverska i hardverska sredstva za šifrovanje (kriptografska). [PP-313]
Kada analizirate ovu definiciju, u njoj možete pronaći prisustvo pojma ključni dokumenti. Termin je dat u Vladinoj uredbi i nemamo ga pravo mijenjati. Istovremeno, dalji opis će se vršiti na osnovu toga da će samo sredstva za izvođenje kriptografskih transformacija biti vezana za CIPF). Ovaj pristup će pojednostaviti reviziju, ali u isto vrijeme neće utjecati na njen kvalitet, jer ćemo i dalje voditi računa o ključnim dokumentima, ali u našem dijelu i korištenjem vlastitih metoda.

Metodologija revizije i očekivani rezultati

Glavne karakteristike metodologije revizije predložene u ovom članku su postulati da:

ni jedan zaposleni u kompaniji ne može tačno odgovoriti na postavljena pitanja tokom revizije;
postojeći izvori podataka (liste, registri, itd.) su netačni ili loše strukturirani.

Stoga je metodologija predložena u članku svojevrsno rudarenje podataka, tokom kojeg će isti podaci biti izvučeni iz različitih izvora, a zatim upoređivani, strukturirani i rafinirani.

Evo glavnih zavisnosti koje će nam pomoći u tome:

Ako postoji alat za zaštitu kriptografskih informacija, tu su i ključne informacije.
Ako postoji elektronički tok dokumenata (uključujući i druge ugovorne strane i regulatore), onda najvjerovatnije koristi elektronički potpis i, kao rezultat, alate za zaštitu kriptografskih informacija i ključne informacije.
Elektronski tok dokumenata u ovom kontekstu treba shvatiti široko, odnosno uključiće i direktnu razmjenu pravno značajnih elektronskih dokumenata i podnošenje izvještaja, te rad u platnim ili trgovačkim sistemima i tako dalje. Spisak i oblici elektronskog upravljanja dokumentima određeni su poslovnim procesima kompanije, kao i važećom zakonskom regulativom.
Ako je zaposlenik uključen u elektronsko upravljanje dokumentima, onda najvjerovatnije ima ključne dokumente.
Prilikom organizovanja elektronskog toka dokumenata sa ugovornim stranama obično se izdaju organizacioni i administrativni dokumenti (nalozi) o imenovanju odgovornih lica.
Ako se informacije prenose putem Interneta (ili drugih javnih mreža), onda su najvjerovatnije šifrirane. Ovo se prvenstveno odnosi na VPN i razne sisteme za daljinski pristup.
Ako se u mrežnom prometu pronađu protokoli koji prenose promet u šifriranom obliku, tada se koriste alati za zaštitu kriptografskih informacija i ključne informacije.
Ako bi se obračuni vršili sa ugovornim stranama koje se bave: isporukom proizvoda za informatičku sigurnost, telekomunikacijskih uređaja, pružanjem usluga za prijenos natečenosti, uslugama certifikacijskih centara, tada bi se ovom interakcijom mogli kupiti alati za kriptografsku zaštitu informacija ili ključni dokumenti.
Ključni dokumenti mogu biti ili na otuđivim medijima (flopi diskovi, fleš diskovi, tokeni,...), ili snimljeni unutar računara i hardverskih kriptografskih alata za sigurnost informacija.
Kada koristite alate za virtuelizaciju, ključni dokumenti se mogu pohraniti i unutar virtuelnih mašina i montirati na virtuelne mašine pomoću hipervizora.
Alati za hardversku kriptografsku zaštitu informacija mogu se instalirati u serverskim prostorijama i biti nedostupni za analizu preko mreže.
Neki sistemi za upravljanje elektronskim dokumentima mogu biti neaktivni ili neaktivni, ali u isto vrijeme sadrže informacije o aktivnom ključu i alate za zaštitu kriptografskih informacija.
Interna regulatorna i organizaciona i administrativna dokumentacija može sadržavati informacije o elektronskim sistemima upravljanja dokumentima, CIPF-u i ključnim dokumentima.

Za ekstrakciju primarnih informacija, mi ćemo:

intervjuisanje zaposlenih;
analizira dokumentaciju kompanije, uključujući interne regulatorne i administrativne dokumente, kao i izlazne naloge za plaćanje;
izvršiti vizualnu analizu serverskih soba i komunikacijskih ormara;
vršiti tehničku analizu sadržaja automatizovanih radnih stanica (AWS), servera i alata za virtuelizaciju.

