Kako se zove sustav kriptografske zaštite informacija? Kriptografske metode zaštite informacija

21.07.2019 Greške

Iz perspektive informacijske sigurnosti, kriptografski ključevi su ključni podaci. Ako su ranije, da bi opljačkali tvrtku, napadači morali ući na njen teritorij, otvoriti prostorije i sefove, sada je dovoljno ukrasti token s kriptografskim ključem i izvršiti prijenos putem internetskog sustava Klijent-Banka. Temelj osiguranja sigurnosti korištenjem kriptografskih sustava zaštite informacija (CIPS) je očuvanje povjerljivosti kriptografskih ključeva.

Kako možete osigurati povjerljivost nečega za što nemate pojma da postoji? Da biste stavili token s ključem u sef, morate znati o postojanju tokena i sefa. Koliko god paradoksalno zvučalo, vrlo malo tvrtki ima predodžbu o točnom broju ključnih dokumenata koje koriste. To se može dogoditi iz više razloga, na primjer, podcjenjivanje prijetnji informacijskoj sigurnosti, nedostatak uspostavljenih poslovnih procesa, nedovoljna kvalificiranost osoblja za pitanja sigurnosti itd. Obično se sjete ovog zadatka nakon incidenata, kao što je ovaj.

Ovaj članak će opisati prvi korak ka poboljšanju informacijske sigurnosti korištenjem kripto alata, točnije, razmotrit ćemo jedan od pristupa provođenju revizije CIPF-a i kripto ključeva. Pripovijedanje će se voditi u ime stručnjaka za informacijsku sigurnost, a pretpostavit ćemo da se posao izvodi od nule.

Pojmovi i definicije

Na početku članka, kako ne bismo prestrašili nespremnog čitatelja složenim definicijama, naširoko smo koristili pojmove kriptografski ključ ili kriptoključ; sada je vrijeme da poboljšamo naš konceptualni aparat i uskladimo ga s važećim zakonima. Ovo je vrlo važan korak jer će vam omogućiti da učinkovito strukturirate informacije dobivene iz rezultata revizije.

Kriptografski ključ (cryptokey)- skup podataka koji omogućava izbor jedne određene kriptografske transformacije između svih mogućih u danom kriptografskom sustavu (definicija iz “ružičaste upute - Naredba FAPSI br. 152 od 13. lipnja 2001., u daljnjem tekstu FAPSI 152).
Ključne informacije- posebno organiziran skup kriptoključeva dizajniranih za pružanje kriptografske zaštite informacija u određenom vremenskom razdoblju [FAPSI 152].
Na sljedećem primjeru možete razumjeti temeljnu razliku između kriptoključa i ključnih informacija. Prilikom organiziranja HTTPS-a generira se par javnog i privatnog ključa, a iz javnog ključa i dodatnih informacija dobiva se certifikat. Dakle, u ovoj shemi kombinacija certifikata i privatnog ključa čini informacije o ključu, a svaki od njih pojedinačno je kripto ključ. Ovdje se možete voditi sljedećim jednostavnim pravilom - krajnji korisnici koriste ključne informacije kada rade s CIPF-om, a kriptoključevi obično koriste CIPF interno. U isto vrijeme, važno je razumjeti da se ključne informacije mogu sastojati od jednog kripto ključa.
Ključni dokumenti- elektronički dokumenti na bilo kojem mediju, kao i papirnati dokumenti koji sadrže ključne informacije ograničenog pristupa za kriptografsku transformaciju informacija korištenjem algoritama za kriptografsku transformaciju informacija (kriptografski ključ) u enkripcijskim (kriptografskim) sredstvima. (definicija iz Uredbe Vlade br. 313 od 16. travnja 2012., u daljnjem tekstu PP-313)
Jednostavnim rječnikom rečeno, ključni dokument je ključna informacija zabilježena na mediju. Pri analizi ključnih informacija i ključnih dokumenata treba istaknuti da se ključne informacije iskorištavaju (odnosno koriste se za kriptografske transformacije – enkripciju, elektronički potpis i sl.), a ključni dokumenti koji ih sadrže prenose se zaposlenicima.
Sredstva kriptografske zaštite informacija (CIPF)– sredstva za šifriranje, sredstva za zaštitu od imitacije, sredstva za elektronički potpis, sredstva za kodiranje, sredstva za izradu ključnih dokumenata, ključna dokumenta, hardverska enkripcijska (kriptografska) sredstva, programska i hardverska enkripcijska (kriptografska) sredstva. [PP-313]
Kada analizirate ovu definiciju, možete pronaći u njoj prisutnost pojma ključni dokumenti. Termin je naveden u Vladinoj Uredbi i mi ga nemamo pravo mijenjati. U isto vrijeme, daljnji opis će se provesti na temelju toga da će CIPF uključivati samo sredstva za implementaciju kriptografskih transformacija). Ovakav pristup će pojednostaviti reviziju, ali istovremeno neće utjecati na njezinu kvalitetu, budući da ćemo i dalje voditi računa o ključnim dokumentima, ali u svom dijelu i vlastitim metodama.

