آنچه به ابزارهای امنیت اطلاعات رمزنگاری اشاره دارد. (skzi) ابزار حفاظت رمزنگاری اطلاعات

اصطلاح رمزنگاری از کلمات یونانی باستان "پنهان" و "نوشتن" گرفته شده است. این عبارت هدف اصلی رمزنگاری را بیان می کند - این محافظت و حفظ محرمانه بودن اطلاعات ارسال شده است. حفاظت از اطلاعات می تواند به طرق مختلف صورت گیرد. به عنوان مثال، با محدود کردن دسترسی فیزیکی به داده ها، پنهان کردن کانال انتقال، ایجاد مشکلات فیزیکی در اتصال به خطوط ارتباطی و غیره.

هدف از رمزنگاری برخلاف رمزنگاری سنتی، رمزنگاری دسترسی کامل به کانال انتقال را برای مهاجمان فرض می‌کند و با استفاده از الگوریتم‌های رمزگذاری که اطلاعات را برای افراد خارجی غیرقابل دسترس می‌سازد، از محرمانگی و صحت اطلاعات اطمینان می‌دهد. یک سیستم مدرن حفاظت از اطلاعات رمزنگاری (CIP) یک مجموعه کامپیوتری نرم افزاری و سخت افزاری است که حفاظت اطلاعات را با توجه به پارامترهای اصلی زیر ارائه می دهد.

+ محرمانه بودن- عدم امکان خواندن اطلاعات توسط افرادی که از حقوق دسترسی مناسب برخوردار نیستند. مؤلفه اصلی اطمینان از محرمانه بودن در CIPF یک کلید (کلید) است که یک ترکیب الفبایی عددی منحصر به فرد برای دسترسی کاربر به یک بلوک خاص از CIPF است.

+ تمامیت- عدم امکان تغییرات غیرمجاز مانند ویرایش و حذف اطلاعات. برای این کار افزونگی در قالب چک ترکیبی به اطلاعات اولیه اضافه می شود که با استفاده از الگوریتم رمزنگاری و بسته به کلید محاسبه می شود. بنابراین، بدون دانستن کلید، افزودن یا تغییر اطلاعات غیرممکن می شود.

+ احراز هویت- تایید صحت اطلاعات و طرفین ارسال و دریافت کننده آن. اطلاعاتی که از طریق کانال‌های ارتباطی منتقل می‌شوند باید بدون ابهام بر اساس محتوا، زمان ایجاد و ارسال، منبع و گیرنده تأیید شوند. باید به خاطر داشت که منبع تهدید نه تنها مهاجم، بلکه طرفین درگیر در تبادل اطلاعات با اعتماد متقابل ناکافی نیز می توانند باشند. برای جلوگیری از چنین وضعیتی، CIPF از سیستم مهر زمانی استفاده می کند تا ارسال یا ارسال مجدد اطلاعات و تغییر سفارش آن را غیرممکن کند.

+ نویسندگی- تایید و عدم امکان امتناع از اقدامات انجام شده توسط کاربر اطلاعات. رایج ترین راه برای تایید اصالت، امضای دیجیتال الکترونیکی (EDS) است. سیستم EDS از دو الگوریتم تشکیل شده است: برای ایجاد یک امضا و برای تأیید آن. در صورت کار فشرده با ECC، استفاده از مراکز صدور گواهینامه نرم افزاری برای ایجاد و مدیریت امضا توصیه می شود. چنین مراکزی می توانند به عنوان یک ابزار حفاظت از اطلاعات رمزنگاری، کاملا مستقل از ساختار داخلی پیاده سازی شوند. این برای سازمان چه معنایی دارد؟ این بدان معناست که تمام معاملات با امضای الکترونیکی توسط سازمان های مستقل تایید شده پردازش می شود و جعل تقریبا غیرممکن است.

در حال حاضر، الگوریتم های رمزگذاری باز با استفاده از کلیدهای متقارن و نامتقارن با طول کافی برای اطمینان از پیچیدگی رمزنگاری مورد نیاز در میان CIPF ها غالب است. رایج ترین الگوریتم ها عبارتند از:

کلیدهای متقارن - روسی Р-28147.89، AES، DES، RC4؛
کلیدهای نامتقارن - RSA؛
با استفاده از توابع هش - Р-34.11.94، MD4 / 5/6، SHA-1/2. 80

بسیاری از کشورها استانداردهای ملی خود را برای الگوریتم های رمزگذاری دارند. در ایالات متحده آمریکا از یک الگوریتم AES اصلاح شده با طول کلید 128-256 بیت و در فدراسیون روسیه از الگوریتم امضای الکترونیکی R-34.10.2001 و یک الگوریتم رمزنگاری بلوک R-28147.89 با یک کلید 256 بیتی استفاده می شود. برخی از عناصر سیستم های رمزنگاری ملی برای صادرات به خارج از کشور ممنوع است؛ توسعه سیستم های حفاظت از اطلاعات رمزنگاری مستلزم صدور مجوز است.

سیستم های حفاظت از رمزنگاری سخت افزاری

دستگاه‌های حفاظت از اطلاعات رمزنگاری سخت‌افزاری، دستگاه‌های فیزیکی حاوی نرم‌افزار برای رمزگذاری، ضبط و انتقال اطلاعات هستند. دستگاه های رمزگذاری را می توان در قالب دستگاه های شخصی مانند رمزگذارهای USB ruToken و درایوهای فلش IronKey، کارت های توسعه برای رایانه های شخصی، سوئیچ های شبکه تخصصی و روترها ساخت که بر اساس آنها می توان شبکه های رایانه ای کاملاً ایمن ساخت.

ابزارهای حفاظت از اطلاعات رمزنگاری سخت افزاری به سرعت نصب می شوند و با سرعت بالایی کار می کنند. معایب - بالا، در مقایسه با ابزارهای حفاظت از اطلاعات رمزنگاری مبتنی بر نرم افزار و سخت افزار، هزینه و گزینه های محدود مدرن سازی. همچنین، سخت‌افزار را می‌توان به بلوک‌های CIPF تعبیه‌شده در دستگاه‌های مختلف برای ضبط و انتقال داده‌ها نسبت داد، جایی که نیاز به رمزگذاری و محدودیت دسترسی به اطلاعات است. از جمله این دستگاه ها می توان به سرعت سنج خودرو، تثبیت پارامترهای وسایل نقلیه، برخی از انواع تجهیزات پزشکی و ... اشاره کرد. برای بهره برداری کامل از چنین سیستم هایی، فعال سازی جداگانه ماژول CIPF توسط متخصصان تامین کننده مورد نیاز است.

سیستم های حفاظت از رمزنگاری نرم افزاری

نرم افزار CIPF یک بسته نرم افزاری ویژه برای رمزگذاری داده ها بر روی رسانه های ذخیره سازی (درایوهای سخت و فلش، کارت های حافظه، سی دی / دی وی دی) و در حین انتقال از طریق اینترنت (ایمیل، فایل های پیوست، چت امن و غیره) است. برنامه های زیادی وجود دارد، از جمله برنامه های رایگان، به عنوان مثال، DiskCryptor. شبکه‌های مجازی محافظت‌شده برای تبادل اطلاعات که «از طریق اینترنت» کار می‌کنند (VPN)، توسعه‌ای از پروتکل اینترنت HTTP با پشتیبانی از رمزگذاری HTTPS و SSL، یک پروتکل رمزنگاری برای انتقال اطلاعات به‌طور گسترده در سیستم‌های تلفن IP و برنامه‌های کاربردی اینترنتی، همچنین می‌توانند به نرم افزار CIPF ارجاع داده شود.
ابزارهای حفاظت از اطلاعات رمزنگاری نرم افزار عمدتاً در اینترنت، رایانه های خانگی و در سایر مناطقی که الزامات برای عملکرد و پایداری سیستم بسیار بالا نیست استفاده می شود. یا مانند مورد اینترنت، زمانی که شما باید چندین اتصال امن مختلف را به طور همزمان ایجاد کنید.

حفاظت از رمزنگاری سخت افزاری و نرم افزاری

ترکیبی از بهترین کیفیت سیستم های سخت افزاری و نرم افزاری برای حفاظت از اطلاعات رمزنگاری. این مطمئن ترین و کاربردی ترین راه برای ایجاد سیستم های امن و شبکه های انتقال داده است. همه گزینه‌های شناسایی کاربر پشتیبانی می‌شوند، هم سخت‌افزار (فضای ذخیره‌سازی USB یا کارت هوشمند) و هم "سنتی" - ورود و رمز عبور. ابزارهای حفاظت از اطلاعات رمزنگاری نرم‌افزار و سخت‌افزار از همه الگوریتم‌های رمزگذاری مدرن پشتیبانی می‌کنند، دارای طیف گسترده‌ای از عملکردها برای ایجاد یک جریان سند امن بر اساس EDS، همه گواهی‌های حالت مورد نیاز هستند. نصب SKZI توسط پرسنل واجد شرایط توسعه دهنده انجام می شود.

بازدید پست: 295

ابزارهای حفاظت از اطلاعات رمزنگاری یا به اختصار CIPF، برای اطمینان از حفاظت جامع از داده های منتقل شده از طریق خطوط ارتباطی استفاده می شود. برای این کار لازم است مجوز و حفاظت از امضای الکترونیکی، احراز هویت طرف های ارتباطی با استفاده از پروتکل های TLS و IPSec و همچنین حفاظت از خود کانال ارتباطی در صورت لزوم رعایت شود.

در روسیه، استفاده از ابزارهای رمزنگاری برای محافظت از اطلاعات بیشتر طبقه بندی شده است، بنابراین اطلاعات کمی در دسترس عموم در مورد این موضوع وجود دارد.

روش های مورد استفاده در سیستم های حفاظت از اطلاعات رمزنگاری

• مجوز داده ها و اطمینان از ایمنی اهمیت قانونی آنها در حین انتقال یا ذخیره سازی. برای این کار از الگوریتم هایی برای ایجاد امضای الکترونیکی و تأیید آن مطابق با مقررات تعیین شده RFC 4357 و گواهی های مطابق با استاندارد X.509 استفاده می شود.
• حفاظت از محرمانه بودن داده ها و کنترل یکپارچگی آنها. از رمزگذاری نامتقارن و حفاظت از تقلید استفاده می شود، یعنی مقابله با جایگزینی داده ها. مطابق با GOST R 34.12-2015.
• حفاظت از سیستم و نرم افزارهای کاربردی ردیابی تغییرات غیرمجاز یا نقص.
• مدیریت مهمترین عناصر سیستم با رعایت دقیق مقررات مصوب.
• احراز هویت طرفین مبادله کننده داده ها
• ایمن سازی اتصال با استفاده از پروتکل TLS.
• حفاظت از اتصالات IP با استفاده از پروتکل های IKE، ESP، AH.

روش ها به طور مفصل در اسناد زیر توضیح داده شده است: RFC 4357، RFC 4490، RFC 4491.

مکانیسم های CIPF برای حفاظت از اطلاعات

1. محرمانه بودن اطلاعات ذخیره شده یا ارسال شده با استفاده از الگوریتم های رمزگذاری محافظت می شود.
2. هنگام برقراری ارتباط، شناسایی با استفاده از امضای الکترونیکی در هنگام استفاده از آنها در حین احراز هویت (طبق توصیه X.509) ارائه می شود.
3. گردش کار دیجیتال نیز با استفاده از امضای الکترونیکی همراه با محافظت در برابر نفوذ یا تکرار محافظت می شود، در حالی که اعتبار کلیدهای مورد استفاده برای تأیید امضای الکترونیکی کنترل می شود.
4. یکپارچگی اطلاعات با استفاده از امضای دیجیتال تضمین می شود.
5. استفاده از ویژگی های رمزگذاری نامتقارن به محافظت از داده های شما کمک می کند. علاوه بر این، توابع هش یا الگوریتم های حفاظتی تقلید را می توان برای بررسی یکپارچگی داده ها استفاده کرد. با این حال، این روش‌ها از انتساب سند پشتیبانی نمی‌کنند.
6. حفاظت ضد پخش مجدد توسط عملکردهای رمزنگاری امضای الکترونیکی برای محافظت از رمزگذاری یا تقلید انجام می شود. در همان زمان، یک شناسه منحصربه‌فرد به هر جلسه شبکه اضافه می‌شود، به اندازه‌ای طولانی که تصادف تصادفی آن حذف شود، و تأیید توسط طرف گیرنده اجرا می‌شود.
7. حفاظت در برابر نفوذ، یعنی در برابر نفوذ به ارتباطات از خارج، با استفاده از امضای الکترونیکی ارائه می شود.
8. سایر حفاظت ها - در برابر نشانک ها، ویروس ها، تغییرات سیستم عامل و غیره - با استفاده از ابزارهای رمزنگاری مختلف، پروتکل های امنیتی، نرم افزار آنتی ویروس و اقدامات سازمانی ارائه می شود.

همانطور که می بینید، الگوریتم های امضای الکترونیکی بخش اساسی حفاظت از اطلاعات رمزنگاری هستند. آنها در زیر مورد بحث قرار خواهند گرفت.

الزامات استفاده از CIPF

هدف CIPF حفاظت (تأیید امضای الکترونیکی) داده های باز در سیستم های اطلاعاتی مختلف با استفاده عمومی و اطمینان از محرمانه بودن آنها (تأیید امضای الکترونیکی، تقلید حفاظت، رمزگذاری، بررسی هش) در شبکه های شرکتی است.

ابزار شخصی حفاظت از اطلاعات رمزنگاری برای محافظت از داده های شخصی کاربر استفاده می شود. با این حال، لازم است اطلاعات مربوط به اسرار دولتی برجسته شود. طبق قانون نمی توان از CIPF برای کار با آن استفاده کرد.

