Što se odnosi na kriptografske alate za sigurnost informacija. (skzi) sredstvo kriptografske zaštite informacija

21.07.2019 Windows 10

Izraz "kriptografija" dolazi od starogrčkih riječi "skriveno" i "pisanje". Izraz izražava glavnu svrhu kriptografije - to je zaštita i očuvanje tajnosti prenesenih informacija. Zaštita informacija može se odvijati na različite načine. Na primjer, ograničavanjem fizičkog pristupa podacima, skrivanjem prijenosnog kanala, stvaranjem fizičkih poteškoća u povezivanju na komunikacijske linije itd.

Svrha kriptografije Za razliku od tradicionalne kriptografije, kriptografija pretpostavlja potpuni pristup kanalu prijenosa za napadače i osigurava povjerljivost i autentičnost informacija korištenjem algoritama za šifriranje koji informacije čine nedostupnima strancima. Suvremeni sustav kriptografske zaštite informacija (CIP) je softversko-hardverski računalni kompleks koji osigurava zaštitu informacija prema sljedećim glavnim parametrima.

+ Povjerljivost- nemogućnost čitanja informacija od strane osoba koje nemaju odgovarajuća prava pristupa. Glavna komponenta osiguravanja povjerljivosti u CIPF-u je ključ (ključ), koji je jedinstvena alfanumerička kombinacija za pristup korisnika određenom bloku CIPF-a.

+ Integritet- nemogućnost neovlaštenih promjena, kao što je uređivanje i brisanje informacija. Za to se početnim informacijama dodaje redundancija u obliku kombinacije provjere, izračunate pomoću kriptografskog algoritma i ovisno o ključu. Stoga, bez poznavanja ključa, dodavanje ili promjena informacija postaje nemoguće.

+ Ovjera- potvrdu vjerodostojnosti podataka i strana koje ih šalju i primaju. Informacije koje se prenose komunikacijskim kanalima moraju biti nedvosmisleno ovjerene sadržajem, vremenom nastanka i prijenosa, izvorom i primateljem. Treba imati na umu da izvor prijetnji može biti ne samo napadač, već i strane uključene u razmjenu informacija s nedostatkom međusobnog povjerenja. Kako bi spriječio takvu situaciju, CIPF koristi sustav vremenske oznake kako bi onemogućio slanje ili ponovno slanje informacija i promjenu njihovog redoslijeda.

+ Autorstvo- potvrda i nemogućnost odbijanja radnji korisnika informacija. Najčešći način za potvrdu autentičnosti je elektronički digitalni potpis (EDS). Sustav EDS-a sastoji se od dva algoritma: za izradu potpisa i za njegovu provjeru. U slučaju intenzivnog rada s ECC-om, preporuča se korištenje centara za certifikaciju softvera za izradu i upravljanje potpisima. Takvi se centri mogu implementirati kao kriptografski alat za zaštitu informacija, potpuno neovisan o internoj strukturi. Što to znači za organizaciju? To znači da sve transakcije s elektroničkim potpisima obrađuju neovisne certificirane organizacije i krivotvorenje je gotovo nemoguće.

U ovom trenutku među CIPF-ovima prevladavaju otvoreni algoritmi za šifriranje s korištenjem simetričnih i asimetričnih ključeva duljine dovoljne da osigura potrebnu kriptografsku složenost. Najčešći algoritmi su:

simetrične tipke - ruski R-28147.89, AES, DES, RC4;
asimetrični ključevi - RSA;
korištenjem hash funkcija - R-34.11.94, MD4 / 5/6, SHA-1/2. 80

Mnoge zemlje imaju svoje nacionalne standarde za algoritme šifriranja. U SAD-u se koristi modificirani AES algoritam s duljinom ključa 128-256 bita, a u Ruskoj Federaciji algoritam elektroničkog potpisa R-34.10.2001 i blok kriptografski algoritam R-28147.89 s 256-bitnim ključem. Neki elementi nacionalnih kriptografskih sustava zabranjeni su za izvoz izvan zemlje, a razvoj kriptografskih sustava zaštite informacija zahtijeva licenciranje.

Hardverski sustavi kripto zaštite

Hardverski kriptografski uređaji za zaštitu informacija su fizički uređaji koji sadrže softver za šifriranje, snimanje i prijenos informacija. Enkripcijski uređaji mogu se izraditi u obliku osobnih uređaja, kao što su ruToken USB enkriptori i IronKey flash diskovi, kartice za proširenje za osobna računala, specijalizirani mrežni prekidači i usmjerivači, na temelju kojih je moguće graditi potpuno sigurne računalne mreže.

Alati za hardversku kriptografsku zaštitu informacija brzo se instaliraju i rade velikom brzinom. Nedostaci - visoka, u usporedbi sa softverskim i hardverskim kriptografskim alatima za zaštitu informacija, cijena i ograničene mogućnosti modernizacije. Također, hardver se može pripisati CIPF blokovima ugrađenim u različite uređaje za snimanje i prijenos podataka, gdje je potrebna enkripcija i ograničenje pristupa informacijama. Takvi uređaji uključuju automobilske tahometre, fiksiranje parametara vozila, neke vrste medicinske opreme itd. Za potpuni rad takvih sustava potrebna je posebna aktivacija CIPF modula od strane stručnjaka dobavljača.

Softverski sustavi kripto zaštite

Softver CIPF je poseban programski paket za šifriranje podataka na medijima za pohranu (tvrdi i flash diskovi, memorijske kartice, CD/DVD) i tijekom prijenosa putem Interneta (e-mailovi, datoteke u privitcima, sigurni razgovori itd.). Postoji mnogo programa, uključujući besplatne, na primjer DiskCryptor. Zaštićene virtualne mreže za razmjenu informacija koje rade "preko Interneta" (VPN), proširenje internetskog protokola HTTP s podrškom za enkripciju HTTPS i SSL, kriptografski protokol za prijenos informacija koji se široko koristi u sustavima IP telefonije i internetskim aplikacijama, također mogu upućivati na softverske CIPF-ove.
Softverski kriptografski alati za zaštitu informacija uglavnom se koriste na Internetu, na kućnim računalima i na drugim područjima gdje zahtjevi za funkcionalnošću i stabilnošću sustava nisu jako visoki. Ili kao u slučaju interneta, kada morate stvoriti mnogo različitih sigurnih veza u isto vrijeme.

Hardverska i softverska kripto zaštita

Kombinira najbolje kvalitete hardverskih i softverskih sustava za kriptografsku zaštitu informacija. Ovo je najpouzdaniji i najfunkcionalniji način stvaranja sigurnih sustava i mreža za prijenos podataka. Podržane su sve opcije identifikacije korisnika, kako hardverske (USB-pohrana ili pametna kartica) tako i "tradicionalne" - prijava i lozinka. Softverski i hardverski alati za kriptografsku zaštitu informacija podržavaju sve moderne algoritme šifriranja, imaju širok raspon funkcija za stvaranje sigurnog tijeka dokumenata temeljenog na EDS-u, svim potrebnim državnim certifikatima. Instalaciju SKZI provodi kvalificirano osoblje programera.

Broj pregleda: 295

Sredstva kriptografske zaštite informacija, ili skraćeno CIPF, koriste se za osiguravanje sveobuhvatne zaštite podataka koji se prenose komunikacijskim linijama. Za to je potrebno poštivati autorizaciju i zaštitu elektroničkog potpisa, autentifikaciju strana u komunikaciji korištenjem TLS i IPSec protokola, kao i zaštitu samog komunikacijskog kanala, ako je potrebno.

U Rusiji je korištenje kriptografskih sredstava zaštite informacija uglavnom tajno, pa je malo javno dostupnih informacija o ovoj temi.

Metode koje se koriste u kriptografskim sustavima zaštite informacija

Autorizacija podataka i osiguravanje sigurnosti njihovog pravnog značaja tijekom prijenosa ili pohrane. Za to se koriste algoritmi za izradu i provjeru elektroničkog potpisa u skladu s utvrđenim propisima RFC 4357 te se koriste certifikati prema standardu X.509.
Zaštita povjerljivosti podataka i kontrola njihova integriteta. Koristi se asimetrična enkripcija i zaštita od imitacije, odnosno protuakcija zamjeni podataka. U skladu s GOST R 34.12-2015.
Zaštita sistemskog i aplikativnog softvera. Praćenje neovlaštenih promjena ili kvarova.
Upravljanje najvažnijim elementima sustava strogo u skladu s donesenim propisima.
Provjera autentičnosti strana koje razmjenjuju podatke.
Osiguravanje veze pomoću TLS protokola.
Zaštita IP veza korištenjem IKE, ESP, AH protokola.

Metode su detaljno opisane u sljedećim dokumentima: RFC 4357, RFC 4490, RFC 4491.

CIPF mehanizmi za zaštitu informacija

Povjerljivost pohranjenih ili prenesenih informacija zaštićena je algoritmima za šifriranje.
Prilikom uspostavljanja veze identifikacija se provodi putem elektroničkog potpisa kada se koriste tijekom autentifikacije (prema preporuci X.509).
Digitalni tijek rada također je zaštićen elektroničkim potpisima zajedno sa zaštitom od upada ili ponavljanja, dok se kontrolira valjanost ključeva koji se koriste za provjeru elektroničkih potpisa.
Integritet informacija osiguran je digitalnim potpisom.
Korištenje značajki asimetrične enkripcije pomaže u zaštiti vaših podataka. Osim toga, za provjeru integriteta podataka mogu se koristiti funkcije raspršivanja ili algoritmi imitacije zaštite. Međutim, ove metode ne podržavaju atribuciju dokumenta.
Zaštita od ponavljanja događa se kriptografskim funkcijama elektroničkog potpisa za šifriranje ili zaštitu od imitacije. Istodobno, svakoj mrežnoj sesiji dodaje se jedinstveni identifikator, dovoljno dug da isključi njegovu slučajnu podudarnost, a provodi se provjera od strane primatelja.
Zaštita od upada, odnosno od prodora u komunikacije izvana, osigurava se elektroničkim potpisom.
Ostala zaštita - od knjižnih oznaka, virusa, modifikacija operacijskog sustava itd. - osigurava se korištenjem raznih kriptografskih alata, sigurnosnih protokola, antivirusnog softvera i organizacijskih mjera.

Kao što vidite, algoritmi elektroničkog potpisa temeljni su dio zaštite kriptografskih informacija. O njima će biti riječi u nastavku.