Metodologija revizije i očekivani rezultati

Glavne značajke revizijske metodologije predložene u ovom članku su postulati koji:

nijedan zaposlenik tvrtke ne može točno odgovoriti na pitanja postavljena tijekom revizije;
postojeći izvori podataka (popisi, registri i sl.) su netočni ili loše strukturirani.

Stoga je metodologija predložena u članku svojevrsno rudarenje podataka, tijekom kojega će se isti podaci izvlačiti iz različitih izvora, a zatim uspoređivati, strukturirati i pročišćavati.

Evo glavnih ovisnosti koje će nam u tome pomoći:

Ako postoji CIPF, onda postoji ključna informacija.
Ako postoji elektronički protok dokumenata (uključujući ugovorne strane i regulatore), tada se najvjerojatnije koristi elektronički potpis i, kao rezultat, CIPF i ključne informacije.
Upravljanje elektroničkim dokumentima u ovom kontekstu treba shvatiti široko, odnosno uključivat će i izravnu razmjenu pravno značajnih elektroničkih dokumenata, i podnošenje izvješća, i rad u platnim ili trgovačkim sustavima i sl. Popis i oblici upravljanja elektroničkim dokumentima određeni su poslovnim procesima tvrtke, kao i važećim zakonskim propisima.
Ako se zaposlenik bavi elektroničkim upravljanjem dokumentima, tada najvjerojatnije ima ključne dokumente.
Prilikom organiziranja elektroničkog upravljanja dokumentima s protustrankama obično se izdaju organizacijski i upravni akti (nalozi) o imenovanju odgovornih osoba.
Ako se informacije prenose putem interneta (ili drugih javnih mreža), najvjerojatnije su šifrirane. To se prije svega odnosi na VPN-ove i razne sustave udaljenog pristupa.
Ako se u mrežnom prometu otkriju protokoli koji prenose promet u šifriranom obliku, tada se koriste CIPF i informacije o ključu.
Ako su izvršene nagodbe s drugim ugovornim stranama koje se bave: isporukom opreme za informacijsku sigurnost, telekomunikacijskim uređajima, pružanjem usluga prijenosa informacija, uslugama certifikacijskih centara, tada se tijekom te interakcije može kupiti CIPF ili ključni dokumenti.
Ključni dokumenti mogu biti na prenosivim medijima (diskete, flash diskovi, tokeni, ...) ili snimljeni unutar računala i hardverskih kriptografskih sustava zaštite informacija.
Kada koristite alate za virtualizaciju, ključni dokumenti mogu se pohraniti unutar virtualnih strojeva i montirati na virtualne strojeve pomoću hipervizora.
Hardverski CIPF može se instalirati u poslužiteljskim sobama i ne biti dostupan za analizu putem mreže.
Neki sustavi za upravljanje elektroničkim dokumentima mogu biti u neaktivnom ili neaktivnom obliku, ali istovremeno sadrže aktivne ključne informacije i CIPF.
Interna regulatorna i organizacijska dokumentacija može sadržavati informacije o sustavima za elektroničko upravljanje dokumentima, CIPF-u i ključnim dokumentima.

Za dobivanje primarnih informacija mi ćemo:

intervjuirati zaposlenike;
analizirati dokumentaciju tvrtke, uključujući interne regulatorne i administrativne dokumente, kao i izlazne naloge za plaćanje;
provoditi vizualnu analizu poslužiteljskih soba i komunikacijskih ormara;
provoditi tehničku analizu sadržaja automatiziranih radnih stanica (AWS), poslužitelja i virtualizacijskih alata.

Kasnije ćemo formulirati konkretne aktivnosti, a za sada pogledajmo konačne podatke koje bismo trebali dobiti kao rezultat revizije:

Popis CIPF-a:

CIPF model. Na primjer, CIPF Crypto CSP 3.9 ili OpenSSL 1.0.1
CIPF identifikator instance. Na primjer, serijski, licencni (ili registracijski prema PKZ-2005) broj CIPF-a
Informacije o certifikatu FSB-a Rusije za kriptografsku zaštitu podataka, uključujući broj te datume početka i završetka valjanosti.
Podaci o mjestu rada CIPF-a. Primjerice, naziv računala na kojem je instaliran programski CIPF ili naziv tehničkog sredstva ili prostora u kojem je instaliran hardverski CIPF.

Ove informacije će vam omogućiti da:

Upravljajte ranjivostima u CIPF-u, odnosno brzo ih otkrijte i ispravite.
Pratite rokove valjanosti certifikata za CIPF, a također provjerite koristi li se certificirani CIPF u skladu s pravilima utvrđenim dokumentacijom ili ne.
Planirajte troškove za CIPF, znajući koliko je već u funkciji i koliko je konsolidiranih sredstava još dostupno.
Generirajte regulatorna izvješća.