نکته مهم: قبل از نصب ابزار حفاظت از اطلاعات رمزنگاری، اولین کاری که باید انجام دهید این است که بسته نرم افزاری خود را بررسی کنید. . این اولین قدم است به طور معمول، یکپارچگی بسته نصب با مقایسه چک های دریافتی از سازنده تأیید می شود.

پس از نصب، باید سطح تهدید را تعیین کنید که بر اساس آن می توانید انواع ابزارهای حفاظت از اطلاعات رمزنگاری مورد نیاز برای استفاده را تعیین کنید: نرم افزار، سخت افزار و سخت افزار-نرم افزار. همچنین باید در نظر داشت که هنگام سازماندهی برخی از ابزارهای محافظت از اطلاعات رمزنگاری، باید موقعیت سیستم را در نظر گرفت.

کلاس های حفاظتی

طبق دستور FSB روسیه مورخ 07/10/14 تحت شماره 378، که استفاده از ابزار رمزنگاری محافظت از اطلاعات و داده های شخصی را تنظیم می کند، شش کلاس تعریف شده است: KS1، KS2، KS3، KV1، KV2، KA1. کلاس حفاظتی برای یک سیستم خاص از تجزیه و تحلیل داده ها در مدل نفوذگر، یعنی از ارزیابی راه های احتمالی هک سیستم تعیین می شود. در این مورد، حفاظت از نرم افزار و سخت افزار حفاظت اطلاعات رمزنگاری ساخته شده است.

AU (تهدیدهای واقعی)، همانطور که از جدول مشاهده می شود، 3 نوع هستند:

1. تهدیدات نوع اول با قابلیت های غیرمستند نرم افزار سیستم مورد استفاده در سیستم اطلاعاتی همراه است.
2. تهدیدات نوع دوم با قابلیت های غیرمستند نرم افزار کاربردی مورد استفاده در سیستم اطلاعاتی همراه است.
3. بقیه تهدیدات نوع سوم نامیده می شوند.

قابلیت‌های غیرمستند، عملکردها و ویژگی‌های نرم‌افزاری هستند که در اسناد رسمی توضیح داده نشده‌اند یا با آن مطابقت ندارند. یعنی استفاده از آنها ممکن است خطر به خطر افتادن محرمانگی یا یکپارچگی اطلاعات را افزایش دهد.

برای وضوح، بیایید مدل های متخلفان را در نظر بگیریم، که برای رهگیری آنها به یک کلاس دیگر از وسایل حفاظت از اطلاعات رمزنگاری نیاز است:

• КС1 - مزاحم از خارج، بدون کمک در داخل سیستم عمل می کند.
• KS2 یک مزاحم داخلی است، اما به CIPF دسترسی ندارد.
• KS3 یک مزاحم داخلی است که کاربر CIPF است.
• KV1 یک مزاحم است که منابع شخص ثالث، به عنوان مثال، کارشناسان امنیت رمزنگاری را جذب می کند.
• KV2 یک مزاحم است که در پشت اقدامات او یک موسسه یا آزمایشگاهی وجود دارد که در زمینه مطالعه و توسعه ابزارهای امنیت اطلاعات رمزنگاری کار می کند.
• KA1 - خدمات ویژه ایالت ها.

بنابراین، KC1 را می توان کلاس حفاظت پایه نامید. بر این اساس، هر چه کلاس حفاظتی بالاتر باشد، متخصصان کمتری قادر به ارائه آن هستند. به عنوان مثال، در روسیه، طبق داده های سال 2013، تنها 6 سازمان با گواهی FSB و قادر به ارائه حفاظت از کلاس KA1 وجود داشت.

الگوریتم های مورد استفاده

بیایید الگوریتم های اصلی مورد استفاده در ابزار حفاظت از اطلاعات رمزنگاری را در نظر بگیریم:

• GOST R 34.10-2001 و به روز شده GOST R 34.10-2012 - الگوریتم هایی برای ایجاد و تأیید امضای الکترونیکی.
• GOST R 34.11-94 و آخرین GOST R 34.11-2012 - الگوریتم هایی برای ایجاد توابع هش.
• GOST 28147-89 و جدیدتر GOST R 34.12-2015 - اجرای الگوریتم های رمزگذاری و تقلید حفاظت از داده ها.
• الگوریتم های رمزنگاری اضافی در RFC 4357 یافت می شوند.

امضای الکترونیک

استفاده از ابزار حفاظت رمزنگاری اطلاعات را نمی توان بدون استفاده از الگوریتم های امضای الکترونیکی تصور کرد که روز به روز محبوبیت بیشتری پیدا می کنند.

امضای الکترونیکی بخش خاصی از یک سند است که توسط تحولات رمزنگاری ایجاد می شود. وظیفه اصلی آن شناسایی تغییرات و اسناد غیرمجاز است.

گواهی امضای الکترونیکی سند جداگانه ای است که اصالت و مالکیت امضای الکترونیکی را با استفاده از کلید عمومی به صاحب آن ثابت می کند. گواهی توسط مراجع صدور گواهینامه صادر می شود.

صاحب گواهی امضای الکترونیکی شخصی است که گواهی به نام او ثبت شده است. با دو کلید مرتبط است: عمومی و خصوصی. کلید خصوصی به شما امکان می دهد یک امضای الکترونیکی ایجاد کنید. کلید عمومی برای تأیید اعتبار امضا از طریق پیوند رمزنگاری با کلید خصوصی طراحی شده است.

انواع امضای الکترونیکی

طبق قانون فدرال شماره 63، امضای الکترونیکی به 3 نوع تقسیم می شود:

• امضای الکترونیکی معمولی؛
• امضای الکترونیکی غیرمجاز؛
• امضای الکترونیکی واجد شرایط

امضای الکترونیکی ساده با گذرواژه‌هایی ایجاد می‌شود که برای باز کردن و مشاهده داده‌ها یا ابزارهای مشابهی که به طور غیرمستقیم مالک را تأیید می‌کنند، ایجاد می‌شود.

یک امضای دیجیتال ناموفق با استفاده از تبدیل داده های رمزنگاری با استفاده از یک کلید خصوصی ایجاد می شود. با تشکر از این، می توانید شخصی را که سند را امضا کرده است تأیید کنید و این واقعیت را ثابت کنید که تغییرات غیرمجاز در داده ها ایجاد شده است.

امضاهای واجد شرایط و غیر واجد شرایط تنها از این جهت متفاوت هستند که در مورد اول، گواهی امضای الکترونیکی باید توسط یک مرجع صدور گواهینامه تایید شده توسط FSB صادر شود.

دامنه استفاده از امضای الکترونیکی

جدول زیر دامنه کاربرد امضای الکترونیکی را شرح می دهد.

فن آوری امضای الکترونیکی به طور فعال در تبادل اسناد استفاده می شود. در جریان اسناد داخلی، امضای الکترونیکی به عنوان تأیید اسناد، یعنی به عنوان امضا یا مهر شخصی عمل می کند. در مورد جریان اسناد خارجی، وجود ES بسیار مهم است، زیرا یک تأیید قانونی است. همچنین شایان ذکر است اسناد امضا شده با امضای الکترونیکی به دلیل عواملی مانند امضای پاک شده، کاغذ آسیب دیده و غیره می توانند به مدت نامحدود نگهداری شوند و اهمیت قانونی خود را از دست ندهند.

گزارش به مراجع نظارتی یکی دیگر از زمینه هایی است که در آن جریان اسناد الکترونیکی در حال افزایش است. بسیاری از شرکت ها و سازمان ها قبلاً از راحتی کار در این قالب قدردانی کرده اند.

طبق قانون فدراسیون روسیه، هر شهروند حق استفاده از امضای الکترونیکی را در هنگام استفاده از خدمات عمومی (به عنوان مثال، امضای یک برنامه الکترونیکی برای مقامات) دارد.

تجارت آنلاین یکی دیگر از زمینه های جالبی است که در آن از امضای الکترونیکی به طور فعال استفاده می شود. تاییدی بر این امر است که شخص حقیقی در مزایده شرکت می کند و پیشنهادات وی قابل اعتماد است. همچنین مهم است که هر قراردادی که با کمک ES منعقد می شود قدرت قانونی پیدا کند.

الگوریتم های امضای الکترونیکی

• هش دامنه کامل (FDH) و استانداردهای رمزنگاری کلید عمومی (PKCS). دومی یک گروه کامل از الگوریتم های استاندارد برای موقعیت های مختلف است.
• DSA و ECDSA استانداردهای امضای الکترونیکی ایالات متحده هستند.
• GOST R 34.10-2012 استاندارد ایجاد امضای الکترونیکی در فدراسیون روسیه است. این استاندارد جایگزین GOST R 34.10-2001 شد که پس از 31 دسامبر 2017 رسماً فسخ شد.
• اتحادیه اوراسیا از استانداردهایی استفاده می کند که کاملاً مشابه استانداردهای روسیه است.
• STB 34.101.45-2013 - استاندارد بلاروس برای امضای الکترونیکی دیجیتال.
• DSTU 4145-2002 - استاندارد ایجاد امضای الکترونیکی در اوکراین و بسیاری دیگر.

همچنین لازم به ذکر است که الگوریتم های ایجاد امضای الکترونیکی اهداف و مقاصد مختلفی دارند:

• امضای الکترونیکی گروهی
• امضای دیجیتال یکبار مصرف
• امضای دیجیتال قابل اعتماد
• امضای واجد شرایط و فاقد صلاحیت و غیره.

از نقطه نظر امنیت اطلاعات، کلیدهای رمزنگاری داده های حیاتی هستند. اگر قبلاً برای سرقت از یک شرکت، بدخواهان مجبور بودند وارد قلمرو آن شرکت می شدند، اماکن و گاوصندوق را باز می کردند، اکنون کافی است یک توکن با یک کلید رمزنگاری سرقت کرده و از طریق سیستم اینترنت مشتری - بانک حواله کنند. اساس تضمین امنیت با استفاده از سیستم های حفاظت اطلاعات رمزنگاری (CIPS) حفظ محرمانه بودن کلیدهای رمزنگاری است.

چگونه از محرمانه بودن چیزی که نمی دانید وجود دارد اطمینان حاصل می کنید؟ برای قرار دادن ژتون با کلید در گاوصندوق، باید از وجود ژتون و گاوصندوق اطلاع داشته باشید. هر چقدر هم که متناقض به نظر برسد، تعداد کمی از شرکت‌ها تصوری از تعداد دقیق اسناد کلیدی مورد استفاده خود دارند. این ممکن است به دلایل متعددی اتفاق بیفتد، به عنوان مثال، دست کم گرفتن تهدیدات امنیت اطلاعات، عدم وجود فرآیندهای تجاری به خوبی تثبیت شده، صلاحیت های ناکافی پرسنل در مسائل امنیتی و غیره. این کار معمولاً پس از حوادثی مانند این به یاد می‌آید.

این مقاله اولین گام در جهت بهبود امنیت اطلاعات با استفاده از ابزارهای رمزنگاری را شرح می‌دهد، یا به طور دقیق‌تر، یکی از رویکردهای حسابرسی ابزارهای حفاظت از اطلاعات رمزنگاری و کلیدهای رمزنگاری را در نظر خواهیم گرفت. روایت از طرف یک متخصص امنیت اطلاعات انجام می شود، در حالی که فرض می کنیم کار از ابتدا انجام می شود.

اصطلاحات و تعاریف

در ابتدای مقاله، برای اینکه خواننده ناآماده را با تعاریف پیچیده نترسانیم، به طور گسترده از اصطلاحات کلید رمزنگاری یا کلید رمزنگاری استفاده کردیم، اکنون زمان آن رسیده است که دستگاه مفهومی خود را بهبود بخشیم و آن را با قوانین فعلی مطابقت دهیم. این یک گام بسیار مهم است زیرا به طور مؤثر اطلاعات به دست آمده از حسابرسی را ساختار می دهد.

1. کلید رمزنگاری (کریپتوکلید)- مجموعه ای از داده ها که امکان انتخاب یک تبدیل رمزنگاری خاص را از بین همه موارد ممکن در یک سیستم رمزنگاری معین فراهم می کند (تعریف از "دستورالعمل های صورتی - دستور FAPSI شماره 152 مورخ 13 ژوئن 2001، که از این پس FAPSI 152 نامیده می شود) .
2. اطلاعات کلیدی- مجموعه ای خاص از کلیدهای رمزنگاری سازماندهی شده برای اجرای حفاظت رمزنگاری اطلاعات در یک دوره معین [FAPSI 152].
   با استفاده از مثال زیر می توانید تفاوت اساسی بین کلید رمزنگاری و اطلاعات کلیدی را درک کنید. هنگام سازماندهی HTTPS، یک جفت کلید عمومی و خصوصی ایجاد می شود و یک گواهی از کلید عمومی و اطلاعات اضافی دریافت می شود. بنابراین، در این طرح، ترکیب یک گواهی و یک کلید خصوصی، اطلاعات کلید را تشکیل می‌دهند و هر کدام به صورت جداگانه یک کلید رمزنگاری هستند. در اینجا می توانید با قانون ساده زیر هدایت شوید - کاربران نهایی هنگام کار با ابزارهای حفاظت از داده های رمزنگاری، از اطلاعات کلیدی استفاده می کنند و کلیدهای رمزنگاری معمولاً از ابزارهای محافظت از داده های رمزنگاری در داخل خود استفاده می کنند. در عین حال، درک این نکته مهم است که اطلاعات کلیدی می تواند از یک کلید رمزنگاری تشکیل شده باشد.
3. اسناد کلیدی- اسناد الکترونیکی در هر رسانه و همچنین اسناد در رسانه های کاغذی حاوی اطلاعات کلیدی با دسترسی محدود برای تبدیل رمزنگاری اطلاعات با استفاده از الگوریتم هایی برای تبدیل رمزنگاری اطلاعات (کلید رمزنگاری) در ابزارهای رمزگذاری (رمز نگاری). (تعریف از تصمیم دولت شماره 313 مورخ 16 آوریل 2012، از این پس - PP-313)
   به زبان ساده، یک سند کلیدی اطلاعات کلیدی ثبت شده در یک رسانه است. هنگام تجزیه و تحلیل اطلاعات کلیدی و اسناد کلیدی، لازم است اطلاعات کلیدی مورد استفاده (یعنی برای تحولات رمزنگاری - رمزگذاری، امضای الکترونیکی و غیره) مورد استفاده قرار گیرد و اسناد کلیدی حاوی آن به کارمندان منتقل شود.
4. ابزارهای حفاظت از اطلاعات رمزنگاری (CIPF)- وسایل رمزگذاری، وسایل حفاظت تقلیدی، ابزار امضای الکترونیکی، وسایل رمزگذاری، وسایل تولید اسناد کلیدی، اسناد کلیدی، ابزارهای رمزگذاری سخت افزاری (رمزنگاری)، ابزارهای رمزگذاری نرم افزاری و سخت افزاری (رمز نگاری). [PP-313]
   هنگام تجزیه و تحلیل این تعریف، می توانید وجود اصطلاح اسناد کلیدی را در آن بیابید. این عبارت در مصوبه دولت آمده است و ما حق نداریم آن را تغییر دهیم. در عین حال، توضیحات بیشتر بر این اساس انجام خواهد شد که تنها ابزارهای انجام تحولات رمزنگاری مربوط به CIPF خواهد بود. این رویکرد حسابرسی را ساده می کند، اما در عین حال بر کیفیت آن تأثیر نمی گذارد، زیرا ما همچنان اسناد کلیدی را در نظر می گیریم، اما در بخش خود و با استفاده از روش های خودمان.