Zahtjevi za korištenje CIPF-a

CIPF je usmjeren na zaštitu (provjeru elektroničkog potpisa) otvorenih podataka u različitim informacijskim sustavima opće uporabe i osiguravanje njihove povjerljivosti (provjera elektroničkog potpisa, imitacija zaštite, enkripcija, provjera hash) u korporativnim mrežama.

Za zaštitu osobnih podataka korisnika koriste se osobna sredstva kriptografske zaštite podataka. No, potrebno je istaknuti podatke koji se tiču državne tajne. Prema zakonu, CIPF se ne može koristiti za rad s njim.

Važno: prije instaliranja alata za zaštitu kriptografskih podataka, prvo što trebate učiniti je provjeriti sam softverski paket. Ovo je prvi korak. Obično se integritet instalacijskog paketa provjerava usporedbom kontrolnih zbroja primljenih od proizvođača.

Nakon instalacije trebate odrediti razinu prijetnje, na temelju koje možete odrediti vrste kriptografskih alata za zaštitu informacija potrebnih za korištenje: softver, hardver i hardversko-softver. Također treba imati na umu da je prilikom organiziranja nekih alata za zaštitu kriptografskih informacija potrebno voditi računa o lokaciji sustava.

Klase zaštite

Prema nalogu FSB-a Rusije od 10.7.2014. pod brojem 378, koji regulira korištenje kriptografskih sredstava za zaštitu informacija i osobnih podataka, definirano je šest klasa: KS1, KS2, KS3, KV1, KV2, KA1. Klasa zaštite za pojedini sustav utvrđuje se analizom podataka o modelu uljeza, odnosno procjenom mogućih načina hakiranja sustava. U ovom slučaju, zaštita je izgrađena od softverske i hardverske kriptografske zaštite informacija.

AU (stvarne prijetnje), kao što se može vidjeti iz tablice, su 3 vrste:

Prijetnje prvog tipa povezane su s nedokumentiranim mogućnostima u softveru sustava koji se koristi u informacijskom sustavu.
Prijetnje drugog tipa povezane su s nedokumentiranim mogućnostima u aplikacijskom softveru koji se koristi u informacijskom sustavu.
Svi ostali nazivaju se trećom vrstom prijetnje.

Nedokumentirane mogućnosti su funkcije i svojstva softvera koji nisu opisani u službenoj dokumentaciji ili joj ne odgovaraju. Odnosno, njihova upotreba može povećati rizik od ugrožavanja povjerljivosti ili integriteta informacija.

Radi jasnoće, razmotrimo modele prekršitelja za čije presretanje je potrebna jedna ili druga klasa kriptografskih sredstava zaštite informacija:

KS1 - uljez djeluje izvana, bez pomagača unutar sustava.
KS2 je interni uljez, ali nema pristup CIPF-u.
KS3 je interni uljez koji je korisnik CIPF-a.
KV1 je uljez koji privlači resurse trećih strana, na primjer, stručnjake za kripto-sigurnost.
KV2 je uljez, iza čijeg djelovanja stoji institut ili laboratorij koji se bavi proučavanjem i razvojem kriptografskih alata za sigurnost informacija.
KA1 - posebne službe država.

Dakle, KC1 se može nazvati osnovnom klasom zaštite. Sukladno tome, što je viša klasa zaštite, to je manje stručnjaka koji su je sposobni pružiti. Na primjer, u Rusiji, prema podacima za 2013., bilo je samo 6 organizacija s certifikatom FSB-a i sposobne pružiti zaštitu klase KA1.

Korišteni algoritmi

Razmotrimo glavne algoritme koji se koriste u sredstvima kriptografske zaštite informacija:

GOST R 34.10-2001 i ažurirani GOST R 34.10-2012 - algoritmi za stvaranje i provjeru elektroničkog potpisa.
GOST R 34.11-94 i najnoviji GOST R 34.11-2012 - algoritmi za stvaranje hash funkcija.
GOST 28147-89 i noviji GOST R 34.12-2015 - implementacija algoritama šifriranja i imitacija zaštite podataka.
Dodatni kriptografski algoritmi nalaze se u RFC 4357.

Elektronički potpis

Korištenje sredstva kriptografske zaštite informacija ne može se zamisliti bez uporabe algoritama elektroničkog potpisa koji dobivaju sve veću popularnost.

Elektronički potpis je poseban dio dokumenta nastao kriptografskim transformacijama. Njegov glavni zadatak je identificirati neovlaštene promjene i pripisivanje.

Certifikat elektroničkog potpisa poseban je dokument kojim se dokazuje autentičnost i vlasništvo nad elektroničkim potpisom njegovom vlasniku korištenjem javnog ključa. Certifikat izdaju tijela za certifikaciju.

Vlasnik certifikata elektroničkog potpisa je osoba na čije je ime potvrda registrirana. Povezan je s dva ključa: javnim i privatnim. Privatni ključ vam omogućuje izradu elektroničkog potpisa. Javni ključ je dizajniran za provjeru autentičnosti potpisa putem kriptografske veze s privatnim ključem.

Vrste elektroničkog potpisa

Prema Saveznom zakonu br. 63, elektronički potpis je podijeljen u 3 vrste:

redoviti elektronički potpis;
nekvalificirani elektronički potpis;
kvalificirani elektronički potpis.

Jednostavan elektronički potpis nastaje lozinkom nametnutim za otvaranje i pregled podataka ili sličnim sredstvima koja neizravno potvrđuju vlasnika.

Nekvalificirani digitalni potpis stvara se korištenjem kriptografskih transformacija podataka korištenjem privatnog ključa. Zahvaljujući tome, možete potvrditi osobu koja je potpisala dokument i utvrditi činjenicu da je došlo do neovlaštenih promjena podataka.

Kvalificirani i nekvalificirani potpisi razlikuju se samo po tome što u prvom slučaju potvrdu za elektronički potpis mora izdati tijelo za ovjeravanje koje je ovjerio FSB.

Opseg korištenja elektroničkog potpisa

Donja tablica prikazuje opseg primjene elektroničkog potpisa.

Tehnologije elektroničkog potpisa najaktivnije se koriste u razmjeni dokumenata. U internom dokumentacijskom tijeku elektronički potpis djeluje kao odobrenje dokumenata, odnosno kao osobni potpis ili pečat. U slučaju vanjskog toka dokumenata, prisutnost ES-a je kritična, jer je to pravna potvrda. Također je vrijedno napomenuti da se dokumenti potpisani ES-om mogu pohraniti na neodređeno vrijeme i ne gube svoj pravni značaj zbog čimbenika kao što su izbrisani potpisi, oštećeni papir itd.

Izvještavanje regulatornim tijelima još je jedno područje u kojem se povećava protok elektroničkih dokumenata. Mnoge tvrtke i organizacije već su cijenile praktičnost rada u ovom formatu.

Prema zakonu Ruske Federacije, svaki građanin ima pravo koristiti elektronički potpis prilikom korištenja javnih usluga (na primjer, potpisivanje elektroničke prijave za tijela).

Online trgovanje je još jedno zanimljivo područje u kojem se aktivno koriste elektronički potpisi. To je potvrda činjenice da na dražbi sudjeluje stvarna osoba i njezini se prijedlozi mogu smatrati pouzdanim. Također je važno da svaki ugovor sklopljen uz pomoć ES-a dobije pravnu snagu.

Algoritmi elektroničkog potpisa

Hash pune domene (FDH) i standardi kriptografije javnog ključa (PKCS). Potonji je cijela skupina standardnih algoritama za različite situacije.
DSA i ECDSA su američki standardi elektroničkog potpisa.
GOST R 34.10-2012 je standard za izradu elektroničkih potpisa u Ruskoj Federaciji. Ovaj standard zamijenio je GOST R 34.10-2001, koji je službeno ukinut nakon 31. prosinca 2017.
Euroazijska unija koristi standarde koji su potpuno slični onima u Rusiji.
STB 34.101.45-2013 - Bjeloruski standard za digitalni elektronički potpis.
DSTU 4145-2002 - standard za izradu elektroničkog potpisa u Ukrajini i mnogi drugi.

Također treba napomenuti da algoritmi za izradu elektroničkih potpisa imaju različite svrhe i namjene:

Grupni elektronički potpis.
Jednokratni digitalni potpis.
Pouzdani digitalni potpis.
Kvalificirani i nekvalificirani potpis itd.

Sa stajališta informacijske sigurnosti, kriptografski ključevi su kritični podaci. Ako su ranije, da bi opljačkali tvrtku, zlonamjernici morali ući na njezin teritorij, otvoriti prostore i sefove, sada je dovoljno ukrasti token s kriptografskim ključem i izvršiti prijenos putem internetskog sustava Klijent-Banka. Temelj osiguravanja sigurnosti korištenjem kriptografskih sustava zaštite informacija (CIPS) je očuvanje povjerljivosti kriptografskih ključeva.

Kako osigurati povjerljivost nečega za što ne znate da postoji? Da biste stavili token s ključem u sef, morate znati o postojanju tokena i sefa. Koliko god paradoksalno zvučalo, vrlo malo tvrtki ima ideju o točnom broju ključnih dokumenata koje koriste. To se može dogoditi iz više razloga, na primjer, podcjenjivanje prijetnji informacijskoj sigurnosti, nedostatak dobro uhodanih poslovnih procesa, nedovoljna kvalifikacija osoblja u sigurnosnim pitanjima itd. Ovaj zadatak se obično pamti nakon incidenata kao što je ovaj.

Ovaj članak će opisati prvi korak prema poboljšanju informacijske sigurnosti korištenjem kriptografskih sredstava, odnosno, točnije, razmotrit ćemo jedan od pristupa reviziji kriptografskih alata za zaštitu informacija i kripto ključeva. Pripovijedanje će se odvijati u ime stručnjaka za informacijsku sigurnost, dok ćemo pretpostaviti da se posao izvodi od nule.

Uvjeti i definicije

Na početku članka, kako ne bismo zastrašili nespremnog čitatelja složenim definicijama, naširoko smo koristili pojmove kriptografski ključ ili kriptoključ, sada je vrijeme da poboljšamo svoj konceptualni aparat i uskladimo ga s važećim zakonodavstvom. Ovo je vrlo važan korak jer će učinkovito strukturirati informacije dobivene revizijom.