Popis ključnih informacija:

Za svaki element popisa bilježimo sljedeće podatke:

Naziv ili identifikator ključnih informacija. Na primjer, „Ključ kvalificiranog elektroničkog potpisa. Certifikat serijski broj 31:2D:AF", a identifikator treba odabrati tako da se po njemu može pronaći ključ. Na primjer, pri slanju obavijesti, certifikacijska tijela obično identificiraju ključeve prema brojevima certifikata.
Kontrolni centar ključnog sustava (KSUC), koji je objavio ovu ključnu informaciju. To može biti organizacija koja je izdala ključ, na primjer, tijelo za izdavanje certifikata.
Pojedinac, u čije ime je objavljena ključna informacija. Ove informacije mogu se izdvojiti iz CN polja X.509 certifikata
Format ključnih informacija. Na primjer, CIPF CryptoPRO, CIPF Verba-OW, X.509, itd. (ili drugim riječima za korištenje s kojim CIPF-om su ove ključne informacije namijenjene).
Dodjeljivanje ključnih informacija. Na primjer, "Sudjelovanje u trgovanju na Sberbank AST stranici", "Kvalificirani elektronički potpis za izvješćivanje" itd. S tehničkog gledišta, u ovo polje možete zabilježiti ograničenja zabilježena u poljima proširene upotrebe ključa i drugim X.509 certifikatima.
Početak i kraj razdoblja valjanosti ključnih informacija.
Procedura ponovnog objavljivanja ključnih informacija. Odnosno, znanje o tome što treba učiniti i kako prilikom ponovnog objavljivanja ključnih informacija. U najmanju ruku, preporučljivo je zabilježiti kontakte službenika središnjeg kontrolnog centra koji je objavio ključnu informaciju.
Popis informacijskih sustava, usluga ili poslovnih procesa unutar kojih se koriste ključne informacije. Na primjer, "Sustav usluga daljinskog bankarstva Internet klijent-banka".

Ove informacije će vam omogućiti da:

Pratite datume isteka ključnih informacija.
Brzo ponovno objavite ključne informacije kada je to potrebno. Ovo može biti potrebno i za planirano i za neplanirano ponovno izdavanje.
Blokirati korištenje ključnih podataka po otkazu zaposlenika za kojeg su izdani.
Istražite incidente informacijske sigurnosti odgovarajući na pitanja: "Tko je imao ključeve za plaćanje?" i tako dalje.

Popis ključnih dokumenata:

Za svaki element popisa bilježimo sljedeće podatke:

Ključne informacije sadržane u ključnom dokumentu.
Nositelj ključnih informacija, na kojem se bilježe ključne informacije.
Lice, odgovoran za sigurnost ključnog dokumenta i povjerljivost ključnih informacija sadržanih u njemu.

Ove informacije će vam omogućiti da:

Ponovno objaviti ključne informacije u slučajevima: otpuštanja zaposlenika koji posjeduju ključne dokumente, kao iu slučaju kompromitacije medija.
Osigurajte povjerljivost ključnih informacija popisom medija koji ih sadrže.

Plan revizije

Došlo je vrijeme za razmatranje praktičnih značajki provođenja revizije. Učinimo to na primjeru financijske institucije ili, drugim riječima, na primjeru banke. Ovaj primjer nije odabran slučajno. Banke koriste prilično veliki broj različitih sustava kriptografske zaštite, koji su uključeni u veliki broj poslovnih procesa, a osim toga, gotovo sve banke su nositelji licenci FSB-a Rusije za kriptografiju. Dalje u članku bit će predstavljen plan revizije za CIPF i kriptoključeve u odnosu na Banku. U isto vrijeme, ovaj se plan može uzeti kao osnova pri provođenju revizije gotovo svake tvrtke. Radi lakše percepcije, plan je podijeljen u faze, koje su zauzvrat urušene u spojlere.