روش حسابرسی و نتایج مورد انتظار

ویژگی های اصلی روش حسابرسی پیشنهادی در این مقاله، فرضیه هایی است که:

• هیچ یک از کارکنان شرکت نمی توانند به طور دقیق به سؤالات مطرح شده در حین حسابرسی پاسخ دهند.
• منابع داده موجود (لیست ها، ثبت ها و غیره) نادرست یا ساختار ضعیفی دارند.

بنابراین روش پیشنهادی در مقاله نوعی داده کاوی است که طی آن داده های یکسان از منابع مختلف استخراج و سپس با هم مقایسه، ساختار و پالایش می شوند.

در اینجا وابستگی های اصلی وجود دارد که به ما در این امر کمک می کند:

1. اگر ابزار حفاظت از اطلاعات رمزنگاری وجود داشته باشد، اطلاعات کلیدی نیز وجود دارد.
2. اگر جریان اسناد الکترونیکی وجود داشته باشد (از جمله با طرف مقابل و تنظیم کننده)، به احتمال زیاد از یک امضای الکترونیکی و در نتیجه از ابزارهای حفاظت از اطلاعات رمزنگاری و اطلاعات کلیدی استفاده می کند.
3. جریان اسناد الکترونیکی در این زمینه باید به طور گسترده درک شود، یعنی هم شامل مبادله مستقیم اسناد الکترونیکی مهم قانونی و هم ارائه گزارش ها و کار در سیستم های پرداخت یا معاملات و غیره می شود. لیست و اشکال مدیریت اسناد الکترونیکی توسط فرآیندهای تجاری شرکت و همچنین قوانین فعلی تعیین می شود.
4. اگر کارمندی درگیر مدیریت اسناد الکترونیکی باشد، به احتمال زیاد او اسناد کلیدی دارد.
5. هنگام سازماندهی جریان اسناد الکترونیکی با طرف مقابل، معمولاً اسناد سازمانی و اداری (دستورات) در انتصاب افراد مسئول صادر می شود.
6. اگر اطلاعات از طریق اینترنت (یا سایر شبکه های عمومی) منتقل شود، به احتمال زیاد رمزگذاری شده است. این در درجه اول برای VPN و سیستم های مختلف دسترسی از راه دور اعمال می شود.
7. اگر پروتکل هایی در ترافیک شبکه یافت شوند که ترافیک را به شکل رمزگذاری شده انتقال می دهند، از ابزارهای حفاظت از اطلاعات رمزنگاری و اطلاعات کلیدی استفاده می شود.
8. اگر تسویه حساب با طرف‌های متقابل درگیر در موارد زیر انجام می‌شد: تامین محصولات امنیت اطلاعات، دستگاه‌های مخابراتی، ارائه خدمات برای انتقال پف، خدمات مراکز صدور گواهی‌نامه، با این تعامل می‌توان ابزارهای حفاظت از اطلاعات رمزنگاری یا اسناد کلیدی را خریداری کرد.
9. اسناد کلیدی می‌توانند بر روی رسانه‌های قابل حذف (فلاپی دیسک، درایوهای فلش، توکن‌ها، ...) یا در رایانه‌ها و ابزارهای امنیتی سخت‌افزار رمزنگاری اطلاعات ضبط شده باشند.
10. هنگام استفاده از ابزار مجازی سازی، اسناد کلیدی را می توان هم در داخل ماشین های مجازی ذخیره کرد و هم با استفاده از یک هایپروایزر روی ماشین های مجازی نصب کرد.
11. ابزارهای حفاظت از اطلاعات رمزنگاری سخت افزاری را می توان در اتاق های سرور نصب کرد و برای تجزیه و تحلیل در شبکه در دسترس نیست.
12. برخی از سیستم های مدیریت اسناد الکترونیکی ممکن است غیرفعال یا غیر فعال باشند، اما در عین حال حاوی اطلاعات کلیدی فعال و ابزارهای حفاظت از اطلاعات رمزنگاری هستند.
13. اسناد نظارتی و سازمانی و اداری داخلی ممکن است حاوی اطلاعاتی در مورد سیستم های مدیریت اسناد الکترونیکی، CIPF و اسناد کلیدی باشد.

برای استخراج اطلاعات اولیه، ما موارد زیر را انجام خواهیم داد:

• مصاحبه با کارمندان؛
• تجزیه و تحلیل اسناد شرکت، از جمله اسناد نظارتی و اداری داخلی، و همچنین دستورات پرداخت خروجی؛
• تجزیه و تحلیل بصری اتاق های سرور و کابینت های ارتباطی را انجام دهید.
• انجام تجزیه و تحلیل فنی محتوای ایستگاه های کاری خودکار (AWS)، سرورها و ابزارهای مجازی سازی.

ما بعداً اقدامات خاصی را تدوین خواهیم کرد، اما در حال حاضر اطلاعات نهایی را که باید در نتیجه ممیزی دریافت کنیم، در نظر خواهیم گرفت:

لیست SKZI:

1. مدل CIPF... به عنوان مثال، CIPF Crypto CSP 3.9 یا OpenSSL 1.0.1
2. شناسه نمونه CIPF... به عنوان مثال، شماره سریال، مجوز (یا ثبت نام طبق PKZ-2005) شماره SKZI
3. اطلاعات در مورد گواهی FSB روسیه برای CIPFشامل شماره و تاریخ شروع و پایان اعتبار.
4. اطلاعات در مورد محل عملیات SKZI... به عنوان مثال، نام رایانه ای که نرم افزار SKZI روی آن نصب شده است، یا نام ابزار فنی یا مکانی که سخت افزار SKZI در آن نصب شده است.

این اطلاعات اجازه خواهد داد:

1. آسیب‌پذیری‌ها را در سیستم‌های حفاظت اطلاعات رمزنگاری مدیریت کنید، یعنی به سرعت آنها را شناسایی و رفع کنید.
2. دوره اعتبار گواهی‌ها را برای ابزارهای حفاظت از اطلاعات رمزنگاری ردیابی کنید، و همچنین بررسی کنید که آیا ابزار حفاظت از اطلاعات رمزنگاری تایید شده مطابق با قوانین تعیین شده توسط اسناد استفاده می‌شود یا خیر.
3. هزینه حفاظت از اطلاعات رمزنگاری را برنامه ریزی کنید، با دانستن اینکه چقدر در حال حاضر عملیاتی شده است و چقدر سرمایه تلفیقی بیشتر در دسترس است.
4. ایجاد گزارش نظارتی

لیست اطلاعات کلیدی:

برای هر عنصر از لیست، داده های زیر را ثبت می کنیم:

1. نام یا شناسه اطلاعات کلیدی... به عنوان مثال، «کلید ES واجد شرایط. شماره سریال گواهی 31: 2D: AF " است و شناسه باید به گونه ای انتخاب شود که بتوان کلید را توسط آن پیدا کرد. به عنوان مثال، مقامات صدور گواهینامه، زمانی که اعلان ارسال می کنند، معمولا کلیدها را با شماره گواهی شناسایی می کنند.
2. مرکز کنترل سیستم کلیدی (CMC)صادر کننده این اطلاعات کلیدی این می تواند سازمانی باشد که کلید را صادر کرده است، به عنوان مثال، یک مرجع صدور گواهینامه.
3. شخصی، که اطلاعات کلیدی به نام آن صادر شده است. این اطلاعات را می توان از قسمت های CN گواهی های X.509 بازیابی کرد
4. فرمت اطلاعات کلیدی... به عنوان مثال، CryptoPRO CIP، Verba-OW CIP، X.509، و غیره (یا به عبارت دیگر، برای استفاده با کدام CIP این اطلاعات کلیدی در نظر گرفته شده است).
5. تخصیص اطلاعات کلیدی... به عنوان مثال، "شرکت در مزایده ها در سایت Sberbank AST"، "امضای الکترونیکی واجد شرایط برای تشکیل گزارش ها" و غیره. از نقطه نظر فنی، در این زمینه، می‌توانید محدودیت‌های رفع شده توسط فیلدهای استفاده از کلید توسعه‌یافته و دیگر گواهی‌های X.509 را برطرف کنید.
6. آغاز و پایان اعتبار اطلاعات کلیدی.
7. روش صدور مجدد اطلاعات کلیدی... یعنی آگاهی از اینکه چه باید کرد و چگونه اطلاعات کلیدی را دوباره منتشر کرد. حداقل توصیه می شود که تماس های مقامات CMC که اطلاعات کلیدی را صادر کرده اند، ثبت کنید.
8. فهرستی از سیستم های اطلاعاتی، خدمات یا فرآیندهای تجاری که اطلاعات کلیدی در آنها استفاده می شود... به عنوان مثال، «سیستم خدمات بانکداری از راه دور اینترنت مشتری-بانک».

این اطلاعات اجازه خواهد داد:

1. تاریخ انقضای اطلاعات کلیدی را پیگیری کنید.
2. در صورت لزوم، اطلاعات کلیدی را به سرعت منتشر کنید. این ممکن است برای هر دو نسخه برنامه ریزی شده و برنامه ریزی نشده مورد نیاز باشد.
3. پس از اخراج کارمندی که در اختیار او قرار گرفته است، استفاده از اطلاعات کلیدی را مسدود کنید.
4. حوادث امنیت اطلاعات را با پاسخ به این سوال بررسی کنید: "چه کسی کلید پرداخت را داشت؟" و غیره.

فهرست اسناد کلیدی:

برای هر عنصر از لیست، داده های زیر را ثبت می کنیم:

1. اطلاعات کلیدیموجود در سند کلیدی
2. حامل اطلاعات کلیدی، که اطلاعات کلیدی روی آن ثبت می شود.
3. صورتمسئول ایمنی سند کلیدی و محرمانه بودن اطلاعات کلیدی موجود در آن است.

این اطلاعات اجازه خواهد داد:

1. انتشار مجدد اطلاعات کلیدی در موارد: اخراج کارکنان دارای اسناد کلیدی و همچنین در صورت به خطر افتادن رسانه ها.
2. از محرمانه بودن اطلاعات کلیدی با تهیه فهرستی از حامل های حاوی آن اطمینان حاصل کنید.

طرح حسابرسی

اکنون زمان بررسی ویژگی های عملی حسابرسی است. بیایید این کار را با استفاده از مثال یک سازمان اعتباری و مالی یا به عبارت دیگر با استفاده از مثال یک بانک انجام دهیم. این نمونه تصادفی انتخاب نشده است. بانک ها از تعداد نسبتاً زیادی از سیستم های حفاظت رمزنگاری متنوع استفاده می کنند که در تعداد زیادی از فرآیندهای تجاری دخیل هستند، و علاوه بر این، تقریباً همه بانک ها دارای مجوز FSB روسیه در زمینه رمزنگاری هستند. در ادامه مقاله، طرح ممیزی ابزارهای حفاظت از اطلاعات رمزنگاری و کلیدهای رمزنگاری در رابطه با بانک ارائه خواهد شد. در عین حال، این طرح را می توان در هنگام انجام حسابرسی تقریباً هر شرکتی به عنوان مبنایی در نظر گرفت. برای سهولت درک، پلان به مراحلی تقسیم می شود که به نوبه خود به شکل اسپلیرها تا می شوند.