Kriptografski ključ (kriptoključ)- skup podataka koji omogućuje odabir jedne specifične kriptografske transformacije između svih mogućih u danom kriptografskom sustavu (definicija iz „ružičastih uputa - Naredba FAPSI-a br. 152 od 13. lipnja 2001. godine, u daljnjem tekstu FAPSI 152) .
Ključne informacije- posebno organizirani skup kripto ključeva dizajniranih za provedbu kriptografske zaštite informacija unutar određenog razdoblja [FAPSI 152].
Temeljnu razliku između kripto ključa i informacija o ključu možete razumjeti pomoću sljedećeg primjera. Prilikom organiziranja HTTPS-a generira se par javnog i privatnog ključa, a iz javnog ključa i dodatnih informacija dobiva se certifikat. Dakle, u ovoj shemi kombinacija certifikata i privatnog ključa čine informacije o ključu, a svaki od njih pojedinačno je kripto ključ. Ovdje se možete voditi sljedećim jednostavnim pravilom – krajnji korisnici, kada rade s alatima za kriptografsku zaštitu podataka, koriste informacije o ključu, a kripto ključevi obično koriste alate za kriptografsku zaštitu podataka unutar sebe. Istodobno, važno je razumjeti da se ključna informacija može sastojati od jednog kripto ključa.
Ključni dokumenti- elektronički dokumenti u bilo kojem mediju, kao i dokumenti na papirnatom mediju koji sadrže ključne informacije ograničenog pristupa za kriptografsku transformaciju informacija korištenjem algoritama za kriptografsku transformaciju informacija (kriptografski ključ) u enkripcijska (kriptografska) sredstva. (definicija iz Odluke Vlade broj 313 od 16. travnja 2012. godine, u daljnjem tekstu - PP-313)
Jednostavno rečeno, ključni dokument je ključna informacija snimljena na mediju. Pri analizi ključnih informacija i ključnih dokumenata potrebno je istaknuti ono što se koristi (odnosno za kriptografske transformacije - šifriranje, elektronički potpis i sl.) ključne informacije, a ključni dokumenti koji ih sadrže prenose se zaposlenicima.
Alati za zaštitu kriptografskih informacija (CIPF)- sredstva šifriranja, sredstva imitacije zaštite, sredstva elektroničkog potpisa, sredstva kodiranja, sredstva izrade ključnih dokumenata, ključni dokumenti, sredstva hardverske enkripcije (kriptografska), softverska i hardverska enkripcijska (kriptografska) sredstva. [PP-313]
Kada analizirate ovu definiciju, u njoj možete pronaći prisutnost pojma ključni dokumenti. Termin je dat u Vladinoj Uredbi i nemamo ga pravo mijenjati. Istodobno će se daljnji opis provesti na temelju toga da će samo sredstva za provođenje kriptografskih transformacija biti vezana za CIPF). Ovaj pristup će pojednostaviti reviziju, ali u isto vrijeme neće utjecati na njezinu kvalitetu, budući da ćemo i dalje uzeti u obzir ključne dokumente, ali u našem odjeljku i korištenjem vlastitih metoda.

Metodologija revizije i očekivani rezultati

Glavne značajke revizijske metodologije predložene u ovom članku su postulati da:

niti jedan zaposlenik tvrtke ne može točno odgovoriti na postavljena pitanja tijekom revizije;
postojeći izvori podataka (popisi, registri itd.) su netočni ili loše strukturirani.

Stoga je metodologija predložena u članku svojevrsno rudarenje podataka, tijekom kojeg će se isti podaci izdvojiti iz različitih izvora, a zatim uspoređivati, strukturirati i dorađivati.

Evo glavnih ovisnosti koje će nam pomoći u tome:

Ako postoji alat za zaštitu kriptografskih informacija, tu su i ključne informacije.
Ako postoji elektronički tijek dokumenata (uključujući i druge strane i regulatore), najvjerojatnije koristi elektronički potpis i, kao rezultat, alate za zaštitu kriptografskih podataka i ključne informacije.
Elektronički tijek dokumenata u ovom kontekstu treba shvaćati široko, odnosno uključivat će i izravnu razmjenu pravno značajnih elektroničkih dokumenata i podnošenje izvješća, te rad u platnim ili trgovačkim sustavima i tako dalje. Popis i oblici elektroničkog upravljanja dokumentima određeni su poslovnim procesima tvrtke, kao i važećom zakonskom regulativom.
Ako je zaposlenik uključen u elektroničko upravljanje dokumentima, tada najvjerojatnije ima ključne dokumente.
Prilikom organiziranja elektroničkog tijeka dokumenata sa suradnicima obično se izdaju organizacijski i administrativni dokumenti (nalozi) o imenovanju odgovornih osoba.
Ako se informacije prenose putem Interneta (ili drugih javnih mreža), onda su najvjerojatnije šifrirane. To se prvenstveno odnosi na VPN i razne sustave udaljenog pristupa.
Ako se u mrežnom prometu pronađu protokoli koji promet prenose u šifriranom obliku, tada se koriste alati za zaštitu kriptografskih podataka i ključne informacije.
Ako su se nagodbe sklopile s drugim ugovornim stranama koje su uključene u: isporuku proizvoda za informacijsku sigurnost, telekomunikacijske uređaje, pružanje usluga prijenosa natečenosti, usluge certifikacijskih centara, tada bi se tom interakcijom mogli kupiti alati za zaštitu kriptografskih podataka ili ključni dokumenti.
Ključni dokumenti mogu biti ili na otuđivim medijima (diskete, flash diskovi, tokeni,...), ili snimljeni unutar računala i hardverskih kriptografskih alata za sigurnost informacija.
Kada koristite alate za virtualizaciju, ključni dokumenti mogu se pohraniti unutar virtualnih strojeva i montirati na virtualne strojeve pomoću hipervizora.
Hardverski kriptografski alati za zaštitu informacija mogu se instalirati u poslužiteljske sobe i biti nedostupni za analizu preko mreže.
Neki sustavi za upravljanje elektroničkim dokumentima mogu biti neaktivni ili neaktivni, ali u isto vrijeme sadrže informacije o aktivnom ključu i alate za zaštitu kriptografskih informacija.
Interna regulatorna i organizacijska i administrativna dokumentacija može sadržavati informacije o elektroničkim sustavima upravljanja dokumentima, CIPF-u i ključnim dokumentima.

Za ekstrakciju primarnih informacija, mi ćemo:

intervjuirati zaposlenike;
analizirati dokumentaciju tvrtke, uključujući interne regulatorne i administrativne dokumente, kao i izlazne naloge za plaćanje;
izvršiti vizualnu analizu poslužiteljskih soba i komunikacijskih ormara;
provesti tehničku analizu sadržaja automatiziranih radnih stanica (AWS), poslužitelja i alata za virtualizaciju.

Konkretne mjere ćemo formulirati kasnije, ali za sada ćemo razmotriti konačne podatke koje bismo trebali dobiti kao rezultat revizije:

Popis SKZI:

CIPF model... Na primjer, CIPF Crypto CSP 3.9 ili OpenSSL 1.0.1
Identifikator CIPF instance... Na primjer, serijski, licencni (ili registracijski prema PKZ-2005) SKZI broj
Informacije o certifikatu FSB Rusije za CIPF, uključujući broj i datum početka i završetka valjanosti.
Podaci o mjestu djelovanja SKZI... Na primjer, naziv računala na kojem je instaliran softver SKZI ili naziv tehničkog sredstva ili prostora u kojem je instaliran hardverski SKZI.

Ove informacije će omogućiti:

Upravljajte ranjivostima u sustavima zaštite kriptografskih informacija, odnosno brzo ih otkrijte i popravite.
Pratiti rok važenja certifikata za alate za zaštitu kriptografskih podataka, kao i provjeriti koristi li se certificirani alat za zaštitu kriptografskih podataka u skladu s pravilima utvrđenim dokumentacijom ili ne.
Planirajte trošak zaštite kriptografskih informacija, znajući koliko je već u funkciji i koliko je više konsolidiranih sredstava dostupno.
Generirajte regulatorna izvješća.

Popis ključnih informacija:

Za svaki element popisa bilježimo sljedeće podatke:

Naziv ili identifikator ključnih informacija... Na primjer, "Kvalificirani ključ ES. Serijski broj certifikata je 31: 2D: AF", a identifikator treba odabrati na način da se po njemu može pronaći ključ. Na primjer, tijela za izdavanje certifikata, kada šalju obavijesti, obično identificiraju ključeve prema brojevima certifikata.
Kontrolni centar ključnog sustava (CMC) izdavatelja ovih ključnih informacija. To može biti organizacija koja je izdala ključ, na primjer, certifikacijsko tijelo.
Pojedinac, u čije ime su izdane ključne informacije. Ove se informacije mogu dohvatiti iz CN polja certifikata X.509
Format ključnih informacija... Na primjer, CryptoPRO CIP, Verba-OW CIP, X.509, itd. (ili drugim riječima, za korištenje s kojim je CIP-om namijenjena ova ključna informacija).
Dodjela ključnih informacija... Na primjer, "Sudjelovanje u dražbama na web-mjestu Sberbank AST", "Kvalificirani elektronički potpis za podnošenje izvješća" itd. S tehničke točke gledišta, u ovom polju možete popraviti ograničenja koja su fiksirana poljima proširene upotrebe ključa i drugim X.509 certifikatima.
Početak i kraj valjanosti ključnih informacija.
Postupak ponovnog izdavanja ključnih informacija... Odnosno, znanje o tome što učiniti i kako ponovno izdati ključne informacije. U najmanju ruku, preporučljivo je zabilježiti kontakte službenika CMC-a koji su dali ključne informacije.
Popis informacijskih sustava, usluga ili poslovnih procesa unutar kojih se koriste ključne informacije... Na primjer, "Sustav usluga daljinskog bankarstva Internet klijent-banka".

Ove informacije će omogućiti:

Pratite datume isteka ključnih informacija.
Po potrebi brzo ponovno izdajte ključne informacije. To može biti potrebno i za planirana i za neplanirana ponovna izdanja.
Blokirajte korištenje ključnih informacija nakon otpuštanja zaposlenika kojem su objavljeni.
Istražite incidente u informacijskoj sigurnosti odgovarajući na pitanja: "Tko je imao ključeve za plaćanje?" i tako dalje.

Popis ključnih dokumenata:

Za svaki element popisa bilježimo sljedeće podatke:

Ključne informacije sadržane u ključnom dokumentu.
Nositelj ključnih informacija, na kojem su zabilježene ključne informacije.
Lice odgovoran za sigurnost ključnog dokumenta i povjerljivost ključnih informacija sadržanih u njemu.