Faza 1. Prikupljanje podataka iz infrastrukturnih odjela tvrtke

№	Akcijski
Izvor – svi zaposlenici tvrtke
1	Šaljemo korporativnu e-poštu svim zaposlenicima tvrtke tražeći od njih da obavijeste službu za informacijsku sigurnost o svim kriptografskim ključevima koje koriste.	Primamo e-mailove, na temelju kojih izrađujemo popis ključnih informacija i popis ključnih dokumenata
Izvor – voditelj Službe za informatiku
1	Tražimo popis ključnih informacija i ključnih dokumenata	Uz određenu vjerojatnost, IT služba održava slične dokumente; koristit ćemo ih za generiranje i pojašnjenje popisa ključnih informacija, ključnih dokumenata i CIPF-a
2	Tražimo popis CIPF-a
3	Tražimo registar softvera instaliranih na poslužiteljima i radnim stanicama	U ovom registru tražimo softverske CIPF-ove i njihove komponente. Na primjer, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, KritoARM itd. Na temelju tih podataka formiramo listu CIPF-a.
4	Tražimo popis zaposlenika (vjerojatno tehničke podrške) koji pomažu korisnicima u korištenju CIPF-a i ponovnom izdavanju ključnih informacija.	Od tih osoba tražimo iste podatke kao i od administratora sustava
Izvor – administratori sustava Službe informatike
1	Tražimo popis domaćih kripto pristupnika (VIPNET, Continent, S-terra, itd.)	U slučajevima kada tvrtka ne provodi redovne poslovne procese za upravljanje informatikom i informacijskom sigurnošću, takva pitanja mogu pomoći podsjetiti administratore sustava na postojanje određenog uređaja ili softvera. Ove informacije koristimo za dobivanje popisa CIPF-a.
2	Tražimo popis domaćeg softvera CIPF (CIPF MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...)
3	Tražimo popis usmjerivača koji implementiraju VPN za: a) komunikacije između ureda tvrtke; b) interakcije s izvođačima i partnerima.
4	Tražimo popis informacijskih usluga objavljenih na Internetu (dostupan s Interneta). To može uključivati: a) korporativna e-pošta; b) sustavi za razmjenu trenutnih poruka; c) korporativne web stranice; d) servisi za razmjenu informacija s partnerima i izvođačima (extranet); e) sustave daljinskog bankarstva (ako je tvrtka banka); f) sustavi daljinskog pristupa mreži poduzeća. Kako bismo provjerili potpunost dostavljenih informacija, uspoređujemo ih s popisom pravila Portforwarding rubnih vatrozida.	Analizirajući primljene informacije, velika je vjerojatnost da ćete se susresti s korištenjem CIPF-a i kriptoključeva. Dobivene podatke koristimo za izradu popisa CIPF-a i ključnih informacija.
5	Tražimo popis informacijskih sustava koji se koriste za izvješćivanje (Taxcom, Kontur, itd.)	Ovi sustavi koriste kvalificirane ključeve elektroničkog potpisa i CIPF. Kroz ovaj popis izrađujemo popis CIPF-a, popis ključnih informacija, a također saznajemo zaposlenike koji koriste ove sustave za izradu popisa ključnih dokumenata.
6	Tražimo popis internih sustava za elektroničko upravljanje dokumentima (Lotus, DIRECTUM, 1C: Document Management itd.), kao i popis njihovih korisnika.	Ključevi elektroničkog potpisa mogu se pronaći unutar internih sustava za upravljanje elektroničkim dokumentima. Na temelju dobivenih informacija izrađujemo popis ključnih informacija i popis ključnih dokumenata.
7	Tražimo popis internih certifikacijskih centara.	Sredstva koja se koriste za organiziranje certifikacijskih centara evidentiraju se u popisu CIPF-a. U budućnosti ćemo analizirati sadržaj baza podataka certifikacijskih tijela kako bismo identificirali ključne informacije.
8	Tražimo informacije o korištenju tehnologija: IEEE 802.1x, WiFiWPA2 Enterprise i IP sustavi video nadzora	Ako se te tehnologije koriste, mogli bismo pronaći ključne dokumente o uključenim uređajima.
Izvor – voditelj ljudskih resursa
1	Molimo opišite proces zapošljavanja i otpuštanja zaposlenika. Fokusiramo se na pitanje tko preuzima ključne dokumente od zaposlenika koji daju otkaz	Analiziramo dokumente (zaobilazne listove) na prisutnost informacijskih sustava u njima u kojima se CIPF može koristiti.

Faza 2. Prikupljanje podataka iz poslovnih jedinica tvrtke (na primjeru Banke)