Konkretne mjere ćemo formulirati kasnije, ali za sada ćemo uzeti u obzir konačne podatke koje bismo trebali dobiti kao rezultat revizije:

Spisak SKZI:

CIPF model... Na primjer, CIPF Crypto CSP 3.9 ili OpenSSL 1.0.1
Identifikator CIPF instance... Na primjer, serijski, licencni (ili registracijski prema PKZ-2005) SKZI broj
Informacije o certifikatu FSB Rusije za CIPF, uključujući broj i datum početka i završetka važenja.
Informacije o mjestu rada SKZI... Na primjer, naziv računara na kojem je instaliran softver SKZI, ili naziv tehničkog sredstva ili prostorije u kojoj je instaliran hardverski SKZI.

Ove informacije će omogućiti:

Upravljajte ranjivostima u sistemima zaštite kriptografskih informacija, odnosno brzo ih otkrijte i popravite.
Pratite period važenja sertifikata za alate za zaštitu kriptografskih informacija, kao i da proverite da li se sertifikovani alat za zaštitu kriptografskih informacija koristi u skladu sa pravilima utvrđenim dokumentacijom ili ne.
Planirajte troškove zaštite kriptografskih informacija, znajući koliko je već u funkciji i koliko je još konsolidovanih sredstava dostupno.
Generirajte regulatorno izvještavanje.

Lista ključnih informacija:

Za svaki element liste bilježimo sljedeće podatke:

Naziv ili identifikator ključnih informacija... Na primjer, „Kvalificirani ES ključ. Serijski broj sertifikata je 31: 2D: AF", a identifikator treba odabrati na način da se po njemu može pronaći ključ. Na primjer, tijela za izdavanje certifikata, kada šalju obavještenja, obično identifikuju ključeve prema brojevima certifikata.
Key System Control Center (CMC) izdavaoca ovih ključnih informacija. To može biti organizacija koja je izdala ključ, na primjer, certifikacijsko tijelo.
Pojedinac, u čije ime su izdate ključne informacije. Ove informacije se mogu dohvatiti iz CN polja X.509 certifikata
Format ključnih informacija... Na primjer, CryptoPRO CIP, Verba-OW CIP, X.509, itd. (ili drugim riječima, za koji je CIP ova ključna informacija namijenjena).
Dodjela ključnih informacija... Na primjer, "Učešće na aukcijama na web stranici Sberbank AST", "Kvalificirani elektronički potpis za podnošenje izvještaja" itd. Sa tehničke tačke gledišta, u ovom polju možete popraviti ograničenja koja su fiksirana proširenim poljima upotrebe ključa i drugim X.509 certifikatima.
Početak i kraj važenja ključnih informacija.
Postupak ponovnog izdavanja ključnih informacija... Odnosno, znanje o tome šta treba učiniti i kako ponovo izdati ključne informacije. U najmanju ruku, preporučljivo je zabilježiti kontakte službenika CMC-a koji su dali ključne informacije.
Spisak informacionih sistema, usluga ili poslovnih procesa u okviru kojih se koriste ključne informacije... Na primjer, "Sistem usluga daljinskog bankarstva Internet klijent-banka".

Ove informacije će omogućiti:

Pratite datume isteka ključnih informacija.
Ako je potrebno, brzo ponovo izdajte ključne informacije. Ovo može biti potrebno i za planirana i za neplanirana ponovna izdanja.
Blokirati korištenje ključnih informacija, nakon otpuštanja zaposlenika kome su one puštene.
Istražite incidente u informacionoj sigurnosti tako što ćete odgovoriti na pitanja: "Ko je imao ključeve za plaćanje?" i sl.

Spisak ključnih dokumenata:

Za svaki element liste bilježimo sljedeće podatke:

Ključne informacije sadržane u ključnom dokumentu.
Nosač ključnih informacija, na kojem su zabilježene ključne informacije.
Face odgovoran za sigurnost ključnog dokumenta i povjerljivost ključnih informacija sadržanih u njemu.

Ove informacije će omogućiti:

Ponovo izdati ključne informacije u slučajevima: otpuštanja zaposlenih koji imaju ključna dokumenta, kao iu slučaju kompromitacije medija.
Osigurajte povjerljivost ključnih informacija tako što ćete napraviti inventar nosilaca koji ih sadrže.