Ove informacije će omogućiti:

Ponovno izdati ključne podatke u slučajevima: otpuštanja zaposlenika koji posjeduju ključne dokumente, kao iu slučaju kompromitacije medija.
Osigurajte povjerljivost ključnih informacija popisivanjem nositelja koji ih sadrže.

Plan revizije

Sada je vrijeme da razmotrimo praktične značajke revizije. Učinimo to na primjeru kreditne i financijske organizacije, ili drugim riječima, na primjeru banke. Ovaj primjer nije odabran slučajno. Banke koriste prilično velik broj različitih sustava kriptografske zaštite koji su uključeni u ogroman broj poslovnih procesa, a osim toga, gotovo sve banke imaju licencu FSB-a Rusije za kriptografiju. U nastavku članka bit će prikazan plan revizije kriptografskih alata za zaštitu informacija i kriptoključeva u odnosu na Banku. Istodobno, ovaj se plan može uzeti kao osnova pri provođenju revizije gotovo svake tvrtke. Radi lakše percepcije, plan je podijeljen u faze, koje su zauzvrat presavijene u spolijere.

Faza 1. Prikupljanje podataka od infrastrukturnih odjela tvrtke

№	Akcijski
Izvor - svi zaposlenici tvrtke
1	Svim zaposlenicima tvrtke šaljemo korporativnu poštu sa zahtjevom da informiraju službu informacijske sigurnosti o svim kriptografskim ključevima koje koriste	Primamo e-mailove na temelju kojih formiramo popis ključnih informacija i popis ključnih dokumenata
Izvor - voditelj Službe za informacijske tehnologije
1	Tražimo popis ključnih informacija i ključnih dokumenata	Uz određenu vjerojatnost, IT služba održava takve dokumente, koristit ćemo ih za formiranje i pojašnjavanje popisa ključnih informacija, ključnih dokumenata i alata za zaštitu kriptografskih informacija
2	Zahtjev za popis resursa kriptografskih informacija
3	Zahtijevamo registar softvera instaliranog na poslužiteljima i radnim stanicama	U ovom registru tražimo softverske kriptografske alate i njihove komponente. Na primjer, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, KritoARM itd. Na temelju tih podataka formiramo popis alata za zaštitu kriptografskih informacija.
4	Tražimo popis zaposlenika (vjerojatno tehničke podrške) koji pomažu korisnicima u korištenju alata za zaštitu kriptografskih podataka i ponovnom objavljivanju ključnih informacija.	Od ovih osoba tražimo iste podatke kao i od administratora sustava
Izvor - Administratori sustava usluga informacijske tehnologije
1	Zahtijevamo popis domaćih kripto pristupnika (VIPNET, Continent, S-terra, itd.)	U slučajevima kada tvrtka ne implementira redovite poslovne procese upravljanja informatičkom i informacijskom sigurnošću, takva pitanja mogu pomoći administratorima sustava da upamte postojanje određenog uređaja ili softvera. Te podatke koristimo za dobivanje popisa alata za zaštitu kriptografskih podataka.
2	Tražimo popis domaćih softverskih kriptografskih alata (kriptografski alati za zaštitu informacija MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk,...)
3	Zahtijevamo popis usmjerivača koji implementiraju VPN za: a) komunikacija između ureda društva; b) interakcija s izvođačima i partnerima.
4	Zahtijevamo popis informacijskih usluga objavljenih na Internetu (dostupnih s Interneta). Oni mogu uključivati: a) korporativna e-pošta; b) sustavi za razmjenu trenutnih poruka; c) korporativne web stranice; d) usluge razmjene informacija s partnerima i izvođačima (ekstranet); e) sustavi daljinskog bankarstva (ako je tvrtka Banka); f) sustavi daljinskog pristupa mreži poduzeća. Kako bismo provjerili potpunost danih informacija, provjeravamo ih prema popisu pravila prosljeđivanja portova za granične vatrozide.	Analizirajući primljene informacije, s velikom vjerojatnošću, možete pronaći korištenje kriptografskih alata za zaštitu informacija i kripto ključeva. Dobivene podatke koristimo za formiranje popisa alata za zaštitu kriptografskih informacija i ključnih informacija.
5	Zahtijevamo popis informacijskih sustava koji se koriste za izvještavanje (Taxcom, Kontur, itd.)	Ovi sustavi koriste ključeve kvalificiranog elektroničkog potpisa i SKZI. Putem ove liste formiramo popis alata za kriptografsku zaštitu podataka, popis ključnih informacija, a također doznajemo zaposlenike koji koriste te sustave za formiranje popisa ključnih dokumenata.
6	Zahtijevamo popis internih sustava za elektroničko upravljanje dokumentima (Lotus, DIRECTUM, 1C: Upravljanje dokumentima itd.), kao i popis njihovih korisnika.	U okviru internih sustava elektroničkog upravljanja dokumentima mogu se naići na ključeve elektroničkog potpisa. Na temelju dobivenih informacija formiramo popis ključnih informacija i popis ključnih dokumenata.
7	Tražimo popis internih certifikacijskih centara.	Sredstva koja se koriste za organizaciju certifikacijskih centara evidentirana su na popisu alata za zaštitu kriptografskih podataka. U budućnosti ćemo analizirati sadržaj baza podataka certifikacijskih centara kako bismo identificirali ključne informacije.
8	Tražimo informacije o korištenju tehnologija: IEEE 802.1x, WiFiWPA2 Enterprise i IP video nadzorni sustavi	U slučaju korištenja ovih tehnologija možemo pronaći ključne dokumente u uključenim uređajima.
Izvor - voditelj ljudskih potencijala
1	Molimo opišite proces zapošljavanja i otpuštanja zaposlenika. Fokusiramo se na pitanje tko uzima ključne dokumente od odlaska radnika	Analiziramo dokumente (bypass sheets) na prisutnost informacijskih sustava u kojima se može koristiti kriptografski sustav zaštite informacija.

Faza 2. Prikupljanje podataka iz poslovnih jedinica tvrtke (na primjeru Banke)

№	Akcijski	Očekivani učinak i upotreba
Izvor - voditelj službe za namirenje (korespondentski odnosi)
1	Navedite shemu za organiziranje interakcije s platnim sustavom Banke Rusije. To će posebno biti relevantno za banke koje imaju razvijenu mrežu poslovnica u kojoj podružnice mogu izravno povezati Središnju banku s platnim sustavom.	Na temelju zaprimljenih podataka utvrđujemo lokaciju pristupnika plaćanja (AWP KBR, UTA) i popis uključenih korisnika. Dobivene podatke koristimo za formiranje popisa alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Tražimo popis banaka s kojima su uspostavljeni izravni korespondentni odnosi, a također tražimo da se kaže tko je uključen u obavljanje prijenosa i koja se tehnička sredstva koriste.
3	Zahtijevamo popis platnih sustava u kojima Banka sudjeluje (SWIFT, VISA, MasterCard, NSPK, itd.), kao i lokaciju terminala za komunikaciju	Isto kao i za platni sustav Banke Rusije
Izvor - Voditelj Sektora zaduženog za pružanje usluga daljinskog bankarstva
1	Tražimo popis sustava daljinskog bankarstva.	U tim sustavima analiziramo korištenje kriptografskih alata za zaštitu informacija i ključnih informacija. Na temelju primljenih podataka formiramo popis alata za zaštitu kriptografskih informacija te ključnih informacija i ključnih dokumenata.
Izvor - Voditelj odjela zaduženog za funkcioniranje obrade platnih kartica
1	Upitajte HSM registar	Na temelju dobivenih informacija formiramo popis alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Zahtjev za popis službenika sigurnosti
4	Traženje informacija o komponentama LMK HSM
5	Zahtijevamo informacije o organizaciji sustava kao što je 3D-Secure i organizaciji personalizacije platnih kartica
Izvor - Voditelji odjela koji obavljaju poslove riznice i depozitara
1	Popis banaka s kojima su uspostavljeni korespondentni odnosi i koje sudjeluju u međubankovnom kreditiranju.	Dobivene informacije koristimo za pojašnjenje prethodno primljenih podataka od službe za namiru, kao i za bilježenje informacija o interakciji s burzama i depozitarima. Na temelju primljenih informacija formiramo popis alata za zaštitu kriptografskih informacija i ključnih informacija.
2	Popis burzi i specijaliziranih depozitara s kojima Banka radi
Izvor - voditelji službi za financijski nadzor i odjela odgovorni za podnošenje izvješća Banci Rusije
1	Tražimo informacije o tome kako šalju informacije i primaju informacije od Središnje banke. Popis uključenih osoba i tehničkih sredstava.	Informacijska interakcija s Bankom Rusije strogo je regulirana relevantnim dokumentima, na primjer, 2332-U, 321-I i mnogim drugima, provjeravamo usklađenost s tim dokumentima i formiramo popise alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
Izvor - glavni računovođa i računovođe koji plaćaju račune za interne potrebe banke
1	Tražimo informacije o načinu pripreme i podnošenja izvješća poreznim inspekcijama i Banci Rusije	Pojašnjavamo prethodno dobivene podatke
2	Zahtijevamo registar platnih dokumenata za plaćanje internih potreba banke	U ovom registru tražit ćemo dokumente gdje: 1) Certifikacijski centri, specijalizirani telekomunikacijski operateri, proizvođači kriptografskih alata za zaštitu informacija, dobavljači telekomunikacijske opreme navedeni su kao primatelji plaćanja. Imena tih tvrtki mogu se dobiti iz Registra certificiranih sustava kriptografske zaštite informacija FSB Rusije, popisa akreditiranih certifikacijskih centara Ministarstva telekomunikacija i masovnih komunikacija i drugih izvora. 2) kao dešifriranje plaćanja prisutne su riječi: "CIPF", "potpis", "token", "ključ", "BKI" itd.
Izvor - voditelji odjela za neplaćene obveze i upravljanje rizicima
1	Zahtijevamo popis kreditnih ureda i agencija za naplatu s kojima Banka surađuje.	Zajedno s IT uslugom analiziramo dobivene podatke radi pojašnjenja organizacije upravljanja elektroničkim dokumentima, na temelju čega pojašnjavamo popise alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
Izvor - voditelji službi za upravljanje dokumentima, unutarnje kontrole i internu reviziju
1	Zahtijevamo registar internih ustrojstvenih i administrativnih dokumenata (naloga).	U ovim dokumentima tražimo dokumente koji se odnose na kriptografski sustav zaštite informacija. Da bismo to učinili, analiziramo prisutnost ključnih riječi "sigurnost", "odgovorna osoba", "administrator", "elektronički potpis", "ES", "EDS", "EDO", "ASP", "SKZI" i njihove izvedenice. Zatim identificiramo popis zaposlenika Banke koji je zabilježen u ovim dokumentima. Obavljamo razgovore sa zaposlenicima na temu njihovog korištenja kripto-alata. Primljene informacije odražavamo na popisima alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Zahtijevamo popise ugovora s drugim ugovornim stranama	Pokušavamo identificirati ugovore o elektroničkom upravljanju dokumentima, kao i ugovore s tvrtkama koje isporučuju alate za informacijsku sigurnost ili pružaju usluge u ovom području, kao i tvrtke koje pružaju usluge certifikacijskih centara i usluge podnošenja izvješća putem interneta.
3	Analiziramo tehnologiju pohranjivanja dokumenata dana u elektroničkom obliku	Prilikom implementacije pohrane dokumenata dana u elektroničkom obliku, potrebni su alati za kriptografsku zaštitu informacija