مرحله 1. جمع آوری داده ها از بخش های زیرساخت شرکت

№	عمل
منبع - همه کارکنان شرکت
1	ما با درخواست برای اطلاع رسانی به سرویس امنیت اطلاعات در مورد کلیه کلیدهای رمزنگاری که استفاده می کنند، نامه ای شرکتی برای همه کارکنان شرکت ارسال می کنیم.	ما ایمیل هایی دریافت می کنیم که بر اساس آنها لیستی از اطلاعات کلیدی و لیستی از اسناد کلیدی را تشکیل می دهیم
منبع - رئیس سرویس فناوری اطلاعات
1	ما فهرستی از اطلاعات کلیدی و اسناد کلیدی را درخواست می کنیم	به احتمال زیاد، سرویس فناوری اطلاعات از چنین اسنادی نگهداری می کند، ما از آنها برای تشکیل و شفاف سازی لیستی از اطلاعات کلیدی، اسناد کلیدی و ابزارهای حفاظت از اطلاعات رمزنگاری استفاده خواهیم کرد.
2	درخواست فهرستی از منابع اطلاعات رمزنگاری
3	ما درخواست ثبت نرم افزارهای نصب شده بر روی سرورها و ایستگاه های کاری را داریم	در این رجیستری به دنبال ابزارهای رمزنگاری نرم افزاری و اجزای آن هستیم. به عنوان مثال، CryptoPRO CSP، Verba-OW، Signal-COM CSP، Signature، PGP، ruToken، eToken، KritoARM، و غیره. بر اساس این داده ها، ما لیستی از ابزارهای حفاظت از اطلاعات رمزنگاری را تشکیل می دهیم.
4	ما فهرستی از کارمندان (احتمالاً پشتیبانی فنی) را درخواست می‌کنیم که به کاربران کمک می‌کنند تا از ابزارهای حفاظت از اطلاعات رمزنگاری‌شده استفاده کنند و اطلاعات کلیدی را مجدداً منتشر کنند.	ما از این افراد اطلاعاتی مشابه مدیران سیستم می خواهیم
منبع - مدیران سیستم خدمات فناوری اطلاعات
1	ما لیستی از دروازه های رمزنگاری داخلی (VIPNET، Continent، S-terra، و غیره) را درخواست می کنیم.	در مواردی که شرکت فرآیندهای کسب و کار مدیریت فناوری اطلاعات و امنیت اطلاعات را به طور منظم اجرا نمی کند، چنین سوالاتی می تواند به مدیران سیستم کمک کند تا وجود یک دستگاه یا نرم افزار خاص را به خاطر بسپارند. ما از این اطلاعات برای به دست آوردن فهرستی از ابزارهای حفاظت از اطلاعات رمزنگاری استفاده می کنیم.
2	ما لیستی از ابزارهای رمزنگاری نرم افزار داخلی (ابزارهای حفاظت از اطلاعات رمزنگاری MagPro CryptoPacket، VIPNET CSP، CryptonDisk، SecretDisk، ...) را درخواست می کنیم.
3	ما لیستی از روترهایی را درخواست می کنیم که VPN را برای موارد زیر پیاده سازی می کنند: الف) ارتباطات بین دفاتر شرکت؛ ب) تعامل با پیمانکاران و شرکا.
4	ما فهرستی از خدمات اطلاعاتی منتشر شده در اینترنت (قابل دسترسی از اینترنت) را درخواست می کنیم. آنها می توانند شامل موارد زیر باشند: الف) ایمیل شرکتی؛ ب) سیستم های پیام رسانی فوری؛ ج) وب سایت های شرکتی؛ د) خدمات تبادل اطلاعات با شرکا و پیمانکاران (اکسترانت)؛ ه) سیستم های بانکداری از راه دور (در صورتی که شرکت یک بانک باشد). و) سیستم های دسترسی از راه دور به شبکه شرکت. برای بررسی کامل بودن اطلاعات ارائه شده، آن را با لیست قوانین Portforwarding برای فایروال های مرزی بررسی می کنیم.	با تجزیه و تحلیل اطلاعات دریافتی، با احتمال زیاد، می توانید از ابزارهای حفاظت از اطلاعات رمزنگاری و کلیدهای رمزنگاری استفاده کنید. ما از داده های به دست آمده برای تشکیل فهرستی از ابزارهای حفاظت از اطلاعات رمزنگاری و اطلاعات کلیدی استفاده می کنیم.
5	ما لیستی از سیستم های اطلاعاتی مورد استفاده برای گزارش را درخواست می کنیم (Taxcom، Kontur و غیره)	این سیستم ها از کلیدهای امضای الکترونیکی واجد شرایط و SKZI استفاده می کنند. از طریق این لیست، فهرستی از ابزارهای حفاظت از داده های رمزنگاری، فهرستی از اطلاعات کلیدی را تشکیل می دهیم و همچنین کارکنانی را که از این سیستم ها برای تشکیل فهرستی از اسناد کلیدی استفاده می کنند، می یابیم.
6	ما لیستی از سیستم های مدیریت اسناد الکترونیکی داخلی (Lotus، DIRECTUM، 1C: Document management، و غیره) و همچنین لیستی از کاربران آنها را درخواست می کنیم.	در چارچوب سیستم های مدیریت اسناد الکترونیکی داخلی، ممکن است با کلیدهای امضای الکترونیکی مواجه شود. بر اساس اطلاعات دریافتی، فهرستی از اطلاعات کلیدی و فهرستی از اسناد کلیدی را تشکیل می دهیم.
7	ما لیستی از مراکز صدور گواهینامه داخلی را می خواهیم.	وجوه مورد استفاده برای سازماندهی مراکز صدور گواهینامه در فهرست ابزارهای حفاظت از اطلاعات رمزنگاری ثبت می شود. در آینده برای شناسایی اطلاعات کلیدی، محتویات پایگاه های اطلاعاتی مراکز صدور گواهینامه را تجزیه و تحلیل خواهیم کرد.
8	ما اطلاعاتی در مورد استفاده از فناوری ها درخواست می کنیم: IEEE 802.1x، WiFiWPA2 Enterprise و سیستم های نظارت تصویری IP	در صورت استفاده از این فناوری‌ها، می‌توانیم اسناد کلیدی را در دستگاه‌های درگیر پیدا کنیم.
منبع - رئیس منابع انسانی
1	لطفاً روند استخدام و اخراج کارکنان را توضیح دهید. ما روی این سوال تمرکز می کنیم که چه کسی اسناد کلیدی را از ترک کارگران می گیرد	ما اسناد (صفحه های بای پس) را برای حضور سیستم های اطلاعاتی که در آنها می توان از سیستم حفاظت اطلاعات رمزنگاری استفاده کرد، تجزیه و تحلیل می کنیم.

مرحله 2. جمع آوری داده ها از واحدهای تجاری شرکت (به عنوان مثال بانک)

№	عمل	خروجی و استفاده مورد انتظار
منبع - رئیس خدمات تسویه حساب (روابط خبرنگار)
1	لطفاً طرحی برای سازماندهی تعامل با سیستم پرداخت بانک روسیه ارائه دهید. این امر به ویژه برای بانک هایی که دارای شبکه شعب توسعه یافته هستند، که در آن شعب می توانند بانک مرکزی را مستقیماً به سیستم پرداخت متصل کنند، مرتبط خواهد بود.	بر اساس داده های دریافتی، ما محل درگاه های پرداخت (AWP KBR، UTA) و لیست کاربران درگیر را تعیین می کنیم. ما از اطلاعات به دست آمده برای تشکیل فهرستی از ابزارهای حفاظت از اطلاعات رمزنگاری، اطلاعات کلیدی و اسناد کلیدی استفاده می کنیم.
2	ما فهرستی از بانک‌هایی را می‌خواهیم که ارتباط مستقیم با آنها برقرار شده است و همچنین می‌خواهیم بگوییم چه کسی در انجام نقل و انتقالات نقش دارد و از چه ابزار فنی استفاده می‌شود.
3	ما فهرستی از سیستم‌های پرداختی را که بانک در آنها مشارکت دارد (سوئیفت، ویزا، مسترکارت، NSPK و غیره) و همچنین مکان پایانه‌های ارتباطی درخواست می‌کنیم.	مانند سیستم پرداخت بانک روسیه
منبع - رئیس بخش مسئول ارائه خدمات بانکداری از راه دور
1	ما لیستی از سیستم های بانکداری از راه دور را می خواهیم.	در این سیستم ها، ما استفاده از ابزارهای حفاظت از اطلاعات رمزنگاری و اطلاعات کلیدی را تجزیه و تحلیل می کنیم. بر اساس داده های دریافتی، ما فهرستی از ابزارهای حفاظت از اطلاعات رمزنگاری و اطلاعات کلیدی و اسناد کلیدی را تشکیل می دهیم.
منبع - رئیس بخش مسئول عملکرد پردازش کارت پرداخت
1	رجیستری HSM را جستجو کنید	بر اساس اطلاعات دریافتی، فهرستی از ابزارهای حفاظت از اطلاعات رمزنگاری، اطلاعات کلیدی و اسناد کلیدی را تشکیل می دهیم.
2	درخواست لیست افسران امنیتی
4	درخواست اطلاعات در مورد اجزای LMK HSM
5	ما اطلاعاتی در مورد سازماندهی سیستم هایی مانند 3D-Secure و سازماندهی شخصی سازی کارت های پرداخت درخواست می کنیم
منبع - روسای ادارات انجام وظایف خزانه داری و سپرده گذاری
1	فهرست بانک هایی که با آنها روابط خبرنگاری برقرار شده و در اعطای وام بین بانکی مشارکت دارند.	ما از اطلاعات دریافتی برای شفاف سازی داده های دریافتی قبلی از سرویس تسویه و همچنین ثبت اطلاعات در مورد تعامل با صرافی ها و سپرده گذاران استفاده می کنیم. بر اساس اطلاعات دریافتی، فهرستی از ابزارهای حفاظت از اطلاعات رمزنگاری و اطلاعات کلیدی را تشکیل می دهیم.
2	فهرست صرافی ها و سپرده گذاری های تخصصی که بانک با آنها کار می کند
منبع - روسای خدمات نظارت مالی و بخش های مسئول ارائه گزارش به بانک روسیه
1	ما در مورد نحوه ارسال اطلاعات و دریافت اطلاعات از بانک مرکزی اطلاعات درخواست می کنیم. فهرست افراد درگیر و ابزار فنی.	تعامل اطلاعات با بانک روسیه به شدت توسط اسناد مربوطه تنظیم می شود، به عنوان مثال، 2332-U، 321-I و بسیاری دیگر، ما مطابقت با این اسناد را بررسی می کنیم و لیستی از ابزارهای حفاظت از اطلاعات رمزنگاری، اطلاعات کلیدی و اسناد کلیدی را تشکیل می دهیم.
منبع - حسابدار ارشد و حسابدارانی که برای نیازهای داخلی بانک قبوض را پرداخت می کنند
1	ما در مورد نحوه تهیه و ارسال گزارشات به بازرسان مالیاتی و بانک روسیه اطلاعاتی را می خواهیم	ما اطلاعات به دست آمده قبلی را روشن می کنیم
2	ما درخواست ثبت اسناد پرداخت را برای پرداخت نیازهای بانک داخلی داریم	در این رجیستری، ما به دنبال اسنادی خواهیم بود که در آنها: 1) مراکز صدور گواهینامه، اپراتورهای تخصصی مخابرات، تولید کنندگان ابزارهای حفاظت از اطلاعات رمزنگاری، تامین کنندگان تجهیزات مخابراتی به عنوان دریافت کنندگان پرداخت مشخص می شوند. نام این شرکت ها را می توان از ثبت سیستم های حفاظت اطلاعات رمزنگاری تایید شده FSB روسیه، لیست مراکز صدور گواهینامه معتبر وزارت مخابرات و ارتباطات جمعی و سایر منابع دریافت کرد. 2) به عنوان رمزگشایی پرداخت، کلمات وجود دارد: "CIPF"، "امضا"، "ژتون"، "کلید"، "BKI"، و غیره.
منبع - روسای معوقات و مدیریت ریسک
1	ما فهرستی از دفاتر اعتباری و آژانس های جمع آوری که بانک با آنها کار می کند درخواست می کنیم.	همراه با سرویس فناوری اطلاعات، داده‌های به‌دست‌آمده را به منظور شفاف‌سازی سازمان مدیریت اسناد الکترونیکی تجزیه و تحلیل می‌کنیم که بر اساس آن فهرست‌هایی از ابزارهای حفاظت از اطلاعات رمزنگاری، اطلاعات کلیدی و اسناد کلیدی را روشن می‌کنیم.
منبع - روسای خدمات مدیریت اسناد، کنترل داخلی و حسابرسی داخلی
1	درخواست ثبت اسناد داخلی سازمانی و اداری (سفارش) داریم.	در این اسناد به دنبال اسناد مربوط به سیستم حفاظت از اطلاعات رمزنگاری هستیم. برای انجام این کار، وجود کلمات کلیدی "امنیت"، "مسئول"، "مدیر"، "امضای الکترونیکی"، "ES"، "EDS"، "EDO"، "ASP"، "SKZI" و مشتقات آنها سپس لیست کارکنان بانک را که در این اسناد ثبت شده است شناسایی می کنیم. ما با کارمندان در مورد استفاده آنها از ابزارهای رمزنگاری مصاحبه انجام می دهیم. ما اطلاعات دریافت شده را در فهرست ابزارهای حفاظت از اطلاعات رمزنگاری، اطلاعات کلیدی و اسناد کلیدی منعکس می کنیم.
2	ما لیستی از قراردادها با طرف مقابل را درخواست می کنیم	در تلاش هستیم تا توافق نامه هایی در زمینه مدیریت اسناد الکترونیکی و همچنین قراردادهایی با شرکت های عرضه کننده ابزار امنیت اطلاعات یا ارائه خدمات در این زمینه و همچنین شرکت های ارائه دهنده خدمات مراکز صدور گواهینامه و خدمات ارائه گزارش از طریق اینترنت شناسایی کنیم.
3	ما فناوری ذخیره اسناد روز را به صورت الکترونیکی تجزیه و تحلیل می کنیم	هنگام اجرای ذخیره سازی اسناد روز به صورت الکترونیکی، ابزارهای حفاظت از اطلاعات رمزنگاری مورد نیاز است