Plan revizije

Faza 1. Prikupljanje podataka od infrastrukturnih odjela kompanije

№	Akcija
Izvor - svi zaposleni u kompaniji
1	Svim zaposlenima u kompaniji šaljemo korporativnu poštu sa zahtjevom da informišu službu za sigurnost informacija o svim kriptografskim ključevima koje koriste	Primamo mejlove na osnovu kojih formiramo listu ključnih informacija i listu ključnih dokumenata
Izvor - šef Službe za informacione tehnologije
1	Tražimo listu ključnih informacija i ključnih dokumenata	Sa određenom vjerovatnoćom, IT služba održava takve dokumente, mi ćemo ih koristiti za formiranje i pojašnjavanje lista ključnih informacija, ključnih dokumenata i alata za zaštitu kriptografskih informacija
2	Zahtjev za listu resursa kriptografskih informacija
3	Tražimo registar softvera instaliranog na serverima i radnim stanicama	U ovom registru tražimo softverske kriptografske alate i njihove komponente. Na primjer, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, KritoARM itd. Na osnovu ovih podataka formiramo listu alata za zaštitu kriptografskih informacija.
4	Tražimo spisak zaposlenih (vjerovatno tehničke podrške) koji pomažu korisnicima da koriste alate za kriptografsku zaštitu informacija i ponovno izdaju ključne informacije.	Od ovih osoba tražimo iste informacije kao i od administratora sistema
Izvor - Sistemski administratori usluga informacionih tehnologija
1	Tražimo listu domaćih kripto gateway-a (VIPNET, Continent, S-terra, itd.)	U slučajevima kada kompanija ne implementira redovne poslovne procese upravljanja IT i informatičkom bezbednošću, ovakva pitanja mogu pomoći administratorima sistema da upamte postojanje određenog uređaja ili softvera. Koristimo ove informacije da dobijemo listu alata za zaštitu kriptografskih informacija.
2	Tražimo spisak domaćih softverskih kriptografskih alata (kriptografski alati za zaštitu informacija MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk,...)
3	Zahtijevamo listu rutera koji implementiraju VPN za: a) komunikacija između ureda kompanije; b) interakcija sa izvođačima i partnerima.
4	Zahtijevamo listu informativnih usluga objavljenih na Internetu (dostupnih sa Interneta). One mogu uključivati: a) korporativni email; b) sisteme za razmenu trenutnih poruka; c) korporativne web stranice; d) usluge za razmjenu informacija sa partnerima i izvođačima (ekstranet); e) sistemi daljinskog bankarstva (ako je kompanija banka); f) sistemi daljinskog pristupa mreži preduzeća. Da bismo provjerili kompletnost datih informacija, provjeravamo ih u odnosu na listu pravila prosljeđivanja portova za granične zaštitne zidove.	Analizirajući primljene informacije, s velikom vjerovatnoćom, možete pronaći upotrebu kriptografskih alata za zaštitu informacija i kripto ključeva. Dobivene podatke koristimo za formiranje liste kriptografskih alata za zaštitu informacija i ključnih informacija.
5	Tražimo listu informacionih sistema koji se koriste za izvještavanje (Taxcom, Kontur, itd.)	Ovi sistemi koriste ključeve kvalifikovanog elektronskog potpisa i SKZI. Preko ove liste formiramo listu alata za kriptografsku zaštitu podataka, listu ključnih informacija, a takođe saznajemo i zaposlene koji koriste ove sisteme za formiranje liste ključnih dokumenata.
6	Tražimo spisak internih sistema za elektronsko upravljanje dokumentima (Lotus, DIRECTUM, 1C: Upravljanje dokumentima, itd.), kao i spisak njihovih korisnika.	U okviru internih sistema elektronskog upravljanja dokumentima mogu se naići na ključeve elektronskog potpisa. Na osnovu dobijenih informacija formiramo listu ključnih informacija i listu ključnih dokumenata.
7	Tražimo listu internih certifikacijskih centara.	Sredstva utrošena za organizaciju sertifikacionih centara evidentiraju se na listi alata za zaštitu kriptografskih informacija. U budućnosti ćemo analizirati sadržaj baza podataka centara za sertifikaciju kako bismo identifikovali ključne informacije.
8	Tražimo informacije o upotrebi tehnologija: IEEE 802.1x, WiFiWPA2 Enterprise i IP sistemi video nadzora	U slučaju korištenja ovih tehnologija možemo pronaći ključne dokumente u uključenim uređajima.
Izvor - šef ljudskih resursa
1	Molimo opišite proces zapošljavanja i otpuštanja radnika. Fokusiramo se na pitanje ko uzima ključna dokumenta od odlaska radnika	Analiziramo dokumente (bypass sheets) na prisustvo informacionih sistema u kojima se može koristiti kriptografski sistem zaštite informacija.