Faza 3. Tehnička revizija

№	Akcijski	Očekivani učinak i upotreba
1	Vršimo tehničku inventuru softvera instaliranog na računalima. Za to koristimo: · Analitičke sposobnosti korporativnih antivirusnih sustava (na primjer, Kaspersky Anti-Virus može izgraditi takav registar). · WMI skripte za prozivanje Windows računala; · Mogućnosti paket menadžera za polling * nix sustave; · Specijalizirani softver za inventar.	Među instaliranim softverom tražimo softver SKZI, drajvere za hardver SKZI i ključeve. Na temelju dobivenih informacija ažuriramo popis CIPF-ova.
2	Ključne dokumente tražimo na poslužiteljima i radnim stanicama. Za ovo · Logon-skripte ispituju AWP u domeni za prisutnost certifikata s privatnim ključevima u korisničkim profilima i računalnim profilima. Na svim računalima, datotečnim poslužiteljima, hipervizorima tražimo datoteke s ekstenzijama: crt, cer, key, pfx, p12, pem, pse, jks itd. · Na hipervizorima virtualizacijskih sustava tražimo montirane diskete i slike disketa.	Vrlo često se ključni dokumenti prezentiraju u obliku spremnika ključeva datoteka, kao i spremnika pohranjenih u registrima računala sa sustavom Windows. Pronađene ključne dokumente bilježimo u popis ključnih dokumenata, a ključne podatke sadržane u njima u popis ključnih informacija.
3	Analiziramo sadržaj baza podataka certifikacijskih centara	Baze podataka certifikacijskih tijela obično sadrže podatke o certifikatima koje su ta tijela izdala. Primljene podatke unosimo u popis ključnih informacija i popis ključnih dokumenata.
4	Vršimo vizualni pregled poslužiteljskih prostorija i ormara za ožičenje, tražimo alate za kriptografsku zaštitu informacija i nosače hardverskih ključeva (tokeni, diskovi)	U nekim slučajevima nemoguće je provesti popis alata za zaštitu kriptografskih informacija i ključnih dokumenata putem mreže. Sustavi mogu biti na izoliranim mrežnim segmentima ili uopće nemaju mrežne veze. Da bismo to učinili, provodimo vizualni pregled u kojem se utvrđuju nazivi i namjena sve opreme koja se nalazi u poslužiteljskim sobama. Primljene podatke unosimo u popis alata za zaštitu kriptografskih podataka i ključnih dokumenata.
5	Analiziramo mrežni promet kako bismo identificirali tokove informacija korištenjem šifrirane razmjene	Šifrirani protokoli - HTTPS, SSH, itd. omogućit će nam da identificiramo mrežne čvorove na kojima se izvode kriptografske transformacije, te kao rezultat sadrže alate za zaštitu kriptografskih informacija i ključne dokumente.

Zaključak

U ovom članku ispitali smo teoriju i praksu revizije kriptografskih alata za zaštitu informacija i kripto ključeva. Kao što ste vidjeli, ovaj postupak je prilično kompliciran i dugotrajan, ali ako mu se pravilno pristupi, sasvim je izvediv. Nadamo se da će vam ovaj članak pomoći u stvarnom životu. Hvala vam na pažnji, čekamo vaše komentare.

Oznake: Dodaj oznake

Metode kriptografske sigurnosti informacija

Kriptografska transformacija je transformacija informacija temeljena na određenom algoritmu koji ovisi o promjenjivom parametru (obično se zove tajni ključ), a ima svojstvo nemogućnosti povratka izvorne informacije iz transformirane, bez poznavanja efektivnog ključa, sa složenošću manjom od unaprijed određene.

Glavna prednost kriptografskih metoda je da pružaju visoku zajamčenu sigurnost, koja se može izračunati i izraziti u numeričkom obliku (prosječan broj operacija ili vrijeme potrebno za otkrivanje šifriranih informacija ili izračunavanje ključeva).

Glavni nedostaci kriptografskih metoda uključuju:

Značajna potrošnja resursa (vrijeme, performanse procesora) za izvođenje kriptografskih transformacija informacija;
... poteškoće u dijeljenju šifriranih (potpisanih) informacija koje se odnose na upravljanje ključevima (generiranje, distribucija, itd.);
... visoki zahtjevi za sigurnost privatnih ključeva i zaštitu javnih ključeva od zamjene.

Kriptografija je podijeljena u dvije klase: kriptografija sa simetričnim ključem i kriptografija s javnim ključem.

Kriptografija simetričnog ključa
U kriptografiji sa simetričnim ključem (klasična kriptografija), pretplatnici koriste isti (dijeljeni) ključ (tajni element) i za šifriranje i za dešifriranje podataka.

Treba istaknuti sljedeće prednosti kriptografije simetričnog ključa:
... relativno visoke performanse algoritama;
... visoka kriptografska snaga algoritama po jedinici duljine ključa.

Nedostaci kriptografije simetričnog ključa uključuju:
... potreba za korištenjem složenog mehanizma distribucije ključeva;
... tehnološke poteškoće u osiguravanju neporicanja.

Kriptografija javnog ključa

Za rješavanje problema distribucije ključeva i digitalnog potpisa korištene su ideje asimetrije transformacija i otvorene distribucije ključeva Diffie i Hellman. Kao rezultat toga, stvorena je kriptografija s javnim ključem, koja ne koristi jednu tajnu, već par ključeva: javni (javni) ključ i tajni (privatni, privatni) ključ poznati samo jednoj sugovornici. Za razliku od privatnog ključa, koji se mora čuvati u tajnosti, javni ključ se može javno distribuirati. Slika 1 prikazuje dva svojstva sustava javnih ključeva koji omogućuju generiranje šifriranih i provjerenih poruka.

Dva važna svojstva kriptografije javnog ključa

Slika 1. Dva svojstva kriptografije javnog ključa

Shema šifriranja podataka korištenjem javnog ključa prikazana je na slici 6. i sastoji se od dvije faze. Na prvom od njih, javni ključevi se razmjenjuju preko neklasificiranog kanala. U tom slučaju potrebno je osigurati vjerodostojnost prijenosa ključnih informacija. U drugoj fazi, naime, implementira se enkripcija poruke u kojoj pošiljatelj šifrira poruku primateljevim javnim ključem.

Šifriranu datoteku može čitati samo vlasnik privatnog ključa, t.j. primatelja. Shema dešifriranja primatelja za to koristi primateljev tajni ključ.

Šifriranje

Slika 2. Shema šifriranja u kriptografiji s javnim ključem.

Implementacija EDS sheme povezana je s izračunom hash funkcije (digest) podataka, što je jedinstveni broj dobiven iz izvornih podataka komprimiranjem (preklapanjem) pomoću složenog, ali dobro poznatog algoritma. Hash funkcija je jednosmjerna funkcija, t.j. hash vrijednost se ne može koristiti za oporavak izvornih podataka. Hash funkcija je osjetljiva na sve vrste oštećenja podataka. Osim toga, vrlo je teško pronaći dva skupa podataka koji imaju istu hash vrijednost.

Generacija EDS-a s hashiranjem
Shema za generiranje ED potpisa od strane pošiljatelja uključuje izračunavanje ED hash funkcije i šifriranje ove vrijednosti pomoću tajnog ključa pošiljatelja. Rezultat enkripcije je vrijednost EDS-a EDS-a (atribut EDS-a) koji se zajedno sa samim EDS-om šalje primatelju. U tom slučaju, primatelju poruke najprije se mora dati javni ključ pošiljatelja poruke.

Slika 3. EDS shema u kriptografiji s javnim ključem.

Shema EDS provjere (verifikacije) koju provodi primatelj poruke sastoji se od sljedećih faza. Na prvom od njih, EDS blok se dešifrira pomoću javnog ključa pošiljatelja. Zatim se izračunava hash funkcija ED-a. Rezultat izračuna se uspoređuje s rezultatom dešifriranja EDS bloka. U slučaju podudaranja, donosi se odluka o usklađenosti EDS-a s ED-om. Nepodudarnost između rezultata dešifriranja i rezultata izračunavanja ED hash funkcije može se objasniti sljedećim razlozima:

U procesu prijenosa preko komunikacijskog kanala izgubljen je integritet ED-a;
... pri generiranju EDS-a korišten je pogrešan (lažni) tajni ključ;
... prilikom provjere EDS-a korišten je pogrešan javni ključ (u procesu prijenosa komunikacijskim kanalom ili tijekom njegovog daljnjeg pohranjivanja javni ključ je modificiran ili promijenjen).

Implementacija kriptografskih algoritama s javnim ključevima (u usporedbi sa simetričnim algoritmima) zahtijeva puno procesorskog vremena. Stoga se za rješavanje problema distribucije ključeva i digitalnog potpisa obično koristi kriptografija s javnim ključem, a za šifriranje se koristi simetrična kriptografija. Dobro poznata kombinirana shema šifriranja kombinira visoku sigurnost kriptosustava s javnim ključem s prednostima velike brzine simetričnih kriptosustava. U ovoj shemi se za enkripciju koristi nasumično generirani simetrični (sesijski) ključ, koji se zauzvrat šifrira pomoću otvorenog kriptosustava za tajni prijenos preko kanala na početku komunikacijske sesije.

Kombinirana metoda

Slika 4 Kombinirana shema šifriranja.

Povjerenje javnog ključa i digitalni certifikati
Središnje pitanje sheme distribucije javnog ključa je pitanje povjerenja u primljeni javni ključ partnera, koji se može mijenjati ili mijenjati tijekom prijenosa ili pohrane.