مرحله 3. ممیزی فنی

№	عمل	خروجی و استفاده مورد انتظار
1	ما یک موجودی فنی از نرم افزارهای نصب شده روی رایانه ها را انجام می دهیم. برای این ما استفاده می کنیم: · قابلیت های تحلیلی سیستم های حفاظتی ضد ویروس شرکت ها (به عنوان مثال، آنتی ویروس کسپرسکی می تواند چنین رجیستری بسازد). · اسکریپت های WMI برای نظرسنجی رایانه های دارای ویندوز. · امکانات مدیران بسته برای نظرسنجی * سیستم های nix; · نرم افزار تخصصی موجودی.	در بین نرم افزارهای نصب شده به دنبال نرم افزار SKZI، درایورهای سخت افزار SKZI و حامل های کلید هستیم. بر اساس اطلاعات دریافتی، لیست CIPF ها را به روز می کنیم.
2	ما اسناد کلیدی را در سرورها و ایستگاه های کاری جستجو می کنیم. برای این · Logon-scripts نظرسنجی AWP در دامنه برای حضور گواهی با کلیدهای خصوصی در پروفایل های کاربر و پروفایل های رایانه. در تمامی کامپیوترها، سرورهای فایل، هایپروایزرها به دنبال فایل هایی با پسوندهای crt، cer، key، pfx، p12، pem، pse، jks و غیره هستیم. · در هایپروایزر سیستم های مجازی سازی، ما به دنبال درایوهای فلاپی نصب شده و تصاویر دیسکت هستیم.	اغلب اسناد کلیدی به شکل کانتینرهای کلید فایل و همچنین ظروف ذخیره شده در رجیستری رایانه های دارای ویندوز ارائه می شوند. ما اسناد کلیدی یافت شده را در لیست اسناد کلیدی و اطلاعات کلیدی موجود در آنها را در لیست اطلاعات کلیدی ثبت می کنیم.
3	ما محتوای پایگاه های اطلاعاتی مراکز صدور گواهی را تجزیه و تحلیل می کنیم	پایگاه های داده مقامات صدور گواهینامه معمولاً حاوی اطلاعاتی در مورد گواهی های صادر شده توسط این مقامات است. اطلاعات دریافتی را در لیست اطلاعات کلیدی و لیست اسناد کلیدی وارد می کنیم.
4	ما یک بازرسی بصری از اتاق‌های سرور و کمدهای سیم‌کشی انجام می‌دهیم، به دنبال ابزارهای حفاظت از اطلاعات رمزنگاری و حامل‌های کلید سخت‌افزاری (توکن‌ها، درایوهای دیسک) هستیم.	در برخی موارد، انجام فهرستی از ابزارهای حفاظت از اطلاعات رمزنگاری و اسناد کلیدی از طریق شبکه غیرممکن است. سیستم ها ممکن است در بخش های شبکه ایزوله باشند یا اصلاً اتصال شبکه ای نداشته باشند. برای انجام این کار، ما یک بازرسی بصری انجام می دهیم که در نتایج آن باید نام و هدف کلیه تجهیزات ارائه شده در اتاق سرور مشخص شود. اطلاعات دریافت شده را در فهرست ابزارهای حفاظت از اطلاعات رمزنگاری و اسناد کلیدی وارد می کنیم.
5	ما ترافیک شبکه را به منظور شناسایی جریان های اطلاعات با استفاده از تبادل رمزگذاری شده تجزیه و تحلیل می کنیم	پروتکل‌های رمزگذاری‌شده - HTTPS، SSH و غیره به ما امکان می‌دهند تا گره‌های شبکه‌ای را که تبدیل‌های رمزنگاری بر روی آن‌ها انجام می‌شوند و در نتیجه حاوی ابزارهای حفاظت از اطلاعات رمزنگاری و اسناد کلیدی هستند، شناسایی کنیم.

نتیجه

در این مقاله، تئوری و عمل حسابرسی ابزارهای حفاظت از اطلاعات رمزنگاری و کلیدهای رمزنگاری را بررسی کردیم. همانطور که مشاهده کردید، این روش نسبتاً پیچیده و زمان بر است، اما اگر به درستی با آن برخورد شود، کاملاً امکان پذیر است. امیدواریم این مقاله در زندگی واقعی به شما کمک کند. با تشکر از توجه شما، منتظر نظرات شما هستیم.

برچسب‌ها: افزودن برچسب

روش های امنیت اطلاعات رمزنگاری شده

تبدیل رمزنگاری تبدیل اطلاعات بر اساس الگوریتم خاصی است که به پارامتر متغیری (معمولاً کلید مخفی) وابسته است و دارای خاصیت عدم امکان بازیابی اطلاعات اصلی از تبدیل شده، بدون دانستن کلید مؤثر است. با پیچیدگی کمتر از یک از پیش تعیین شده.

مزیت اصلی روش های رمزنگاری این است که امنیت تضمین شده بالایی را ارائه می دهند که می تواند به صورت عددی محاسبه و بیان شود (میانگین تعداد عملیات یا زمان لازم برای افشای اطلاعات رمزگذاری شده یا محاسبه کلیدها).

معایب اصلی روش های رمزنگاری عبارتند از:

مصرف قابل توجه منابع (زمان، عملکرد پردازنده) برای انجام تبدیل رمزنگاری اطلاعات.
... مشکلات در اشتراک گذاری اطلاعات رمزگذاری شده (امضا) مربوط به مدیریت کلید (تولید، توزیع و غیره)؛
... الزامات بالا برای ایمنی کلیدهای خصوصی و محافظت از کلیدهای عمومی در برابر جایگزینی.

رمزنگاری به دو دسته تقسیم می شود: رمزنگاری کلید متقارن و رمزنگاری کلید عمومی.

رمزنگاری کلید متقارن
در رمزنگاری کلید متقارن (رمزنگاری کلاسیک)، مشترکین از یک کلید (به اشتراک گذاشته شده) (عنصر مخفی) هم برای رمزگذاری و هم برای رمزگشایی داده ها استفاده می کنند.

مزایای زیر در رمزنگاری کلید متقارن باید برجسته شود:
... عملکرد نسبتاً بالای الگوریتم ها؛
... قدرت رمزنگاری بالای الگوریتم ها در واحد طول کلید.

معایب رمزنگاری کلید متقارن عبارتند از:
... نیاز به استفاده از مکانیزم توزیع کلید پیچیده؛
... مشکلات تکنولوژیکی در تضمین عدم انکار

رمزنگاری کلید عمومی

برای حل مشکلات توزیع کلید و امضای دیجیتال، از ایده های عدم تقارن تبدیل ها و توزیع باز کلیدهای دیفی و هلمن استفاده شد. در نتیجه، رمزنگاری کلید عمومی ایجاد شد که از یک راز استفاده نمی کند، بلکه از یک جفت کلید استفاده می کند: یک کلید عمومی (عمومی) و یک کلید مخفی (خصوصی، خصوصی) که فقط برای یک طرف تعامل شناخته می شود. برخلاف کلید خصوصی که باید مخفی بماند، کلید عمومی را می توان به صورت عمومی توزیع کرد. شکل 1 دو ویژگی سیستم های کلید عمومی را نشان می دهد که امکان تولید پیام های رمزگذاری شده و تایید شده را فراهم می کند.

دو ویژگی مهم رمزنگاری کلید عمومی

شکل 1 دو ویژگی رمزنگاری کلید عمومی

طرح رمزگذاری داده ها با استفاده از یک کلید عمومی در شکل 6 نشان داده شده است و شامل دو مرحله است. در اولین مورد، کلیدهای عمومی در یک کانال طبقه بندی نشده مبادله می شوند. در این صورت لازم است از صحت انتقال اطلاعات کلیدی اطمینان حاصل شود. در مرحله دوم در واقع رمزگذاری پیام پیاده سازی می شود که در آن فرستنده پیام را با کلید عمومی گیرنده رمزگذاری می کند.

فایل رمزگذاری شده فقط توسط صاحب کلید خصوصی قابل خواندن است، یعنی. گیرنده طرح رمزگشایی گیرنده از کلید مخفی گیرنده برای این کار استفاده می کند.

رمزگذاری

شکل 2 طرح رمزگذاری در رمزنگاری کلید عمومی.

اجرای طرح EDS با محاسبه یک تابع هش (هضم) داده ها همراه است، که یک عدد منحصر به فرد از داده های اصلی با فشرده سازی (تا کردن) با استفاده از یک الگوریتم پیچیده اما شناخته شده به دست می آید. تابع هش یک تابع یک طرفه است، یعنی. مقدار هش را نمی توان برای بازیابی داده های اصلی استفاده کرد. تابع هش به انواع خرابی داده ها حساس است. علاوه بر این، یافتن دو مجموعه داده که دارای مقدار هش یکسان هستند بسیار دشوار است.

تولید EDS با هش
طرح تولید امضای ED توسط فرستنده آن شامل محاسبه تابع هش ED و رمزگذاری این مقدار با استفاده از کلید مخفی فرستنده است. نتیجه رمزگذاری مقدار EDS EDS (ویژگی EDS) است که همراه با خود EDS برای گیرنده ارسال می شود. در این حالت ابتدا باید کلید عمومی فرستنده پیام به گیرنده پیام داده شود.

شکل 3 طرح EDS در رمزنگاری کلید عمومی.

طرح تأیید EDS (تأیید) که توسط گیرنده پیام انجام می شود شامل مراحل زیر است. در اولین مورد، بلوک EDS با استفاده از کلید عمومی فرستنده رمزگشایی می شود. سپس تابع هش ED محاسبه می شود. نتیجه محاسبه با نتیجه رمزگشایی بلوک EDS مقایسه می شود. در صورت تطابق، تصمیم در مورد انطباق EDS با ED گرفته می شود. اختلاف بین نتیجه رمزگشایی و نتیجه محاسبه تابع هش ED را می توان با دلایل زیر توضیح داد:

در فرآیند انتقال از طریق کانال ارتباطی، یکپارچگی ED از بین رفت.
... هنگام تولید EDS، از کلید مخفی اشتباه (جعلی) استفاده شد.
... هنگام بررسی EDS، از کلید عمومی اشتباه استفاده شد (در فرآیند انتقال از طریق کانال ارتباطی یا در حین ذخیره سازی بیشتر، کلید عمومی تغییر یا تغییر کرد).

پیاده سازی الگوریتم های رمزنگاری با کلیدهای عمومی (در مقایسه با الگوریتم های متقارن) به زمان زیادی از CPU نیاز دارد. بنابراین معمولاً برای حل مشکلات توزیع کلید و امضای دیجیتال از رمزنگاری کلید عمومی و برای رمزگذاری از رمزنگاری متقارن استفاده می شود. یک طرح رمزگذاری ترکیبی معروف، امنیت بالای سیستم‌های رمزنگاری کلید عمومی را با مزایای سرعت بالای سیستم‌های رمزنگاری متقارن ترکیب می‌کند. در این طرح، یک کلید متقارن (جلسه) تولید شده به طور تصادفی برای رمزگذاری استفاده می شود، که به نوبه خود با استفاده از یک سیستم رمزنگاری باز برای انتقال مخفیانه آن از طریق یک کانال در ابتدای جلسه ارتباط، رمزگذاری می شود.

روش ترکیبی

شکل 4 طرح رمزگذاری ترکیبی.

اعتماد کلید عمومی و گواهی دیجیتال
موضوع اصلی طرح توزیع کلید عمومی، موضوع اعتماد به کلید عمومی دریافتی شریک است که می تواند در حین انتقال یا ذخیره سازی اصلاح یا تغییر یابد.

برای کلاس گسترده ای از سیستم های عملی (سیستم های مدیریت اسناد الکترونیکی، سیستم های مشتری-بانک، سیستم های تسویه حساب الکترونیکی بین بانکی)، که در آن ملاقات شخصی شرکا قبل از شروع تبادل اسناد الکترونیکی امکان پذیر است، این کار یک راه حل نسبتا ساده دارد. - تایید متقابل کلیدهای عمومی.

این روش شامل این واقعیت است که هر یک از طرفین در یک جلسه شخصی با امضای یک شخص مجاز و با مهر کردن یک سند کاغذی - پرینت محتویات کلید عمومی طرف مقابل را تأیید می کند. این گواهی کاغذی اولاً الزام طرف در استفاده از این کلید برای تأیید امضای پیام های دریافتی است و ثانیاً اهمیت حقوقی تعامل را ارائه می دهد. در واقع، گواهی های کاغذی در نظر گرفته شده این امکان را فراهم می کند که به طور واضح یک کلاهبردار را در بین دو شریک شناسایی کنید، اگر یکی از آنها بخواهد کلیدها را تغییر دهد.

بنابراین، به منظور اجرای تعامل الکترونیکی قابل توجه قانونی بین دو طرف، لازم است توافقنامه ای مبنی بر مبادله گواهی ها منعقد شود. گواهی سندی است که داده های شخصی مالک و کلید عمومی او را به هم مرتبط می کند. به صورت کاغذی باید دارای امضای دست نویس اشخاص مجاز و مهر و موم باشد.

در سیستم هایی که امکان تماس اولیه شخصی شرکا وجود ندارد، لازم است از گواهی های دیجیتال صادر شده و تایید شده توسط امضای دیجیتال یک واسطه مورد اعتماد - یک مرکز صدور گواهینامه یا صدور گواهینامه استفاده شود.

تعامل مشتریان با مرکز صدور گواهینامه
در مرحله مقدماتی، هر یک از شرکا شخصاً از مرکز صدور گواهینامه (CA) بازدید می کنند و گواهی شخصی دریافت می کنند - نوعی آنالوگ الکترونیکی گذرنامه مدنی.

شکل 5 گواهی x.509.

پس از بازدید از CA، هر یک از شرکا مالک کلید عمومی CA می شوند. کلید عمومی CA به مالک خود اجازه می دهد تا صحت کلید عمومی شریک را با احراز هویت EDS مرجع صدور گواهی تحت گواهی کلید عمومی شریک تأیید کند.