№	Akcijski	Očekivani rezultat i njegova upotreba
Izvor – Voditelj obračunske službe (korespondentni odnosi)
1	Navedite shemu za organiziranje interakcije s platnim sustavom Banke Rusije. Ovo će posebno biti relevantno za banke koje imaju razvijenu mrežu podružnica, u kojima se podružnice mogu izravno povezati s platnim sustavom Centralne banke	Na temelju dobivenih podataka utvrđujemo lokaciju pristupnika plaćanja (AWC KBR, UTA) i popis uključenih korisnika. Dobivene podatke koristimo za izradu popisa CIPF-a, ključnih informacija i ključnih dokumenata.
2	Tražimo popis banaka s kojima su uspostavljeni izravni korespondentski odnosi, a također molimo da nam kažete tko je uključen u obavljanje transfera i koja tehnička sredstva se koriste.
3	Tražimo popis platnih sustava u kojima Banka sudjeluje (SWIFT, VISA, MasterCard, NSPK itd.), kao i lokaciju komunikacijskih terminala	Isto kao i za platni sustav Banke Rusije
Izvor – Voditelj odjela odgovornog za pružanje usluga daljinskog bankarstva
1	Tražimo popis sustava daljinskog bankarstva.	U tim sustavima analiziramo korištenje CIPF-a i ključnih informacija. Na temelju dobivenih podataka izrađujemo popis CIPF-a i ključnih informacija i ključnih dokumenata.
Izvor – Voditelj odjela odgovornog za funkcioniranje procesiranja platnih kartica
1	Zahtjev za HSM registar	Na temelju primljenih informacija izrađujemo popis CIPF-a, ključnih informacija i ključnih dokumenata.
2	Tražimo registar zaštitara
4	Tražimo informacije o komponentama LMK HSM
5	Tražimo informacije o organizaciji sustava poput 3D-Secure i organizaciji personalizacije platnih kartica
Izvor – Voditelji odjela koji obavljaju poslove riznice i depozita
1	Popis banaka s kojima su uspostavljeni korespondentski odnosi i koje sudjeluju u međubankarskom kreditiranju.	Primljene informacije koristimo za razjašnjavanje prethodno primljenih podataka od usluge namire, a također bilježimo informacije o interakciji s burzama i depozitarima. Na temelju dobivenih informacija izrađujemo popis CIPF-a i ključnih informacija.
2	Popis burzi i specijaliziranih depozitorija s kojima Banka radi
Izvor – Voditelji službi i odjela za financijski nadzor odgovorni za podnošenje izvješća Banci Rusije
1	Tražimo informacije o tome kako šalju informacije i primaju informacije od Centralne banke. Popis uključenih osoba i tehničkih sredstava.	Informacijska interakcija s Bankom Rusije strogo je regulirana relevantnim dokumentima, na primjer, 2332-U, 321-I i mnogim drugima, provjeravamo usklađenost s tim dokumentima i stvaramo popise CIPF-a, ključnih informacija i ključnih dokumenata.
Izvor – Glavni računovođa i računovodstveni djelatnici uključeni u plaćanje računa za unutarbankarske potrebe
1	Tražimo informacije o tome kako se izvješća pripremaju i podnose poreznim inspektoratima i Banci Rusije	Pojašnjavamo prethodno primljene informacije
2	Tražimo registar platnih dokumenata za plaćanje za unutarbankarske potrebe	U ovom registru ćemo tražiti dokumente gdje: 1) kao primatelji plaćanja navedeni su certifikacijski centri, specijalizirani telekom operateri, proizvođači CIPF-a i dobavljači telekomunikacijske opreme. Imena tih tvrtki mogu se dobiti iz Registra certificiranih CIPF-a FSB-a Rusije, popisa akreditiranih certifikacijskih centara Ministarstva telekomunikacija i masovnih komunikacija i drugih izvora. 2) kao dešifriranje plaćanja postoje riječi: „CIPF“, „potpis“, „token“, „ključ“, „BKI“ itd.
Izvor – Voditelji službi za upravljanje dospjelim dugovima i rizicima
1	Tražimo popis ureda za kreditnu povijest i agencija za naplatu s kojima Banka surađuje.	Zajedno s informatičkom službom analiziramo zaprimljene podatke radi pojašnjenja organizacije upravljanja elektroničkim dokumentima, na temelju čega pojašnjavamo popise CIPF-a, ključnih informacija i ključnih dokumenata.
Izvor – Voditelji službi za upravljanje dokumentima, unutarnju kontrolu i unutarnju reviziju
1	Tražimo registar internih organizacijskih i upravnih akata (naredbi).	U ovim dokumentima tražimo dokumente koji se odnose na CIPF. Da bismo to učinili, analiziramo prisutnost ključnih riječi "sigurnost", "odgovorna osoba", "administrator", "elektronički potpis", "digitalni potpis", "digitalni potpis", "digitalni potpis", "digitalni digitalni potpis", “ASP”, “CIPF” i njihove izvedenice. Zatim identificiramo popis zaposlenika Banke zabilježen u tim dokumentima. Vodimo razgovore sa zaposlenicima o njihovoj upotrebi kriptovaluta. Primljene informacije odražavaju se na popisima CIPF-a, ključnim informacijama i ključnim dokumentima.
2	Tražimo popise ugovora s drugim ugovornim stranama	Pokušavamo identificirati ugovore o elektroničkom upravljanju dokumentima, kao i ugovore s tvrtkama koje nude proizvode za informacijsku sigurnost ili pružaju usluge u ovom području, kao i tvrtke koje pružaju usluge certifikacijskih centara i usluge izvješćivanja putem interneta.
3	Analiziramo tehnologiju pohranjivanja dnevnih dokumenata u elektroničkom obliku	Pri provedbi pohrane dokumenata dana u elektroničkom obliku mora se koristiti kriptografska zaštita informacija