Za široku klasu praktičnih sustava (sustavi elektroničkog upravljanja dokumentima, sustavi klijent-banka, sustavi međubankovne elektroničke namire), u kojima je moguć osobni sastanak partnera prije početka razmjene elektroničkih dokumenata, ovaj zadatak ima relativno jednostavno rješenje - međusobno ovjeravanje javnih ključeva.

Ovaj postupak se sastoji u tome da svaka strana na osobnom sastanku ovjerava potpisom ovlaštene osobe i pečatom na papirnatom dokumentu - ispis sadržaja javnog ključa druge strane. Ovaj papirnati certifikat je, prvo, obveza strane da koristi ovaj ključ za provjeru potpisa na dolaznim porukama, i, drugo, daje pravni značaj interakcije. Doista, razmatrani papirnati certifikati omogućuju nedvosmislenu identifikaciju prevaranta među dva partnera, ako jedan od njih želi promijeniti ključeve.

Dakle, za provedbu pravno značajne elektroničke interakcije između dviju strana potrebno je sklopiti ugovor o razmjeni potvrda. Certifikat je dokument koji povezuje osobne podatke vlasnika i njegov javni ključ. U papirnatom obliku mora sadržavati svojeručne potpise ovlaštenih osoba i pečate.

U sustavima u kojima ne postoji mogućnost preliminarnog osobnog kontakta partnera, potrebno je koristiti digitalne certifikate izdane i ovjerene digitalnim potpisom provjerenog posrednika – certifikacijskog ili certifikacijskog centra.

Interakcija klijenata s Certifikacijskim centrom
U preliminarnoj fazi, svaki od partnera osobno posjećuje Centar za certifikaciju (CA) i dobiva osobni certifikat - svojevrsni elektronički analog građanske putovnice.

Slika 5 Certifikat x.509.

Nakon posjete CA, svaki od partnera postaje vlasnik javnog ključa CA. CA javni ključ omogućuje svom vlasniku provjeru autentičnosti javnog ključa partnera provjeravanjem autentičnosti EDS-a certifikacijskog tijela pod certifikatom javnog ključa partnera.

U skladu sa zakonom "O EDS-u", digitalni certifikat sadrži sljedeće podatke:

Naziv i detalji ključnog centra za certifikaciju (središnje certifikacijsko tijelo, certifikacijski centar);
... Potvrda da je potvrda izdana u Ukrajini;
... Jedinstveni registarski broj certifikata ključa;
... Osnovni podaci (detalji) pretplatnika - vlasnika privatnog (javnog) ključa;
... Datum i vrijeme početka i isteka certifikata;
... Javni ključ;
... Naziv kriptografskog algoritma koji koristi vlasnik javnog ključa;
... Informacije o ograničenju korištenja potpisa;
... Ojačani certifikat ključa, osim obveznih podataka sadržanih u certifikatu ključa, mora imati i predznak ojačanog certifikata;
... Ostali podaci mogu se unijeti u poboljšani certifikat ključa na zahtjev vlasnika.

Ovaj digitalni certifikat potpisan je privatnim ključem CA, tako da svatko s CA javnim ključem može provjeriti njegovu autentičnost. Dakle, korištenje digitalnog certifikata pretpostavlja sljedeću shemu elektroničke interakcije između partnera. Jedan od partnera šalje drugome svoj vlastiti certifikat primljen od CA i poruku potpisanu EDS-om. Primatelj poruke obavlja provjeru autentičnosti certifikata ravnopravnog korisnika, što uključuje:

Provjera povjerenja u izdavatelja potvrde i njezinog roka valjanosti;
... provjeru EDS-a izdavatelja prema certifikatu;
... provjera opoziva certifikata.

Ako certifikat partnera nije izgubio valjanost, a EDS se koristi u odnosima u kojima ima pravni značaj, iz certifikata se izdvaja javni ključ partnera. Na temelju ovog javnog ključa partnerov EDS može se verificirati putem elektroničkog dokumenta (ED).
Važno je napomenuti da je, sukladno zakonu "O EDS-u", potvrda vjerodostojnosti EDS-a u EDS-u pozitivan rezultat provjere odgovarajućim certificiranim EDS alatom korištenjem certifikata ključa potpisa.

CA, osiguravajući sigurnost interakcije između partnera, obavlja sljedeće funkcije:

Registrira EDS ključeve;
... izrađuje, na zahtjev korisnika, privatne i javne EDS ključeve;
... suspendira i obnavlja certifikate ključa potpisa, kao i opoziva ih;
... vodi registar certifikata ključeva potpisa, osigurava relevantnost registra i mogućnost nesmetanog pristupa registru korisnika;
... izdaje potvrde o ključevima potpisa na papiru iu obliku elektroničkih dokumenata s podacima o njihovoj valjanosti;
... provodi, na zahtjev korisnika, potvrdu vjerodostojnosti (valjanosti) potpisa u ED-u u odnosu na EDS koji je on registrirao.

CA stvara uvjete za sigurnu pohranu privatnih ključeva na skupoj i dobro zaštićenoj opremi, kao i uvjete za administriranje pristupa privatnim ključevima.

Registracija svakog digitalnog potpisa provodi se na temelju zahtjeva koji sadrži podatke potrebne za izdavanje potvrde, kao i podatke potrebne za identifikaciju vlasnika digitalnog potpisa i prijenos poruka na njega. Zahtjev je potpisan svojeručnim potpisom nositelja EDS-a, a podaci sadržani u njemu potvrđuju se predočenjem relevantnih dokumenata. Tijekom registracije provjerava se jedinstvenost javnih EDS ključeva u CA registru i arhivi.

Prilikom registracije kod CA na papiru izdaju se dva primjerka certifikata ključa potpisa koji su ovjereni svojeručnim potpisima nositelja EDS-a i ovlaštene osobe certifikacijskog centra (CA) te pečatom certifikacijskog centra. Jedan primjerak izdaje se nositelju EDS-a, drugi ostaje u CA.

U stvarnim sustavima, svaki partner može koristiti više certifikata koje izdaju različiti CA-ovi. Različiti CA-ovi mogu se kombinirati pomoću infrastrukture javnog ključa ili PKI-ja (infrastruktura javnog ključa). CA unutar PKI-ja ne osigurava samo pohranu certifikata, već i upravljanje njima (izdavanje, opoziv, provjera povjerenja). Najčešći PKI model je hijerarhijski. Temeljna prednost ovog modela je u tome što provjera valjanosti certifikata zahtijeva samo relativno mali broj korijenskih CA-ova za povjerenje. Istodobno, ovaj model dopušta različit broj CA-ova koji izdaju certifikate.

Uvjeti i definicije

Kriptografski ključ (kriptoključ)- skup podataka koji omogućuje odabir jedne specifične kriptografske transformacije između svih mogućih u danom kriptografskom sustavu (definicija iz „ružičastih uputa - Naredba FAPSI-a br. 152 od 13. lipnja 2001. godine, u daljnjem tekstu FAPSI 152) .
Ključne informacije- posebno organizirani skup kripto ključeva dizajniranih za provedbu kriptografske zaštite informacija unutar određenog razdoblja [FAPSI 152].
Temeljnu razliku između kripto ključa i informacija o ključu možete razumjeti pomoću sljedećeg primjera. Prilikom organiziranja HTTPS-a generira se par javnog i privatnog ključa, a iz javnog ključa i dodatnih informacija dobiva se certifikat. Dakle, u ovoj shemi kombinacija certifikata i privatnog ključa čine informacije o ključu, a svaki od njih pojedinačno je kripto ključ. Ovdje se možete voditi sljedećim jednostavnim pravilom – krajnji korisnici, kada rade s alatima za kriptografsku zaštitu podataka, koriste informacije o ključu, a kripto ključevi obično koriste alate za kriptografsku zaštitu podataka unutar sebe. Istodobno, važno je razumjeti da se ključna informacija može sastojati od jednog kripto ključa.
Ključni dokumenti- elektronički dokumenti u bilo kojem mediju, kao i dokumenti na papirnatom mediju koji sadrže ključne informacije ograničenog pristupa za kriptografsku transformaciju informacija korištenjem algoritama za kriptografsku transformaciju informacija (kriptografski ključ) u enkripcijska (kriptografska) sredstva. (definicija iz Odluke Vlade broj 313 od 16. travnja 2012. godine, u daljnjem tekstu - PP-313)
Jednostavno rečeno, ključni dokument je ključna informacija snimljena na mediju. Pri analizi ključnih informacija i ključnih dokumenata potrebno je istaknuti ono što se koristi (odnosno za kriptografske transformacije - šifriranje, elektronički potpis i sl.) ključne informacije, a ključni dokumenti koji ih sadrže prenose se zaposlenicima.
Alati za zaštitu kriptografskih informacija (CIPF)- sredstva šifriranja, sredstva imitacije zaštite, sredstva elektroničkog potpisa, sredstva kodiranja, sredstva izrade ključnih dokumenata, ključni dokumenti, sredstva hardverske enkripcije (kriptografska), softverska i hardverska enkripcijska (kriptografska) sredstva. [PP-313]
Kada analizirate ovu definiciju, u njoj možete pronaći prisutnost pojma ključni dokumenti. Termin je dat u Vladinoj Uredbi i nemamo ga pravo mijenjati. Istodobno će se daljnji opis provesti na temelju toga da će samo sredstva za provođenje kriptografskih transformacija biti vezana za CIPF). Ovaj pristup će pojednostaviti reviziju, ali u isto vrijeme neće utjecati na njezinu kvalitetu, budući da ćemo i dalje uzeti u obzir ključne dokumente, ali u našem odjeljku i korištenjem vlastitih metoda.

Metodologija revizije i očekivani rezultati

Glavne značajke revizijske metodologije predložene u ovom članku su postulati da:

niti jedan zaposlenik tvrtke ne može točno odgovoriti na postavljena pitanja tijekom revizije;
postojeći izvori podataka (popisi, registri itd.) su netočni ili loše strukturirani.

Stoga je metodologija predložena u članku svojevrsno rudarenje podataka, tijekom kojeg će se isti podaci izdvojiti iz različitih izvora, a zatim uspoređivati, strukturirati i dorađivati.