مطابق با قانون "در مورد EDS"، یک گواهی دیجیتال حاوی اطلاعات زیر است:

نام و مشخصات مرکز صدور گواهینامه کلیدی (سازمان صدور گواهینامه مرکزی، مرکز صدور گواهینامه)؛
... گواهی مبنی بر صدور گواهی در اوکراین؛
... شماره ثبت منحصر به فرد گواهی کلید؛
... داده های اصلی (جزئیات) مشترک - صاحب کلید خصوصی (عمومی)؛
... تاریخ و زمان شروع و انقضای گواهینامه؛
... کلید عمومی؛
... نام الگوریتم رمزنگاری مورد استفاده توسط صاحب کلید عمومی؛
... اطلاعات در مورد محدودیت استفاده از امضاء.
... گواهی کلید تقویت شده، علاوه بر داده های اجباری موجود در گواهی کلید، باید دارای علامت گواهی تقویت شده باشد.
... سایر داده ها را می توان به درخواست صاحب گواهینامه کلید پیشرفته وارد کرد.

این گواهی دیجیتال با کلید خصوصی CA امضا شده است، بنابراین هر کسی که کلید عمومی CA را داشته باشد می تواند صحت آن را تأیید کند. بنابراین، استفاده از گواهی دیجیتال، طرح زیر را از تعامل الکترونیکی بین شرکا در نظر می گیرد. یکی از شرکا گواهینامه خود را که از CA دریافت کرده و یک پیام امضا شده با EDS را برای دیگری ارسال می کند. گیرنده پیام احراز هویت گواهی همتا را انجام می دهد که شامل موارد زیر است:

تأیید اعتماد به صادرکننده گواهی و مدت اعتبار آن؛
... تأیید EDS صادرکننده تحت گواهی؛
... بررسی ابطال گواهی

اگر گواهی شریک اعتبار خود را از دست نداده باشد و EDS در روابطی که دارای اهمیت قانونی است استفاده شود، کلید عمومی شریک از گواهی استخراج می شود. بر اساس این کلید عمومی، EDS شریک را می توان تحت یک سند الکترونیکی (ED) تأیید کرد.
توجه به این نکته حائز اهمیت است که مطابق با قانون "در مورد EDS"، تایید اصالت EDS در EDS نتیجه مثبت تایید توسط ابزار EDS تایید شده مربوطه با استفاده از گواهی کلید امضا است.

CA با اطمینان از امنیت تعامل بین شرکا، وظایف زیر را انجام می دهد:

کلیدهای EDS را ثبت می کند.
... بنا به درخواست کاربران، کلیدهای EDS خصوصی و عمومی ایجاد می کند.
... گواهینامه های کلید امضا را تعلیق و تمدید می کند و همچنین آنها را باطل می کند.
... ثبت گواهینامه های کلید امضا را حفظ می کند، از ارتباط ثبت نام و توانایی کاربران برای دسترسی آزادانه به ثبت اطمینان می دهد.
... صدور گواهینامه کلیدهای امضا بر روی کاغذ و در قالب اسناد الکترونیکی با اطلاعات مربوط به اعتبار آنها.
... بنا به درخواست کاربران، تأیید صحت (اعتبار) امضا در ED را در رابطه با EDS ثبت شده توسط وی انجام می دهد.

CA شرایطی را برای ذخیره ایمن کلیدهای خصوصی در تجهیزات گران قیمت و به خوبی محافظت شده و همچنین شرایطی برای مدیریت دسترسی به کلیدهای خصوصی ایجاد می کند.

ثبت هر امضای دیجیتال بر اساس درخواستی انجام می شود که حاوی اطلاعات مورد نیاز برای صدور گواهینامه و همچنین اطلاعات مورد نیاز برای شناسایی صاحب امضای دیجیتال و ارسال پیام به وی است. درخواست با امضای دست نویس دارنده EDS امضا می شود، اطلاعات مندرج در آن با ارائه مدارک مربوطه تایید می شود. در طول ثبت نام، منحصر به فرد بودن کلیدهای عمومی EDS در رجیستری و آرشیو CA بررسی می شود.

هنگام ثبت نام در CA بر روی کاغذ، دو نسخه از گواهی کلید امضا صادر می شود که با امضای دست نویس دارنده EDS و شخص مجاز مرکز صدور گواهینامه (CA) و مهر مرکز صدور گواهینامه تایید می شود. یک نسخه برای دارنده EDS صادر می شود، نسخه دوم در CA باقی می ماند.

در سیستم های واقعی، هر شریک ممکن است از چندین گواهی صادر شده توسط CA های مختلف استفاده کند. CA های مختلف را می توان با زیرساخت کلید عمومی یا PKI (زیرساخت کلید عمومی) ترکیب کرد. CA در داخل PKI نه تنها ذخیره سازی گواهی ها، بلکه مدیریت آنها (صدور، ابطال، تأیید اعتماد) را نیز فراهم می کند. رایج ترین مدل PKI سلسله مراتبی است. مزیت اساسی این مدل این است که اعتبار سنجی گواهی فقط به تعداد نسبتاً کمی از CAهای ریشه نیاز دارد تا قابل اعتماد باشند. در عین حال، این مدل تعداد متفاوتی از CA را که گواهی صادر می کنند، اجازه می دهد.

از نقطه نظر امنیت اطلاعات، کلیدهای رمزنگاری داده های حیاتی هستند. اگر قبلاً برای سرقت از یک شرکت، بدخواهان مجبور بودند وارد قلمرو آن شرکت می شدند، اماکن و گاوصندوق را باز می کردند، اکنون کافی است یک توکن با یک کلید رمزنگاری سرقت کرده و از طریق سیستم اینترنت مشتری - بانک حواله کنند. اساس تضمین امنیت با استفاده از سیستم های حفاظت اطلاعات رمزنگاری (CIPS) حفظ محرمانه بودن کلیدهای رمزنگاری است.

چگونه از محرمانه بودن چیزی که نمی دانید وجود دارد اطمینان حاصل می کنید؟ برای قرار دادن ژتون با کلید در گاوصندوق، باید از وجود ژتون و گاوصندوق اطلاع داشته باشید. هر چقدر هم که متناقض به نظر برسد، تعداد کمی از شرکت‌ها تصوری از تعداد دقیق اسناد کلیدی مورد استفاده خود دارند. این ممکن است به دلایل متعددی اتفاق بیفتد، به عنوان مثال، دست کم گرفتن تهدیدات امنیت اطلاعات، عدم وجود فرآیندهای تجاری به خوبی تثبیت شده، صلاحیت های ناکافی پرسنل در مسائل امنیتی و غیره. این کار معمولاً پس از حوادثی مانند این به یاد می‌آید.

این مقاله اولین گام در جهت بهبود امنیت اطلاعات با استفاده از ابزارهای رمزنگاری را شرح می‌دهد، یا به طور دقیق‌تر، یکی از رویکردهای حسابرسی ابزارهای حفاظت از اطلاعات رمزنگاری و کلیدهای رمزنگاری را در نظر خواهیم گرفت. روایت از طرف یک متخصص امنیت اطلاعات انجام می شود، در حالی که فرض می کنیم کار از ابتدا انجام می شود.

اصطلاحات و تعاریف

در ابتدای مقاله، برای اینکه خواننده ناآماده را با تعاریف پیچیده نترسانیم، به طور گسترده از اصطلاحات کلید رمزنگاری یا کلید رمزنگاری استفاده کردیم، اکنون زمان آن رسیده است که دستگاه مفهومی خود را بهبود بخشیم و آن را با قوانین فعلی مطابقت دهیم. این یک گام بسیار مهم است زیرا به طور مؤثر اطلاعات به دست آمده از حسابرسی را ساختار می دهد.

1. کلید رمزنگاری (کریپتوکلید)- مجموعه ای از داده ها که امکان انتخاب یک تبدیل رمزنگاری خاص را از بین همه موارد ممکن در یک سیستم رمزنگاری معین فراهم می کند (تعریف از "دستورالعمل های صورتی - دستور FAPSI شماره 152 مورخ 13 ژوئن 2001، که از این پس FAPSI 152 نامیده می شود) .
2. اطلاعات کلیدی- مجموعه ای خاص از کلیدهای رمزنگاری سازماندهی شده برای اجرای حفاظت رمزنگاری اطلاعات در یک دوره معین [FAPSI 152].
   با استفاده از مثال زیر می توانید تفاوت اساسی بین کلید رمزنگاری و اطلاعات کلیدی را درک کنید. هنگام سازماندهی HTTPS، یک جفت کلید عمومی و خصوصی ایجاد می شود و یک گواهی از کلید عمومی و اطلاعات اضافی دریافت می شود. بنابراین، در این طرح، ترکیب یک گواهی و یک کلید خصوصی، اطلاعات کلید را تشکیل می‌دهند و هر کدام به صورت جداگانه یک کلید رمزنگاری هستند. در اینجا می توانید با قانون ساده زیر هدایت شوید - کاربران نهایی هنگام کار با ابزارهای حفاظت از داده های رمزنگاری، از اطلاعات کلیدی استفاده می کنند و کلیدهای رمزنگاری معمولاً از ابزارهای محافظت از داده های رمزنگاری در داخل خود استفاده می کنند. در عین حال، درک این نکته مهم است که اطلاعات کلیدی می تواند از یک کلید رمزنگاری تشکیل شده باشد.
3. اسناد کلیدی- اسناد الکترونیکی در هر رسانه و همچنین اسناد در رسانه های کاغذی حاوی اطلاعات کلیدی با دسترسی محدود برای تبدیل رمزنگاری اطلاعات با استفاده از الگوریتم هایی برای تبدیل رمزنگاری اطلاعات (کلید رمزنگاری) در ابزارهای رمزگذاری (رمز نگاری). (تعریف از تصمیم دولت شماره 313 مورخ 16 آوریل 2012، از این پس - PP-313)
   به زبان ساده، یک سند کلیدی اطلاعات کلیدی ثبت شده در یک رسانه است. هنگام تجزیه و تحلیل اطلاعات کلیدی و اسناد کلیدی، لازم است اطلاعات کلیدی مورد استفاده (یعنی برای تحولات رمزنگاری - رمزگذاری، امضای الکترونیکی و غیره) مورد استفاده قرار گیرد و اسناد کلیدی حاوی آن به کارمندان منتقل شود.
4. ابزارهای حفاظت از اطلاعات رمزنگاری (CIPF)- وسایل رمزگذاری، وسایل حفاظت تقلیدی، ابزار امضای الکترونیکی، وسایل رمزگذاری، وسایل تولید اسناد کلیدی، اسناد کلیدی، ابزارهای رمزگذاری سخت افزاری (رمزنگاری)، ابزارهای رمزگذاری نرم افزاری و سخت افزاری (رمز نگاری). [PP-313]
   هنگام تجزیه و تحلیل این تعریف، می توانید وجود اصطلاح اسناد کلیدی را در آن بیابید. این عبارت در مصوبه دولت آمده است و ما حق نداریم آن را تغییر دهیم. در عین حال، توضیحات بیشتر بر این اساس انجام خواهد شد که تنها ابزارهای انجام تحولات رمزنگاری مربوط به CIPF خواهد بود. این رویکرد حسابرسی را ساده می کند، اما در عین حال بر کیفیت آن تأثیر نمی گذارد، زیرا ما همچنان اسناد کلیدی را در نظر می گیریم، اما در بخش خود و با استفاده از روش های خودمان.

روش حسابرسی و نتایج مورد انتظار

ویژگی های اصلی روش حسابرسی پیشنهادی در این مقاله، فرضیه هایی است که:

• هیچ یک از کارکنان شرکت نمی توانند به طور دقیق به سؤالات مطرح شده در حین حسابرسی پاسخ دهند.
• منابع داده موجود (لیست ها، ثبت ها و غیره) نادرست یا ساختار ضعیفی دارند.

بنابراین روش پیشنهادی در مقاله نوعی داده کاوی است که طی آن داده های یکسان از منابع مختلف استخراج و سپس با هم مقایسه، ساختار و پالایش می شوند.

در اینجا وابستگی های اصلی وجود دارد که به ما در این امر کمک می کند:

1. اگر ابزار حفاظت از اطلاعات رمزنگاری وجود داشته باشد، اطلاعات کلیدی نیز وجود دارد.
2. اگر جریان اسناد الکترونیکی وجود داشته باشد (از جمله با طرف مقابل و تنظیم کننده)، به احتمال زیاد از یک امضای الکترونیکی و در نتیجه از ابزارهای حفاظت از اطلاعات رمزنگاری و اطلاعات کلیدی استفاده می کند.
3. جریان اسناد الکترونیکی در این زمینه باید به طور گسترده درک شود، یعنی هم شامل مبادله مستقیم اسناد الکترونیکی مهم قانونی و هم ارائه گزارش ها و کار در سیستم های پرداخت یا معاملات و غیره می شود. لیست و اشکال مدیریت اسناد الکترونیکی توسط فرآیندهای تجاری شرکت و همچنین قوانین فعلی تعیین می شود.
4. اگر کارمندی درگیر مدیریت اسناد الکترونیکی باشد، به احتمال زیاد او اسناد کلیدی دارد.
5. هنگام سازماندهی جریان اسناد الکترونیکی با طرف مقابل، معمولاً اسناد سازمانی و اداری (دستورات) در انتصاب افراد مسئول صادر می شود.
6. اگر اطلاعات از طریق اینترنت (یا سایر شبکه های عمومی) منتقل شود، به احتمال زیاد رمزگذاری شده است. این در درجه اول برای VPN و سیستم های مختلف دسترسی از راه دور اعمال می شود.
7. اگر پروتکل هایی در ترافیک شبکه یافت شوند که ترافیک را به شکل رمزگذاری شده انتقال می دهند، از ابزارهای حفاظت از اطلاعات رمزنگاری و اطلاعات کلیدی استفاده می شود.
8. اگر تسویه حساب با طرف‌های متقابل درگیر در موارد زیر انجام می‌شد: تامین محصولات امنیت اطلاعات، دستگاه‌های مخابراتی، ارائه خدمات برای انتقال پف، خدمات مراکز صدور گواهی‌نامه، با این تعامل می‌توان ابزارهای حفاظت از اطلاعات رمزنگاری یا اسناد کلیدی را خریداری کرد.
9. اسناد کلیدی می‌توانند بر روی رسانه‌های قابل حذف (فلاپی دیسک، درایوهای فلش، توکن‌ها، ...) یا در رایانه‌ها و ابزارهای امنیتی سخت‌افزار رمزنگاری اطلاعات ضبط شده باشند.
10. هنگام استفاده از ابزار مجازی سازی، اسناد کلیدی را می توان هم در داخل ماشین های مجازی ذخیره کرد و هم با استفاده از یک هایپروایزر روی ماشین های مجازی نصب کرد.
11. ابزارهای حفاظت از اطلاعات رمزنگاری سخت افزاری را می توان در اتاق های سرور نصب کرد و برای تجزیه و تحلیل در شبکه در دسترس نیست.
12. برخی از سیستم های مدیریت اسناد الکترونیکی ممکن است غیرفعال یا غیر فعال باشند، اما در عین حال حاوی اطلاعات کلیدی فعال و ابزارهای حفاظت از اطلاعات رمزنگاری هستند.
13. اسناد نظارتی و سازمانی و اداری داخلی ممکن است حاوی اطلاعاتی در مورد سیستم های مدیریت اسناد الکترونیکی، CIPF و اسناد کلیدی باشد.