Faza 3. Tehnička revizija

№	Akcijski	Očekivani rezultat i njegova upotreba
1	Provodimo tehničku inventuru softvera instaliranog na računalima. Da bismo to učinili koristimo: · analitičke mogućnosti korporativnih antivirusnih sustava (na primjer, Kaspersky Anti-Virus može izgraditi sličan registar). · WMI skripte za prozivanje računala s operativnim sustavom Windows; · mogućnosti upravitelja paketa za prozivanje *nix sustava; · specijalizirani softver za popis.	Od instaliranog softvera tražimo softver CIPF, upravljačke programe za hardver CIPF i ključne medije. Na temelju dobivenih informacija ažuriramo popis CIPF-a.
2	Ključne dokumente tražimo na poslužiteljima i radnim stanicama. Za ovo · Koristeći skripte za prijavu, ispitujemo radne stanice u domeni o prisutnosti certifikata s privatnim ključevima u korisničkim profilima i računalnim profilima. · Na svim računalima, file serverima, hipervizorima tražimo datoteke s nastavcima: crt, cer, key, pfx, p12, pem, pse, jks itd. · Na hipervizorima virtualizacijskih sustava tražimo montirane diskovne pogone i slike disketa.	Vrlo često se ključni dokumenti prikazuju u obliku spremnika ključeva datoteka, kao i spremnika pohranjenih u registrima računala s operativnim sustavom Windows. Pronađeni ključni dokumenti evidentiraju se u popisu ključnih dokumenata, a ključni podaci sadržani u njima evidentiraju se u popisu ključnih podataka.
3	Analiziramo sadržaj baza podataka certifikacijskih tijela	Baze podataka certifikacijskih tijela obično sadrže podatke o certifikatima koje su izdala ta tijela. Primljene podatke upisujemo u popis ključnih podataka i popis ključnih dokumenata.
4	Provodimo vizualni pregled poslužiteljskih soba i ormara za ožičenje, tražeći CIPF i hardverske ključne medije (tokene, diskove)	U nekim je slučajevima nemoguće provesti popis CIPF-a i ključnih dokumenata putem mreže. Sustavi se mogu nalaziti u izoliranim mrežnim segmentima ili uopće nemaju mrežne veze. Da bismo to učinili, provodimo vizualni pregled, čiji bi rezultati trebali utvrditi nazive i namjene sve opreme predstavljene u poslužiteljskim sobama. Primljene podatke unosimo u popis CIPF-a i ključnih dokumenata.
5	Analiziramo mrežni promet kako bismo identificirali tokove informacija pomoću šifrirane razmjene	Šifrirani protokoli - HTTPS, SSH, itd. omogućit će nam identificiranje mrežnih čvorova na kojima se izvode kriptografske transformacije, a kao rezultat sadrže CIPF i ključne dokumente.

Zaključak

U ovom smo članku ispitali teoriju i praksu revizije CIPF-a i kriptoključeva. Kao što ste vidjeli, ovaj postupak je prilično složen i dugotrajan, ali ako mu pristupite ispravno, sasvim je izvediv. Nadamo se da će vam ovaj članak pomoći u stvarnom životu. Hvala vam na pažnji, veselimo se vašim komentarima

Oznake: Dodajte oznake

Kriptografska zaštita informacija - zaštita informacija pomoću njihove kriptografske transformacije.

Kriptografske metode trenutno su Osnovni, temeljni kako bi se osigurala pouzdana autentifikacija strana u razmjeni informacija, zaštita.

DO sredstva kriptografske zaštite informacija(CIPF) uključuje hardver, firmware i softver koji implementiraju kriptografske algoritme za pretvaranje informacija u svrhu:

Zaštita informacija tijekom njihove obrade, pohrane i prijenosa;

Osiguravanje pouzdanosti i cjelovitosti informacija (uključujući korištenje algoritama digitalnog potpisa) tijekom njihove obrade, pohrane i prijenosa;

Generiranje informacija koje se koriste za identifikaciju i autentifikaciju subjekata, korisnika i uređaja;

Generiranje informacija koje se koriste za zaštitu autentifikacijskih elemenata zaštićenog AS-a tijekom njihovog generiranja, pohrane, obrade i prijenosa.

Kriptografske metode pružaju šifriranje i kodiranje informacija. Postoje dvije glavne metode šifriranja: simetrična i asimetrična. U prvom od njih, isti ključ (koji se čuva u tajnosti) koristi se i za šifriranje i za dešifriranje podataka.

Razvijene su vrlo učinkovite (brze i pouzdane) simetrične metode šifriranja. Postoji i nacionalni standard za takve metode - GOST 28147-89 „Sustavi za obradu informacija. Kriptografska zaštita. Algoritam kriptografske pretvorbe".

Asimetrične metode koriste dva ključa. Jedan od njih, neklasificiran (može se objaviti zajedno s drugim javnim podacima o korisniku), služi za šifriranje, drugi (tajni, poznat samo primatelju) koristi se za dešifriranje. Najpopularnija od asimetričnih je RSA metoda, koja se temelji na operacijama s velikim (100-znamenkastim) prostim brojevima i njihovim umnošcima.

Kriptografske metode omogućuju pouzdanu kontrolu integriteta pojedinačnih dijelova podataka i njihovih skupova (kao što je tok poruka); utvrditi autentičnost izvora podataka; jamčiti nemogućnost odbijanja poduzetih radnji („neporicanje“).

Kontrola kriptografskog integriteta temelji se na dva koncepta:

Elektronički potpis (ES).

Hash funkcija je teško reverzibilna transformacija podataka (jednosmjerna funkcija), implementirana, u pravilu, pomoću simetrične enkripcije s blokovskim povezivanjem. Rezultat enkripcije posljednjeg bloka (ovisno o svim prethodnim) služi kao rezultat hash funkcije.

Kriptografija kao sredstvo zaštite (zatvaranje) informacija postaje sve važnija u komercijalnim aktivnostima.

Za transformaciju informacija koriste se različiti alati za šifriranje: alati za šifriranje dokumenata, uključujući prijenosne, alati za šifriranje govora (telefonski i radio razgovori), alati za šifriranje telegrafskih poruka i prijenos podataka.