Evo glavnih ovisnosti koje će nam pomoći u tome:

Ako postoji alat za zaštitu kriptografskih informacija, tu su i ključne informacije.
Ako postoji elektronički tijek dokumenata (uključujući i druge strane i regulatore), najvjerojatnije koristi elektronički potpis i, kao rezultat, alate za zaštitu kriptografskih podataka i ključne informacije.
Elektronički tijek dokumenata u ovom kontekstu treba shvaćati široko, odnosno uključivat će i izravnu razmjenu pravno značajnih elektroničkih dokumenata i podnošenje izvješća, te rad u platnim ili trgovačkim sustavima i tako dalje. Popis i oblici elektroničkog upravljanja dokumentima određeni su poslovnim procesima tvrtke, kao i važećom zakonskom regulativom.
Ako je zaposlenik uključen u elektroničko upravljanje dokumentima, tada najvjerojatnije ima ključne dokumente.
Prilikom organiziranja elektroničkog tijeka dokumenata sa suradnicima obično se izdaju organizacijski i administrativni dokumenti (nalozi) o imenovanju odgovornih osoba.
Ako se informacije prenose putem Interneta (ili drugih javnih mreža), onda su najvjerojatnije šifrirane. To se prvenstveno odnosi na VPN i razne sustave udaljenog pristupa.
Ako se u mrežnom prometu pronađu protokoli koji promet prenose u šifriranom obliku, tada se koriste alati za zaštitu kriptografskih podataka i ključne informacije.
Ako su se nagodbe sklopile s drugim ugovornim stranama koje su uključene u: isporuku proizvoda za informacijsku sigurnost, telekomunikacijske uređaje, pružanje usluga prijenosa natečenosti, usluge certifikacijskih centara, tada bi se tom interakcijom mogli kupiti alati za zaštitu kriptografskih podataka ili ključni dokumenti.
Ključni dokumenti mogu biti ili na otuđivim medijima (diskete, flash diskovi, tokeni,...), ili snimljeni unutar računala i hardverskih kriptografskih alata za sigurnost informacija.
Kada koristite alate za virtualizaciju, ključni dokumenti mogu se pohraniti unutar virtualnih strojeva i montirati na virtualne strojeve pomoću hipervizora.
Hardverski kriptografski alati za zaštitu informacija mogu se instalirati u poslužiteljske sobe i biti nedostupni za analizu preko mreže.
Neki sustavi za upravljanje elektroničkim dokumentima mogu biti neaktivni ili neaktivni, ali u isto vrijeme sadrže informacije o aktivnom ključu i alate za zaštitu kriptografskih informacija.
Interna regulatorna i organizacijska i administrativna dokumentacija može sadržavati informacije o elektroničkim sustavima upravljanja dokumentima, CIPF-u i ključnim dokumentima.

Za ekstrakciju primarnih informacija, mi ćemo:

intervjuirati zaposlenike;
analizirati dokumentaciju tvrtke, uključujući interne regulatorne i administrativne dokumente, kao i izlazne naloge za plaćanje;
izvršiti vizualnu analizu poslužiteljskih soba i komunikacijskih ormara;
provesti tehničku analizu sadržaja automatiziranih radnih stanica (AWS), poslužitelja i alata za virtualizaciju.

Konkretne mjere ćemo formulirati kasnije, ali za sada ćemo razmotriti konačne podatke koje bismo trebali dobiti kao rezultat revizije:

Popis SKZI:

CIPF model... Na primjer, CIPF Crypto CSP 3.9 ili OpenSSL 1.0.1
Identifikator CIPF instance... Na primjer, serijski, licencni (ili registracijski prema PKZ-2005) SKZI broj
Informacije o certifikatu FSB Rusije za CIPF, uključujući broj i datum početka i završetka valjanosti.
Podaci o mjestu djelovanja SKZI... Na primjer, naziv računala na kojem je instaliran softver SKZI ili naziv tehničkog sredstva ili prostora u kojem je instaliran hardverski SKZI.

Ove informacije će omogućiti:

Upravljajte ranjivostima u sustavima zaštite kriptografskih informacija, odnosno brzo ih otkrijte i popravite.
Pratiti rok važenja certifikata za alate za zaštitu kriptografskih podataka, kao i provjeriti koristi li se certificirani alat za zaštitu kriptografskih podataka u skladu s pravilima utvrđenim dokumentacijom ili ne.
Planirajte trošak zaštite kriptografskih informacija, znajući koliko je već u funkciji i koliko je više konsolidiranih sredstava dostupno.
Generirajte regulatorna izvješća.

Popis ključnih informacija:

Za svaki element popisa bilježimo sljedeće podatke:

Naziv ili identifikator ključnih informacija... Na primjer, "Kvalificirani ključ ES. Serijski broj certifikata je 31: 2D: AF", a identifikator treba odabrati na način da se po njemu može pronaći ključ. Na primjer, tijela za izdavanje certifikata, kada šalju obavijesti, obično identificiraju ključeve prema brojevima certifikata.
Kontrolni centar ključnog sustava (CMC) izdavatelja ovih ključnih informacija. To može biti organizacija koja je izdala ključ, na primjer, certifikacijsko tijelo.
Pojedinac, u čije ime su izdane ključne informacije. Ove se informacije mogu dohvatiti iz CN polja certifikata X.509
Format ključnih informacija... Na primjer, CryptoPRO CIP, Verba-OW CIP, X.509, itd. (ili drugim riječima, za korištenje s kojim je CIP-om namijenjena ova ključna informacija).
Dodjela ključnih informacija... Na primjer, "Sudjelovanje u dražbama na web-mjestu Sberbank AST", "Kvalificirani elektronički potpis za podnošenje izvješća" itd. S tehničke točke gledišta, u ovom polju možete popraviti ograničenja koja su fiksirana poljima proširene upotrebe ključa i drugim X.509 certifikatima.
Početak i kraj valjanosti ključnih informacija.
Postupak ponovnog izdavanja ključnih informacija... Odnosno, znanje o tome što učiniti i kako ponovno izdati ključne informacije. U najmanju ruku, preporučljivo je zabilježiti kontakte službenika CMC-a koji su dali ključne informacije.
Popis informacijskih sustava, usluga ili poslovnih procesa unutar kojih se koriste ključne informacije... Na primjer, "Sustav usluga daljinskog bankarstva Internet klijent-banka".

Ove informacije će omogućiti:

Pratite datume isteka ključnih informacija.
Po potrebi brzo ponovno izdajte ključne informacije. To može biti potrebno i za planirana i za neplanirana ponovna izdanja.
Blokirajte korištenje ključnih informacija nakon otpuštanja zaposlenika kojem su objavljeni.
Istražite incidente u informacijskoj sigurnosti odgovarajući na pitanja: "Tko je imao ključeve za plaćanje?" i tako dalje.

Popis ključnih dokumenata:

Za svaki element popisa bilježimo sljedeće podatke:

Ključne informacije sadržane u ključnom dokumentu.
Nositelj ključnih informacija, na kojem su zabilježene ključne informacije.
Lice odgovoran za sigurnost ključnog dokumenta i povjerljivost ključnih informacija sadržanih u njemu.

Ove informacije će omogućiti:

Ponovno izdati ključne podatke u slučajevima: otpuštanja zaposlenika koji posjeduju ključne dokumente, kao iu slučaju kompromitacije medija.
Osigurajte povjerljivost ključnih informacija popisivanjem nositelja koji ih sadrže.

Plan revizije

Faza 1. Prikupljanje podataka od infrastrukturnih odjela tvrtke

№	Akcijski
Izvor - svi zaposlenici tvrtke
1	Svim zaposlenicima tvrtke šaljemo korporativnu poštu sa zahtjevom da informiraju službu informacijske sigurnosti o svim kriptografskim ključevima koje koriste	Primamo e-mailove na temelju kojih formiramo popis ključnih informacija i popis ključnih dokumenata
Izvor - voditelj Službe za informacijske tehnologije
1	Tražimo popis ključnih informacija i ključnih dokumenata	Uz određenu vjerojatnost, IT služba održava takve dokumente, koristit ćemo ih za formiranje i pojašnjavanje popisa ključnih informacija, ključnih dokumenata i alata za zaštitu kriptografskih informacija
2	Zahtjev za popis resursa kriptografskih informacija
3	Zahtijevamo registar softvera instaliranog na poslužiteljima i radnim stanicama	U ovom registru tražimo softverske kriptografske alate i njihove komponente. Na primjer, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, KritoARM itd. Na temelju tih podataka formiramo popis alata za zaštitu kriptografskih informacija.
4	Tražimo popis zaposlenika (vjerojatno tehničke podrške) koji pomažu korisnicima u korištenju alata za zaštitu kriptografskih podataka i ponovnom objavljivanju ključnih informacija.	Od ovih osoba tražimo iste podatke kao i od administratora sustava
Izvor - Administratori sustava usluga informacijske tehnologije
1	Zahtijevamo popis domaćih kripto pristupnika (VIPNET, Continent, S-terra, itd.)	U slučajevima kada tvrtka ne implementira redovite poslovne procese upravljanja informatičkom i informacijskom sigurnošću, takva pitanja mogu pomoći administratorima sustava da upamte postojanje određenog uređaja ili softvera. Te podatke koristimo za dobivanje popisa alata za zaštitu kriptografskih podataka.
2	Tražimo popis domaćih softverskih kriptografskih alata (kriptografski alati za zaštitu informacija MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk,...)
3	Zahtijevamo popis usmjerivača koji implementiraju VPN za: a) komunikacija između ureda društva; b) interakcija s izvođačima i partnerima.
4	Zahtijevamo popis informacijskih usluga objavljenih na Internetu (dostupnih s Interneta). Oni mogu uključivati: a) korporativna e-pošta; b) sustavi za razmjenu trenutnih poruka; c) korporativne web stranice; d) usluge razmjene informacija s partnerima i izvođačima (ekstranet); e) sustavi daljinskog bankarstva (ako je tvrtka Banka); f) sustavi daljinskog pristupa mreži poduzeća. Kako bismo provjerili potpunost danih informacija, provjeravamo ih prema popisu pravila prosljeđivanja portova za granične vatrozide.	Analizirajući primljene informacije, s velikom vjerojatnošću, možete pronaći korištenje kriptografskih alata za zaštitu informacija i kripto ključeva. Dobivene podatke koristimo za formiranje popisa alata za zaštitu kriptografskih informacija i ključnih informacija.
5	Zahtijevamo popis informacijskih sustava koji se koriste za izvještavanje (Taxcom, Kontur, itd.)	Ovi sustavi koriste ključeve kvalificiranog elektroničkog potpisa i SKZI. Putem ove liste formiramo popis alata za kriptografsku zaštitu podataka, popis ključnih informacija, a također doznajemo zaposlenike koji koriste te sustave za formiranje popisa ključnih dokumenata.
6	Zahtijevamo popis internih sustava za elektroničko upravljanje dokumentima (Lotus, DIRECTUM, 1C: Upravljanje dokumentima itd.), kao i popis njihovih korisnika.	U okviru internih sustava elektroničkog upravljanja dokumentima mogu se naići na ključeve elektroničkog potpisa. Na temelju dobivenih informacija formiramo popis ključnih informacija i popis ključnih dokumenata.
7	Tražimo popis internih certifikacijskih centara.	Sredstva koja se koriste za organizaciju certifikacijskih centara evidentirana su na popisu alata za zaštitu kriptografskih podataka. U budućnosti ćemo analizirati sadržaj baza podataka certifikacijskih centara kako bismo identificirali ključne informacije.
8	Tražimo informacije o korištenju tehnologija: IEEE 802.1x, WiFiWPA2 Enterprise i IP video nadzorni sustavi	U slučaju korištenja ovih tehnologija možemo pronaći ključne dokumente u uključenim uređajima.
Izvor - voditelj ljudskih potencijala
1	Molimo opišite proces zapošljavanja i otpuštanja zaposlenika. Fokusiramo se na pitanje tko uzima ključne dokumente od odlaska radnika	Analiziramo dokumente (bypass sheets) na prisutnost informacijskih sustava u kojima se može koristiti kriptografski sustav zaštite informacija.