برای استخراج اطلاعات اولیه، ما موارد زیر را انجام خواهیم داد:

• مصاحبه با کارمندان؛
• تجزیه و تحلیل اسناد شرکت، از جمله اسناد نظارتی و اداری داخلی، و همچنین دستورات پرداخت خروجی؛
• تجزیه و تحلیل بصری اتاق های سرور و کابینت های ارتباطی را انجام دهید.
• انجام تجزیه و تحلیل فنی محتوای ایستگاه های کاری خودکار (AWS)، سرورها و ابزارهای مجازی سازی.

ما بعداً اقدامات خاصی را تدوین خواهیم کرد، اما در حال حاضر اطلاعات نهایی را که باید در نتیجه ممیزی دریافت کنیم، در نظر خواهیم گرفت:

لیست SKZI:

1. مدل CIPF... به عنوان مثال، CIPF Crypto CSP 3.9 یا OpenSSL 1.0.1
2. شناسه نمونه CIPF... به عنوان مثال، شماره سریال، مجوز (یا ثبت نام طبق PKZ-2005) شماره SKZI
3. اطلاعات در مورد گواهی FSB روسیه برای CIPFشامل شماره و تاریخ شروع و پایان اعتبار.
4. اطلاعات در مورد محل عملیات SKZI... به عنوان مثال، نام رایانه ای که نرم افزار SKZI روی آن نصب شده است، یا نام ابزار فنی یا مکانی که سخت افزار SKZI در آن نصب شده است.

این اطلاعات اجازه خواهد داد:

1. آسیب‌پذیری‌ها را در سیستم‌های حفاظت اطلاعات رمزنگاری مدیریت کنید، یعنی به سرعت آنها را شناسایی و رفع کنید.
2. دوره اعتبار گواهی‌ها را برای ابزارهای حفاظت از اطلاعات رمزنگاری ردیابی کنید، و همچنین بررسی کنید که آیا ابزار حفاظت از اطلاعات رمزنگاری تایید شده مطابق با قوانین تعیین شده توسط اسناد استفاده می‌شود یا خیر.
3. هزینه حفاظت از اطلاعات رمزنگاری را برنامه ریزی کنید، با دانستن اینکه چقدر در حال حاضر عملیاتی شده است و چقدر سرمایه تلفیقی بیشتر در دسترس است.
4. ایجاد گزارش نظارتی

لیست اطلاعات کلیدی:

برای هر عنصر از لیست، داده های زیر را ثبت می کنیم:

1. نام یا شناسه اطلاعات کلیدی... به عنوان مثال، «کلید ES واجد شرایط. شماره سریال گواهی 31: 2D: AF " است و شناسه باید به گونه ای انتخاب شود که بتوان کلید را توسط آن پیدا کرد. به عنوان مثال، مقامات صدور گواهینامه، زمانی که اعلان ارسال می کنند، معمولا کلیدها را با شماره گواهی شناسایی می کنند.
2. مرکز کنترل سیستم کلیدی (CMC)صادر کننده این اطلاعات کلیدی این می تواند سازمانی باشد که کلید را صادر کرده است، به عنوان مثال، یک مرجع صدور گواهینامه.
3. شخصی، که اطلاعات کلیدی به نام آن صادر شده است. این اطلاعات را می توان از قسمت های CN گواهی های X.509 بازیابی کرد
4. فرمت اطلاعات کلیدی... به عنوان مثال، CryptoPRO CIP، Verba-OW CIP، X.509، و غیره (یا به عبارت دیگر، برای استفاده با کدام CIP این اطلاعات کلیدی در نظر گرفته شده است).
5. تخصیص اطلاعات کلیدی... به عنوان مثال، "شرکت در مزایده ها در سایت Sberbank AST"، "امضای الکترونیکی واجد شرایط برای تشکیل گزارش ها" و غیره. از نقطه نظر فنی، در این زمینه، می‌توانید محدودیت‌های رفع شده توسط فیلدهای استفاده از کلید توسعه‌یافته و دیگر گواهی‌های X.509 را برطرف کنید.
6. آغاز و پایان اعتبار اطلاعات کلیدی.
7. روش صدور مجدد اطلاعات کلیدی... یعنی آگاهی از اینکه چه باید کرد و چگونه اطلاعات کلیدی را دوباره منتشر کرد. حداقل توصیه می شود که تماس های مقامات CMC که اطلاعات کلیدی را صادر کرده اند، ثبت کنید.
8. فهرستی از سیستم های اطلاعاتی، خدمات یا فرآیندهای تجاری که اطلاعات کلیدی در آنها استفاده می شود... به عنوان مثال، «سیستم خدمات بانکداری از راه دور اینترنت مشتری-بانک».

این اطلاعات اجازه خواهد داد:

1. تاریخ انقضای اطلاعات کلیدی را پیگیری کنید.
2. در صورت لزوم، اطلاعات کلیدی را به سرعت منتشر کنید. این ممکن است برای هر دو نسخه برنامه ریزی شده و برنامه ریزی نشده مورد نیاز باشد.
3. پس از اخراج کارمندی که در اختیار او قرار گرفته است، استفاده از اطلاعات کلیدی را مسدود کنید.
4. حوادث امنیت اطلاعات را با پاسخ به این سوال بررسی کنید: "چه کسی کلید پرداخت را داشت؟" و غیره.

فهرست اسناد کلیدی:

برای هر عنصر از لیست، داده های زیر را ثبت می کنیم:

1. اطلاعات کلیدیموجود در سند کلیدی
2. حامل اطلاعات کلیدی، که اطلاعات کلیدی روی آن ثبت می شود.
3. صورتمسئول ایمنی سند کلیدی و محرمانه بودن اطلاعات کلیدی موجود در آن است.

این اطلاعات اجازه خواهد داد:

1. انتشار مجدد اطلاعات کلیدی در موارد: اخراج کارکنان دارای اسناد کلیدی و همچنین در صورت به خطر افتادن رسانه ها.
2. از محرمانه بودن اطلاعات کلیدی با تهیه فهرستی از حامل های حاوی آن اطمینان حاصل کنید.

طرح حسابرسی

اکنون زمان بررسی ویژگی های عملی حسابرسی است. بیایید این کار را با استفاده از مثال یک سازمان اعتباری و مالی یا به عبارت دیگر با استفاده از مثال یک بانک انجام دهیم. این نمونه تصادفی انتخاب نشده است. بانک ها از تعداد نسبتاً زیادی از سیستم های حفاظت رمزنگاری متنوع استفاده می کنند که در تعداد زیادی از فرآیندهای تجاری دخیل هستند، و علاوه بر این، تقریباً همه بانک ها دارای مجوز FSB روسیه در زمینه رمزنگاری هستند. در ادامه مقاله، طرح ممیزی ابزارهای حفاظت از اطلاعات رمزنگاری و کلیدهای رمزنگاری در رابطه با بانک ارائه خواهد شد. در عین حال، این طرح را می توان در هنگام انجام حسابرسی تقریباً هر شرکتی به عنوان مبنایی در نظر گرفت. برای سهولت درک، پلان به مراحلی تقسیم می شود که به نوبه خود به شکل اسپلیرها تا می شوند.

مرحله 1. جمع آوری داده ها از بخش های زیرساخت شرکت

№	عمل
منبع - همه کارکنان شرکت
1	ما با درخواست برای اطلاع رسانی به سرویس امنیت اطلاعات در مورد کلیه کلیدهای رمزنگاری که استفاده می کنند، نامه ای شرکتی برای همه کارکنان شرکت ارسال می کنیم.	ما ایمیل هایی دریافت می کنیم که بر اساس آنها لیستی از اطلاعات کلیدی و لیستی از اسناد کلیدی را تشکیل می دهیم
منبع - رئیس سرویس فناوری اطلاعات
1	ما فهرستی از اطلاعات کلیدی و اسناد کلیدی را درخواست می کنیم	به احتمال زیاد، سرویس فناوری اطلاعات از چنین اسنادی نگهداری می کند، ما از آنها برای تشکیل و شفاف سازی لیستی از اطلاعات کلیدی، اسناد کلیدی و ابزارهای حفاظت از اطلاعات رمزنگاری استفاده خواهیم کرد.
2	درخواست فهرستی از منابع اطلاعات رمزنگاری
3	ما درخواست ثبت نرم افزارهای نصب شده بر روی سرورها و ایستگاه های کاری را داریم	در این رجیستری به دنبال ابزارهای رمزنگاری نرم افزاری و اجزای آن هستیم. به عنوان مثال، CryptoPRO CSP، Verba-OW، Signal-COM CSP، Signature، PGP، ruToken، eToken، KritoARM، و غیره. بر اساس این داده ها، ما لیستی از ابزارهای حفاظت از اطلاعات رمزنگاری را تشکیل می دهیم.
4	ما فهرستی از کارمندان (احتمالاً پشتیبانی فنی) را درخواست می‌کنیم که به کاربران کمک می‌کنند تا از ابزارهای حفاظت از اطلاعات رمزنگاری‌شده استفاده کنند و اطلاعات کلیدی را مجدداً منتشر کنند.	ما از این افراد اطلاعاتی مشابه مدیران سیستم می خواهیم
منبع - مدیران سیستم خدمات فناوری اطلاعات
1	ما لیستی از دروازه های رمزنگاری داخلی (VIPNET، Continent، S-terra، و غیره) را درخواست می کنیم.	در مواردی که شرکت فرآیندهای کسب و کار مدیریت فناوری اطلاعات و امنیت اطلاعات را به طور منظم اجرا نمی کند، چنین سوالاتی می تواند به مدیران سیستم کمک کند تا وجود یک دستگاه یا نرم افزار خاص را به خاطر بسپارند. ما از این اطلاعات برای به دست آوردن فهرستی از ابزارهای حفاظت از اطلاعات رمزنگاری استفاده می کنیم.
2	ما لیستی از ابزارهای رمزنگاری نرم افزار داخلی (ابزارهای حفاظت از اطلاعات رمزنگاری MagPro CryptoPacket، VIPNET CSP، CryptonDisk، SecretDisk، ...) را درخواست می کنیم.
3	ما لیستی از روترهایی را درخواست می کنیم که VPN را برای موارد زیر پیاده سازی می کنند: الف) ارتباطات بین دفاتر شرکت؛ ب) تعامل با پیمانکاران و شرکا.
4	ما فهرستی از خدمات اطلاعاتی منتشر شده در اینترنت (قابل دسترسی از اینترنت) را درخواست می کنیم. آنها می توانند شامل موارد زیر باشند: الف) ایمیل شرکتی؛ ب) سیستم های پیام رسانی فوری؛ ج) وب سایت های شرکتی؛ د) خدمات تبادل اطلاعات با شرکا و پیمانکاران (اکسترانت)؛ ه) سیستم های بانکداری از راه دور (در صورتی که شرکت یک بانک باشد). و) سیستم های دسترسی از راه دور به شبکه شرکت. برای بررسی کامل بودن اطلاعات ارائه شده، آن را با لیست قوانین Portforwarding برای فایروال های مرزی بررسی می کنیم.	با تجزیه و تحلیل اطلاعات دریافتی، با احتمال زیاد، می توانید از ابزارهای حفاظت از اطلاعات رمزنگاری و کلیدهای رمزنگاری استفاده کنید. ما از داده های به دست آمده برای تشکیل فهرستی از ابزارهای حفاظت از اطلاعات رمزنگاری و اطلاعات کلیدی استفاده می کنیم.
5	ما لیستی از سیستم های اطلاعاتی مورد استفاده برای گزارش را درخواست می کنیم (Taxcom، Kontur و غیره)	این سیستم ها از کلیدهای امضای الکترونیکی واجد شرایط و SKZI استفاده می کنند. از طریق این لیست، فهرستی از ابزارهای حفاظت از داده های رمزنگاری، فهرستی از اطلاعات کلیدی را تشکیل می دهیم و همچنین کارکنانی را که از این سیستم ها برای تشکیل فهرستی از اسناد کلیدی استفاده می کنند، می یابیم.
6	ما لیستی از سیستم های مدیریت اسناد الکترونیکی داخلی (Lotus، DIRECTUM، 1C: Document management، و غیره) و همچنین لیستی از کاربران آنها را درخواست می کنیم.	در چارچوب سیستم های مدیریت اسناد الکترونیکی داخلی، ممکن است با کلیدهای امضای الکترونیکی مواجه شود. بر اساس اطلاعات دریافتی، فهرستی از اطلاعات کلیدی و فهرستی از اسناد کلیدی را تشکیل می دهیم.
7	ما لیستی از مراکز صدور گواهینامه داخلی را می خواهیم.	وجوه مورد استفاده برای سازماندهی مراکز صدور گواهینامه در فهرست ابزارهای حفاظت از اطلاعات رمزنگاری ثبت می شود. در آینده برای شناسایی اطلاعات کلیدی، محتویات پایگاه های اطلاعاتی مراکز صدور گواهینامه را تجزیه و تحلیل خواهیم کرد.
8	ما اطلاعاتی در مورد استفاده از فناوری ها درخواست می کنیم: IEEE 802.1x، WiFiWPA2 Enterprise و سیستم های نظارت تصویری IP	در صورت استفاده از این فناوری‌ها، می‌توانیم اسناد کلیدی را در دستگاه‌های درگیر پیدا کنیم.
منبع - رئیس منابع انسانی
1	لطفاً روند استخدام و اخراج کارکنان را توضیح دهید. ما روی این سوال تمرکز می کنیم که چه کسی اسناد کلیدی را از ترک کارگران می گیرد	ما اسناد (صفحه های بای پس) را برای حضور سیستم های اطلاعاتی که در آنها می توان از سیستم حفاظت اطلاعات رمزنگاری استفاده کرد، تجزیه و تحلیل می کنیم.