Faza 2. Prikupljanje podataka od poslovnih jedinica kompanije (na primjeru Banke)

№	Akcija	Očekivani učinak i upotreba
Izvor - šef službe za poravnanje (dopisni odnosi)
1	Navedite šemu za organizovanje interakcije sa platnim sistemom Banke Rusije. Ovo će posebno biti relevantno za banke koje imaju razvijenu mrežu ekspozitura, u kojoj filijale mogu direktno povezati Centralnu banku sa platnim sistemom.	Na osnovu dobijenih podataka utvrđujemo lokaciju platnih prolaza (AWP KBR, UTA) i listu uključenih korisnika. Dobivene informacije koristimo za formiranje liste alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Tražimo spisak banaka sa kojima su uspostavljeni direktni korespondentni odnosi, a takođe tražimo da se kaže ko je uključen u vršenje transfera i koja tehnička sredstva se koriste.
3	Tražimo spisak platnih sistema u kojima Banka učestvuje (SWIFT, VISA, MasterCard, NSPK, itd.), kao i lokaciju terminala za komunikaciju	Isto kao i za platni sistem Banke Rusije
Izvor - Šef Odjeljenja zaduženog za pružanje usluga daljinskog bankarstva
1	Tražimo listu sistema daljinskog bankarstva.	U ovim sistemima analiziramo upotrebu kriptografskih alata za zaštitu informacija i ključnih informacija. Na osnovu primljenih podataka formiramo listu alata za zaštitu kriptografskih informacija i ključnih informacija i ključnih dokumenata.
Izvor - Šef odjela zaduženog za funkcionisanje obrade platnih kartica
1	Upitajte HSM registar	Na osnovu dobijenih informacija formiramo listu alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Traži se spisak službenika obezbjeđenja
4	Traženje informacija o LMK HSM komponentama
5	Tražimo informacije o organizaciji sistema kao što je 3D-Secure i organizaciji personalizacije platnih kartica
Izvor - Rukovodioci odjela koji obavljaju funkcije trezora i depozitara
1	Spisak banaka sa kojima su uspostavljeni korespondentni odnosi i koje učestvuju u međubankarskom kreditiranju.	Dobivene informacije koristimo za pojašnjenje prethodno primljenih podataka od službe poravnanja, kao i za evidentiranje informacija o interakciji sa berzama i depozitarima. Na osnovu primljenih informacija formiramo listu kriptografskih alata za zaštitu informacija i ključnih informacija.
2	Spisak berzi i specijalizovanih depozitara sa kojima Banka sarađuje
Izvor - Rukovodioci službi finansijskog monitoringa i odjeljenja odgovorni za podnošenje izvještaja Banci Rusije
1	Tražimo informacije o tome kako oni šalju informacije i primaju informacije od Centralne banke. Spisak uključenih lica i tehničkih sredstava.	Informaciona interakcija sa Bankom Rusije strogo je regulisana relevantnim dokumentima, na primer, 2332-U, 321-I i mnogim drugim, proveravamo usklađenost sa ovim dokumentima i formiramo liste alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
Izvor - Glavni računovođa i računovođe koji plaćaju račune za interne potrebe banke
1	Tražimo informacije o načinu pripreme i podnošenja izvještaja poreskim inspekcijama i Banci Rusije	Pojašnjavamo prethodno dobijene informacije
2	Zahtijevamo registar platnih dokumenata za plaćanje internih potreba banke	U ovom registru tražićemo dokumente gde: 1) Kao primaoci plaćanja navedeni su sertifikacioni centri, specijalizovani telekom operateri, proizvođači kriptografskih alata za zaštitu informacija, dobavljači telekomunikacione opreme. Imena ovih kompanija mogu se dobiti iz Registra sertifikovanih sistema kriptografske zaštite informacija FSB Rusije, liste akreditovanih sertifikacionih centara Ministarstva telekomunikacija i masovnih komunikacija i drugih izvora. 2) kao dešifrovanje uplate prisutne su reči: "CIPF", "potpis", "token", "ključ", "BKI" itd.
Izvor - Rukovodioci za dugove i upravljanje rizicima
1	Tražimo spisak kreditnih biroa i agencija za naplatu sa kojima Banka sarađuje.	Zajedno sa IT službom analiziramo dobijene podatke u cilju pojašnjenja organizacije upravljanja elektronskim dokumentima, na osnovu čega pojašnjavamo liste alata za kriptografsku zaštitu informacija, ključnih informacija i ključnih dokumenata.
Izvor - Rukovodioci Službe za upravljanje dokumentima, internu kontrolu i internu reviziju
1	Zahtijevamo registar internih organizacionih i administrativnih dokumenata (naloga).	U ovim dokumentima tražimo dokumente koji se odnose na kriptografski sistem zaštite informacija. Da bismo to uradili, analiziramo prisustvo ključnih reči "bezbednost", "odgovorno lice", "administrator", "elektronski potpis", "ES", "EDS", "EDO", "ASP", "SKZI" i njihovih derivata. Zatim identifikujemo spisak zaposlenih Banke koji je evidentiran u ovim dokumentima. Vodimo intervjue sa zaposlenicima na temu njihove upotrebe kripto-alata. Primljene informacije odražavamo u listama alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Zahtijevamo liste ugovora sa drugim ugovornim stranama	Pokušavamo da identifikujemo ugovore o elektronskom upravljanju dokumentima, kao i ugovore sa kompanijama koje isporučuju alate za informatičku bezbednost ili pružaju usluge u ovoj oblasti, kao i kompanije koje pružaju usluge sertifikacionih centara i usluge za podnošenje izveštaja putem interneta.
3	Analiziramo tehnologiju skladištenja dokumenata dana u elektronskom obliku	Prilikom implementacije skladištenja dokumenata dana u elektronskom obliku, potrebni su kriptografski alati za zaštitu informacija