Faza 2. Prikupljanje podataka iz poslovnih jedinica tvrtke (na primjeru Banke)

№	Akcijski	Očekivani učinak i upotreba
Izvor - voditelj službe za namirenje (korespondentski odnosi)
1	Navedite shemu za organiziranje interakcije s platnim sustavom Banke Rusije. To će posebno biti relevantno za banke koje imaju razvijenu mrežu poslovnica u kojoj podružnice mogu izravno povezati Središnju banku s platnim sustavom.	Na temelju zaprimljenih podataka utvrđujemo lokaciju pristupnika plaćanja (AWP KBR, UTA) i popis uključenih korisnika. Dobivene podatke koristimo za formiranje popisa alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Tražimo popis banaka s kojima su uspostavljeni izravni korespondentni odnosi, a također tražimo da se kaže tko je uključen u obavljanje prijenosa i koja se tehnička sredstva koriste.
3	Zahtijevamo popis platnih sustava u kojima Banka sudjeluje (SWIFT, VISA, MasterCard, NSPK, itd.), kao i lokaciju terminala za komunikaciju	Isto kao i za platni sustav Banke Rusije
Izvor - Voditelj Sektora zaduženog za pružanje usluga daljinskog bankarstva
1	Tražimo popis sustava daljinskog bankarstva.	U tim sustavima analiziramo korištenje kriptografskih alata za zaštitu informacija i ključnih informacija. Na temelju primljenih podataka formiramo popis alata za zaštitu kriptografskih informacija te ključnih informacija i ključnih dokumenata.
Izvor - Voditelj odjela zaduženog za funkcioniranje obrade platnih kartica
1	Upitajte HSM registar	Na temelju dobivenih informacija formiramo popis alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Zahtjev za popis službenika sigurnosti
4	Traženje informacija o komponentama LMK HSM
5	Zahtijevamo informacije o organizaciji sustava kao što je 3D-Secure i organizaciji personalizacije platnih kartica
Izvor - Voditelji odjela koji obavljaju poslove riznice i depozitara
1	Popis banaka s kojima su uspostavljeni korespondentni odnosi i koje sudjeluju u međubankovnom kreditiranju.	Dobivene informacije koristimo za pojašnjenje prethodno primljenih podataka od službe za namiru, kao i za bilježenje informacija o interakciji s burzama i depozitarima. Na temelju primljenih informacija formiramo popis alata za zaštitu kriptografskih informacija i ključnih informacija.
2	Popis burzi i specijaliziranih depozitara s kojima Banka radi
Izvor - voditelji službi za financijski nadzor i odjela odgovorni za podnošenje izvješća Banci Rusije
1	Tražimo informacije o tome kako šalju informacije i primaju informacije od Središnje banke. Popis uključenih osoba i tehničkih sredstava.	Informacijska interakcija s Bankom Rusije strogo je regulirana relevantnim dokumentima, na primjer, 2332-U, 321-I i mnogim drugima, provjeravamo usklađenost s tim dokumentima i formiramo popise alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
Izvor - glavni računovođa i računovođe koji plaćaju račune za interne potrebe banke
1	Tražimo informacije o načinu pripreme i podnošenja izvješća poreznim inspekcijama i Banci Rusije	Pojašnjavamo prethodno dobivene podatke
2	Zahtijevamo registar platnih dokumenata za plaćanje internih potreba banke	U ovom registru tražit ćemo dokumente gdje: 1) Certifikacijski centri, specijalizirani telekomunikacijski operateri, proizvođači kriptografskih alata za zaštitu informacija, dobavljači telekomunikacijske opreme navedeni su kao primatelji plaćanja. Imena tih tvrtki mogu se dobiti iz Registra certificiranih sustava kriptografske zaštite informacija FSB Rusije, popisa akreditiranih certifikacijskih centara Ministarstva telekomunikacija i masovnih komunikacija i drugih izvora. 2) kao dešifriranje plaćanja prisutne su riječi: "CIPF", "potpis", "token", "ključ", "BKI" itd.
Izvor - voditelji odjela za neplaćene obveze i upravljanje rizicima
1	Zahtijevamo popis kreditnih ureda i agencija za naplatu s kojima Banka surađuje.	Zajedno s IT uslugom analiziramo dobivene podatke radi pojašnjenja organizacije upravljanja elektroničkim dokumentima, na temelju čega pojašnjavamo popise alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
Izvor - voditelji službi za upravljanje dokumentima, unutarnje kontrole i internu reviziju
1	Zahtijevamo registar internih ustrojstvenih i administrativnih dokumenata (naloga).	U ovim dokumentima tražimo dokumente koji se odnose na kriptografski sustav zaštite informacija. Da bismo to učinili, analiziramo prisutnost ključnih riječi "sigurnost", "odgovorna osoba", "administrator", "elektronički potpis", "ES", "EDS", "EDO", "ASP", "SKZI" i njihove izvedenice. Zatim identificiramo popis zaposlenika Banke koji je zabilježen u ovim dokumentima. Obavljamo razgovore sa zaposlenicima na temu njihovog korištenja kripto-alata. Primljene informacije odražavamo na popisima alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Zahtijevamo popise ugovora s drugim ugovornim stranama	Pokušavamo identificirati ugovore o elektroničkom upravljanju dokumentima, kao i ugovore s tvrtkama koje isporučuju alate za informacijsku sigurnost ili pružaju usluge u ovom području, kao i tvrtke koje pružaju usluge certifikacijskih centara i usluge podnošenja izvješća putem interneta.
3	Analiziramo tehnologiju pohranjivanja dokumenata dana u elektroničkom obliku	Prilikom implementacije pohrane dokumenata dana u elektroničkom obliku, potrebni su alati za kriptografsku zaštitu informacija

Faza 3. Tehnička revizija

№	Akcijski	Očekivani učinak i upotreba
1	Vršimo tehničku inventuru softvera instaliranog na računalima. Za to koristimo: · Analitičke sposobnosti korporativnih antivirusnih sustava (na primjer, Kaspersky Anti-Virus može izgraditi takav registar). · WMI skripte za prozivanje Windows računala; · Mogućnosti paket menadžera za polling * nix sustave; · Specijalizirani softver za inventar.	Među instaliranim softverom tražimo softver SKZI, drajvere za hardver SKZI i ključeve. Na temelju dobivenih informacija ažuriramo popis CIPF-ova.
2	Ključne dokumente tražimo na poslužiteljima i radnim stanicama. Za ovo · Logon-skripte ispituju AWP u domeni za prisutnost certifikata s privatnim ključevima u korisničkim profilima i računalnim profilima. Na svim računalima, datotečnim poslužiteljima, hipervizorima tražimo datoteke s ekstenzijama: crt, cer, key, pfx, p12, pem, pse, jks itd. · Na hipervizorima virtualizacijskih sustava tražimo montirane diskete i slike disketa.	Vrlo često se ključni dokumenti prezentiraju u obliku spremnika ključeva datoteka, kao i spremnika pohranjenih u registrima računala sa sustavom Windows. Pronađene ključne dokumente bilježimo u popis ključnih dokumenata, a ključne podatke sadržane u njima u popis ključnih informacija.
3	Analiziramo sadržaj baza podataka certifikacijskih centara	Baze podataka certifikacijskih tijela obično sadrže podatke o certifikatima koje su ta tijela izdala. Primljene podatke unosimo u popis ključnih informacija i popis ključnih dokumenata.
4	Vršimo vizualni pregled poslužiteljskih prostorija i ormara za ožičenje, tražimo alate za kriptografsku zaštitu informacija i nosače hardverskih ključeva (tokeni, diskovi)	U nekim slučajevima nemoguće je provesti popis alata za zaštitu kriptografskih informacija i ključnih dokumenata putem mreže. Sustavi mogu biti na izoliranim mrežnim segmentima ili uopće nemaju mrežne veze. Da bismo to učinili, provodimo vizualni pregled u kojem se utvrđuju nazivi i namjena sve opreme koja se nalazi u poslužiteljskim sobama. Primljene podatke unosimo u popis alata za zaštitu kriptografskih podataka i ključnih dokumenata.
5	Analiziramo mrežni promet kako bismo identificirali tokove informacija korištenjem šifrirane razmjene	Šifrirani protokoli - HTTPS, SSH, itd. omogućit će nam da identificiramo mrežne čvorove na kojima se izvode kriptografske transformacije, te kao rezultat sadrže alate za zaštitu kriptografskih informacija i ključne dokumente.

Zaključak

Oznake:

skzy
kriptografija
Elektronički potpis
revizija
upravljanje

Dodaj oznake

Što se odnosi na kriptografske alate za sigurnost informacija. (skzi) sredstvo kriptografske zaštite informacija

Metode koje se koriste u kriptografskim sustavima zaštite informacija

CIPF mehanizmi za zaštitu informacija

Zahtjevi za korištenje CIPF-a

Klase zaštite

Korišteni algoritmi

Elektronički potpis

Vrste elektroničkog potpisa

Opseg korištenja elektroničkog potpisa

Algoritmi elektroničkog potpisa

Uvjeti i definicije

Metodologija revizije i očekivani rezultati

Plan revizije

Zaključak

Uvjeti i definicije

Metodologija revizije i očekivani rezultati

Plan revizije

Zaključak

Vrhunski povezani članci