مرحله 2. جمع آوری داده ها از واحدهای تجاری شرکت (به عنوان مثال بانک)

№	عمل	خروجی و استفاده مورد انتظار
منبع - رئیس خدمات تسویه حساب (روابط خبرنگار)
1	لطفاً طرحی برای سازماندهی تعامل با سیستم پرداخت بانک روسیه ارائه دهید. این امر به ویژه برای بانک هایی که دارای شبکه شعب توسعه یافته هستند، که در آن شعب می توانند بانک مرکزی را مستقیماً به سیستم پرداخت متصل کنند، مرتبط خواهد بود.	بر اساس داده های دریافتی، ما محل درگاه های پرداخت (AWP KBR، UTA) و لیست کاربران درگیر را تعیین می کنیم. ما از اطلاعات به دست آمده برای تشکیل فهرستی از ابزارهای حفاظت از اطلاعات رمزنگاری، اطلاعات کلیدی و اسناد کلیدی استفاده می کنیم.
2	ما فهرستی از بانک‌هایی را می‌خواهیم که ارتباط مستقیم با آنها برقرار شده است و همچنین می‌خواهیم بگوییم چه کسی در انجام نقل و انتقالات نقش دارد و از چه ابزار فنی استفاده می‌شود.
3	ما فهرستی از سیستم‌های پرداختی را که بانک در آنها مشارکت دارد (سوئیفت، ویزا، مسترکارت، NSPK و غیره) و همچنین مکان پایانه‌های ارتباطی درخواست می‌کنیم.	مانند سیستم پرداخت بانک روسیه
منبع - رئیس بخش مسئول ارائه خدمات بانکداری از راه دور
1	ما لیستی از سیستم های بانکداری از راه دور را می خواهیم.	در این سیستم ها، ما استفاده از ابزارهای حفاظت از اطلاعات رمزنگاری و اطلاعات کلیدی را تجزیه و تحلیل می کنیم. بر اساس داده های دریافتی، ما فهرستی از ابزارهای حفاظت از اطلاعات رمزنگاری و اطلاعات کلیدی و اسناد کلیدی را تشکیل می دهیم.
منبع - رئیس بخش مسئول عملکرد پردازش کارت پرداخت
1	رجیستری HSM را جستجو کنید	بر اساس اطلاعات دریافتی، فهرستی از ابزارهای حفاظت از اطلاعات رمزنگاری، اطلاعات کلیدی و اسناد کلیدی را تشکیل می دهیم.
2	درخواست لیست افسران امنیتی
4	درخواست اطلاعات در مورد اجزای LMK HSM
5	ما اطلاعاتی در مورد سازماندهی سیستم هایی مانند 3D-Secure و سازماندهی شخصی سازی کارت های پرداخت درخواست می کنیم
منبع - روسای ادارات انجام وظایف خزانه داری و سپرده گذاری
1	فهرست بانک هایی که با آنها روابط خبرنگاری برقرار شده و در اعطای وام بین بانکی مشارکت دارند.	ما از اطلاعات دریافتی برای شفاف سازی داده های دریافتی قبلی از سرویس تسویه و همچنین ثبت اطلاعات در مورد تعامل با صرافی ها و سپرده گذاران استفاده می کنیم. بر اساس اطلاعات دریافتی، فهرستی از ابزارهای حفاظت از اطلاعات رمزنگاری و اطلاعات کلیدی را تشکیل می دهیم.
2	فهرست صرافی ها و سپرده گذاری های تخصصی که بانک با آنها کار می کند
منبع - روسای خدمات نظارت مالی و بخش های مسئول ارائه گزارش به بانک روسیه
1	ما در مورد نحوه ارسال اطلاعات و دریافت اطلاعات از بانک مرکزی اطلاعات درخواست می کنیم. فهرست افراد درگیر و ابزار فنی.	تعامل اطلاعات با بانک روسیه به شدت توسط اسناد مربوطه تنظیم می شود، به عنوان مثال، 2332-U، 321-I و بسیاری دیگر، ما مطابقت با این اسناد را بررسی می کنیم و لیستی از ابزارهای حفاظت از اطلاعات رمزنگاری، اطلاعات کلیدی و اسناد کلیدی را تشکیل می دهیم.
منبع - حسابدار ارشد و حسابدارانی که برای نیازهای داخلی بانک قبوض را پرداخت می کنند
1	ما در مورد نحوه تهیه و ارسال گزارشات به بازرسان مالیاتی و بانک روسیه اطلاعاتی را می خواهیم	ما اطلاعات به دست آمده قبلی را روشن می کنیم
2	ما درخواست ثبت اسناد پرداخت را برای پرداخت نیازهای بانک داخلی داریم	در این رجیستری، ما به دنبال اسنادی خواهیم بود که در آنها: 1) مراکز صدور گواهینامه، اپراتورهای تخصصی مخابرات، تولید کنندگان ابزارهای حفاظت از اطلاعات رمزنگاری، تامین کنندگان تجهیزات مخابراتی به عنوان دریافت کنندگان پرداخت مشخص می شوند. نام این شرکت ها را می توان از ثبت سیستم های حفاظت اطلاعات رمزنگاری تایید شده FSB روسیه، لیست مراکز صدور گواهینامه معتبر وزارت مخابرات و ارتباطات جمعی و سایر منابع دریافت کرد. 2) به عنوان رمزگشایی پرداخت، کلمات وجود دارد: "CIPF"، "امضا"، "ژتون"، "کلید"، "BKI"، و غیره.
منبع - روسای معوقات و مدیریت ریسک
1	ما فهرستی از دفاتر اعتباری و آژانس های جمع آوری که بانک با آنها کار می کند درخواست می کنیم.	همراه با سرویس فناوری اطلاعات، داده‌های به‌دست‌آمده را به منظور شفاف‌سازی سازمان مدیریت اسناد الکترونیکی تجزیه و تحلیل می‌کنیم که بر اساس آن فهرست‌هایی از ابزارهای حفاظت از اطلاعات رمزنگاری، اطلاعات کلیدی و اسناد کلیدی را روشن می‌کنیم.
منبع - روسای خدمات مدیریت اسناد، کنترل داخلی و حسابرسی داخلی
1	درخواست ثبت اسناد داخلی سازمانی و اداری (سفارش) داریم.	در این اسناد به دنبال اسناد مربوط به سیستم حفاظت از اطلاعات رمزنگاری هستیم. برای انجام این کار، وجود کلمات کلیدی "امنیت"، "مسئول"، "مدیر"، "امضای الکترونیکی"، "ES"، "EDS"، "EDO"، "ASP"، "SKZI" و مشتقات آنها سپس لیست کارکنان بانک را که در این اسناد ثبت شده است شناسایی می کنیم. ما با کارمندان در مورد استفاده آنها از ابزارهای رمزنگاری مصاحبه انجام می دهیم. ما اطلاعات دریافت شده را در فهرست ابزارهای حفاظت از اطلاعات رمزنگاری، اطلاعات کلیدی و اسناد کلیدی منعکس می کنیم.
2	ما لیستی از قراردادها با طرف مقابل را درخواست می کنیم	در تلاش هستیم تا توافق نامه هایی در زمینه مدیریت اسناد الکترونیکی و همچنین قراردادهایی با شرکت های عرضه کننده ابزار امنیت اطلاعات یا ارائه خدمات در این زمینه و همچنین شرکت های ارائه دهنده خدمات مراکز صدور گواهینامه و خدمات ارائه گزارش از طریق اینترنت شناسایی کنیم.
3	ما فناوری ذخیره اسناد روز را به صورت الکترونیکی تجزیه و تحلیل می کنیم	هنگام اجرای ذخیره سازی اسناد روز به صورت الکترونیکی، ابزارهای حفاظت از اطلاعات رمزنگاری مورد نیاز است

مرحله 3. ممیزی فنی

№	عمل	خروجی و استفاده مورد انتظار
1	ما یک موجودی فنی از نرم افزارهای نصب شده روی رایانه ها را انجام می دهیم. برای این ما استفاده می کنیم: · قابلیت های تحلیلی سیستم های حفاظتی ضد ویروس شرکت ها (به عنوان مثال، آنتی ویروس کسپرسکی می تواند چنین رجیستری بسازد). · اسکریپت های WMI برای نظرسنجی رایانه های دارای ویندوز. · امکانات مدیران بسته برای نظرسنجی * سیستم های nix; · نرم افزار تخصصی موجودی.	در بین نرم افزارهای نصب شده به دنبال نرم افزار SKZI، درایورهای سخت افزار SKZI و حامل های کلید هستیم. بر اساس اطلاعات دریافتی، لیست CIPF ها را به روز می کنیم.
2	ما اسناد کلیدی را در سرورها و ایستگاه های کاری جستجو می کنیم. برای این · Logon-scripts نظرسنجی AWP در دامنه برای حضور گواهی با کلیدهای خصوصی در پروفایل های کاربر و پروفایل های رایانه. در تمامی کامپیوترها، سرورهای فایل، هایپروایزرها به دنبال فایل هایی با پسوندهای crt، cer، key، pfx، p12، pem، pse، jks و غیره هستیم. · در هایپروایزر سیستم های مجازی سازی، ما به دنبال درایوهای فلاپی نصب شده و تصاویر دیسکت هستیم.	اغلب اسناد کلیدی به شکل کانتینرهای کلید فایل و همچنین ظروف ذخیره شده در رجیستری رایانه های دارای ویندوز ارائه می شوند. ما اسناد کلیدی یافت شده را در لیست اسناد کلیدی و اطلاعات کلیدی موجود در آنها را در لیست اطلاعات کلیدی ثبت می کنیم.
3	ما محتوای پایگاه های اطلاعاتی مراکز صدور گواهی را تجزیه و تحلیل می کنیم	پایگاه های داده مقامات صدور گواهینامه معمولاً حاوی اطلاعاتی در مورد گواهی های صادر شده توسط این مقامات است. اطلاعات دریافتی را در لیست اطلاعات کلیدی و لیست اسناد کلیدی وارد می کنیم.
4	ما یک بازرسی بصری از اتاق‌های سرور و کمدهای سیم‌کشی انجام می‌دهیم، به دنبال ابزارهای حفاظت از اطلاعات رمزنگاری و حامل‌های کلید سخت‌افزاری (توکن‌ها، درایوهای دیسک) هستیم.	در برخی موارد، انجام فهرستی از ابزارهای حفاظت از اطلاعات رمزنگاری و اسناد کلیدی از طریق شبکه غیرممکن است. سیستم ها ممکن است در بخش های شبکه ایزوله باشند یا اصلاً اتصال شبکه ای نداشته باشند. برای انجام این کار، ما یک بازرسی بصری انجام می دهیم که در نتایج آن باید نام و هدف کلیه تجهیزات ارائه شده در اتاق سرور مشخص شود. اطلاعات دریافت شده را در فهرست ابزارهای حفاظت از اطلاعات رمزنگاری و اسناد کلیدی وارد می کنیم.
5	ما ترافیک شبکه را به منظور شناسایی جریان های اطلاعات با استفاده از تبادل رمزگذاری شده تجزیه و تحلیل می کنیم	پروتکل‌های رمزگذاری‌شده - HTTPS، SSH و غیره به ما امکان می‌دهند تا گره‌های شبکه‌ای را که تبدیل‌های رمزنگاری بر روی آن‌ها انجام می‌شوند و در نتیجه حاوی ابزارهای حفاظت از اطلاعات رمزنگاری و اسناد کلیدی هستند، شناسایی کنیم.

نتیجه

در این مقاله، تئوری و عمل حسابرسی ابزارهای حفاظت از اطلاعات رمزنگاری و کلیدهای رمزنگاری را بررسی کردیم. همانطور که مشاهده کردید، این روش نسبتاً پیچیده و زمان بر است، اما اگر به درستی با آن برخورد شود، کاملاً امکان پذیر است. امیدواریم این مقاله در زندگی واقعی به شما کمک کند. با تشکر از توجه شما، منتظر نظرات شما هستیم.

برچسب ها:

• اسکزی
• رمزنگاری
• امضای الکترونیک
• حسابرسی
• مدیریت

افزودن برچسب