Faza 3. Tehnička revizija

№	Akcija	Očekivani učinak i upotreba
1	Vršimo tehnički inventar softvera instaliranog na računarima. Za ovo koristimo: · Analitičke mogućnosti korporativnih sistema zaštite od virusa (na primer, Kaspersky Anti-Virus može da napravi takav registar). · WMI skripte za prozivanje računara koji koriste Windows; · Mogućnosti paket menadžera za polling * nix sisteme; · Specijalizovani softver za inventar.	Među instaliranim softverom tražimo softver SKZI, drajvere za hardver SKZI i ključeve. Na osnovu dobijenih informacija ažuriramo listu CIPF-ova.
2	Tražimo ključne dokumente na serverima i radnim stanicama. Za ovo · Logon-skripte anketiraju AWP u domenu za prisustvo sertifikata sa privatnim ključevima u korisničkim profilima i profilima računara. Na svim računarima, fajl serverima, hipervizorima, tražimo fajlove sa ekstenzijama: crt, cer, key, pfx, p12, pem, pse, jks itd. · Na hipervizorima virtualizacijskih sistema tražimo montirane flopi drajvove i slike disketa.	Vrlo često su ključni dokumenti predstavljeni u obliku kontejnera ključeva fajlova, kao i kontejnera pohranjenih u registrima računara koji koriste Windows. Pronađene ključne dokumente evidentiramo u listu ključnih dokumenata, a ključne informacije sadržane u njima u listu ključnih informacija.
3	Analiziramo sadržaj baza podataka centara za sertifikaciju	Baze podataka certifikacijskih tijela obično sadrže informacije o certifikatima koje izdaju ova tijela. Primljene informacije unosimo u listu ključnih informacija i listu ključnih dokumenata.
4	Vršimo vizualnu inspekciju serverskih soba i ormara za ožičenje, tražimo alate za kriptografsku zaštitu informacija i hardverske nosače ključeva (tokeni, diskovi)	U nekim slučajevima nemoguće je izvršiti popis alata za zaštitu kriptografskih informacija i ključnih dokumenata preko mreže. Sistemi mogu biti na izolovanim mrežnim segmentima ili uopšte nemaju mrežne veze. Da bismo to uradili, vršimo vizuelni pregled, na osnovu kojeg treba utvrditi nazive i namenu sve opreme koja se nalazi u server sobama. Primljene informacije unosimo u listu kriptografskih alata za zaštitu informacija i ključnih dokumenata.
5	Analiziramo mrežni promet kako bismo identificirali tokove informacija koristeći šifriranu razmjenu	Šifrovani protokoli - HTTPS, SSH, itd. omogućiće nam da identifikujemo mrežne čvorove na kojima se izvode kriptografske transformacije, i kao rezultat, sadrže alate za zaštitu kriptografskih informacija i ključne dokumente.

Zaključak

Tagovi:

skzy
kriptografija
elektronski potpis
revizija
menadžment

Dodaj oznake

Što se odnosi na kriptografske alate za sigurnost informacija. (skzi) sredstvo kriptografske zaštite informacija

Metode koje se koriste u kriptografskim sistemima zaštite informacija

CIPF mehanizmi za zaštitu informacija

Zahtjevi za korištenje CIPF-a

Klase zaštite

Korišteni algoritmi

Elektronski potpis

Vrste elektronskog potpisa

Obim upotrebe elektronskog potpisa

Algoritmi elektronskog potpisa

Termini i definicije

Metodologija revizije i očekivani rezultati

Plan revizije

Zaključak

Termini i definicije

Metodologija revizije i očekivani rezultati

Plan revizije

Zaključak

Top srodni članci