Za zaštitu poslovne tajne na međunarodnom i domaćem tržištu nude se različiti tehnički uređaji i kompleti profesionalne opreme za šifriranje i kriptografsku zaštitu telefonskih i radijskih razgovora, poslovne korespondencije i sl.

Scrambleri i maskeri, koji zamjenjuju govorni signal digitalnim prijenosom podataka, postali su široko rasprostranjeni. Proizvode se sigurnosni proizvodi za teletipove, telekse i faksove. U te svrhe koriste se kriptori izrađeni u obliku zasebnih uređaja, u obliku dodataka na uređaje ili ugrađeni u konstrukciju telefona, faks modema i drugih komunikacijskih uređaja (radio postaja i dr.). Kako bi se osigurala pouzdanost poslanih elektroničkih poruka, naširoko se koristi elektronički digitalni potpis.

Kriptografska sredstva - To su posebna matematička i algoritamska sredstva za zaštitu informacija koje se prenose komunikacijskim sustavima i mrežama, pohranjuju se i obrađuju na računalu korištenjem različitih metoda šifriranja.
Tehnička zaštita podataka transformirajući ga, isključujući njegovo čitanje od stranaca, brinulo je ljude od davnina. Kriptografija mora osigurati takvu razinu tajnosti da kritične informacije mogu biti pouzdano zaštićene od dešifriranja od strane velikih organizacija – poput mafije, multinacionalnih korporacija i velikih država. Kriptografija se u prošlosti koristila samo u vojne svrhe. Međutim, sada, s pojavom informacijskog društva, postaje alat za osiguranje povjerljivosti, povjerenja, autorizacije, elektroničkih plaćanja, korporativne sigurnosti i bezbroj drugih važnih stvari. Zašto je problem korištenja kriptografskih metoda postao posebno aktualan u ovom trenutku?
S jedne strane, proširena je uporaba računalnih mreža, posebice globalnog interneta, preko kojeg se prenose velike količine informacija državne, vojne, komercijalne i privatne prirode, onemogućujući pristup neovlaštenim osobama.
S druge strane, pojava novih moćnih računala, mrežnih i neuronskih računalnih tehnologija omogućila je diskreditaciju kriptografskih sustava, koji su donedavno smatrani praktički neotkrivenim.
Kriptologija (kryptos - tajna, logos - znanost) bavi se problemom zaštite informacija njihovim pretvaranjem. Kriptologija se dijeli na dva područja - kriptografiju i kriptoanalizu. Ciljevi ovih smjerova su izravno suprotni.
Kriptografija se bavi pretraživanjem i proučavanjem matematičkih metoda za pretvaranje informacija.
Područje interesa kriptoanalize je proučavanje mogućnosti dešifriranja informacija bez poznavanja ključeva.
Moderna kriptografija uključuje 4 glavna odjeljka.

· Simetrični kriptosustavi.

· Kriptosustavi s javnim ključem.

· Sustavi elektroničkog potpisa.

· Upravljanje ključevima.

Glavna područja korištenja kriptografskih metoda su prijenos povjerljivih informacija kroz komunikacijske kanale (na primjer, e-pošta), utvrđivanje autentičnosti prenesenih poruka, pohranjivanje informacija (dokumenata, baza podataka) na medije u šifriranom obliku.

Terminologija.
Kriptografija omogućuje transformaciju informacija na način da je njihovo čitanje (oporavak) moguće samo ako je poznat ključ.
Tekstovi temeljeni na određenoj abecedi smatrat će se informacijama koje treba šifrirati i dešifrirati. Ovi pojmovi znače sljedeće.
Abeceda- konačan skup znakova koji se koriste za kodiranje informacija.
Tekst- uređen skup elemenata abecede.
Šifriranje- proces pretvorbe: izvorni tekst, koji se naziva i čistim tekstom, zamjenjuje se šifriranim tekstom.
Dešifriranje- obrnuti proces šifriranja. Na temelju ključa šifrirani se tekst pretvara u izvorni.
Ključ- informacije potrebne za glatko šifriranje i dešifriranje tekstova.
Kriptografski sustav je obitelj T [T1, T2, ..., Tk] transformacija otvorenog teksta. Članovi ove obitelji indeksirani su ili označeni simbolom "k"; parametar k je ključ. Prostor ključa K je skup mogućih vrijednosti ključa. Obično je ključ sekvencijalni niz slova abecede.
Kriptosustavi se dijele na simetrične i s javnim ključem.
U simetričnim kriptosustavima isti se ključ koristi i za šifriranje i za dešifriranje.
Sustavi javnih ključeva koriste dva ključa, javni ključ i privatni ključ, koji su međusobno matematički povezani. Informacije se šifriraju javnim ključem koji je dostupan svima, a dešifriraju se privatnim ključem koji je poznat samo primatelju poruke.
Pojmovi distribucija ključeva i upravljanje ključevima odnose se na procese sustava za obradu informacija čiji je sadržaj kompilacija i distribucija ključeva među korisnicima.
Elektronički (digitalni) potpis je kriptografska transformacija priložena tekstu, koja omogućuje, kada tekst primi drugi korisnik, provjeru autorstva i autentičnosti poruke.
Kriptografska snaga je karakteristika šifre koja određuje njenu otpornost na dešifriranje bez poznavanja ključa (tj. kriptoanaliza).
Učinkovitost šifriranja za zaštitu informacija ovisi o održavanju tajnosti ključa i kriptografskoj snazi šifre.
Najjednostavniji kriterij za takvu učinkovitost je vjerojatnost otkrivanja ključa ili snaga skupa ključeva (M). U biti, to je isto što i kriptografska snaga. Da biste to numerički procijenili, također možete koristiti složenost rješavanja šifre isprobavanjem svih ključeva.
Međutim, ovaj kriterij ne uzima u obzir druge važne zahtjeve za kriptosustave:

· nemogućnost otkrivanja ili smislene izmjene informacija na temelju analize njihove strukture;

· usavršavanje korištenih sigurnosnih protokola;

· minimalna količina korištenih ključnih informacija;

· minimalna složenost implementacije (u broju strojnih operacija), njezin trošak;

· visoka efikasnost.

Često je učinkovitije koristiti stručnu prosudbu i simulaciju pri odabiru i procjeni kriptografskog sustava.
U svakom slučaju, odabrani skup kriptografskih metoda mora kombinirati praktičnost, fleksibilnost i učinkovitost korištenja, kao i pouzdanu zaštitu informacija koje kruže informacijskim sustavom od napadača.

Ova podjela informacijske sigurnosti znači ( tehnička zaštita informacija), prilično uvjetno, budući da u praksi vrlo često međusobno djeluju i implementiraju se u kompleksu u obliku softverskih i hardverskih modula uz široku upotrebu algoritama za zatvaranje informacija.

Zaključak

U ovom kolegiju sam ispitivao lokalnu računalnu mrežu Uprave i došao do zaključka da je za potpunu zaštitu informacija potrebno koristiti sve sigurnosne mjere kako bi se gubitak određenih informacija sveo na minimum.

Kao rezultat organizacije rada izvršena je: informatizacija radnih mjesta s njihovom integracijom u lokalnu računalnu mrežu, uz prisutnost poslužitelja i pristup internetu. Završetkom ovog posla osigurat će se najbrži i najproduktivniji rad radnog osoblja.

Ciljevi koji su postavljeni prilikom dobivanja zadaće, po mom mišljenju, su ostvareni. Dijagram lokalne mreže administracije dan je u Dodatku B.

Bibliografija.

1. GOST R 54101-2010 „Alati za automatizaciju i sustavi upravljanja. Sigurnosna sredstva i sustavi. Održavanje i tekući popravci"

2. Organizacijska zaštita informacija: udžbenik za sveučilišta Averchenkov V.I., Rytov M.Yu. 2011

3. Khalyapin D.B., Yarochkin V.I. Osnove informacijske sigurnosti.-M .: IPKIR, 1994

4. Khoroshko V.A., Chekatkov A.A. Metode i sredstva informacijske sigurnosti (uredio Kovtanyuk) K.: Junior Publishing House, 2003. - 504 str.

5. Hardver i računalne mreže Ilyukhin B.V. 2005. godine

6. Yarochkin V.I. Informacijska sigurnost: Udžbenik za studente sveučilišnih studija.-M.: Akademski projekt!?! Fondacija "Mir", 2003.-640 str.

7. http://habrahabr.ru

8. http://www.intel.com/ru/update/contents/st08031.htm

9. http://securitypolicy.ru

10. http://network.xsp.ru/5_6.php

Napomena A.

Napomena B.

Pojam "kriptografija" dolazi od starogrčkih riječi "skriven" i "pisati". Fraza izražava glavnu svrhu kriptografije - zaštitu i očuvanje tajnosti prenesenih informacija. Zaštita informacija može se ostvariti na različite načine. Na primjer, ograničavanjem fizičkog pristupa podacima, skrivanjem prijenosnog kanala, stvaranjem fizičkih poteškoća u povezivanju s komunikacijskim linijama itd.

Svrha kriptografije Za razliku od tradicionalnih metoda tajnog pisanja, kriptografija pretpostavlja potpunu dostupnost prijenosnog kanala za napadače i osigurava povjerljivost i autentičnost informacija korištenjem algoritama šifriranja koji informacije čine nedostupnima vanjskim osobama. Suvremeni kriptografski sustav zaštite informacija (CIPS) je programski i hardverski računalni kompleks koji osigurava zaštitu informacija prema sljedećim osnovnim parametrima.

+ Povjerljivost– nemogućnost čitanja informacija osobama koje nemaju odgovarajuća prava pristupa. Glavna komponenta osiguranja povjerljivosti u CIPF-u je ključ, koji je jedinstvena alfanumerička kombinacija za korisnički pristup određenom bloku CIPF-a.

+ Integritet– nemogućnost neovlaštenih promjena, poput uređivanja i brisanja informacija. Da bi se to postiglo, izvornim informacijama dodaje se redundantnost u obliku kombinacije provjere, izračunate pomoću kriptografskog algoritma i ovisno o ključu. Stoga, bez poznavanja ključa, dodavanje ili mijenjanje informacija postaje nemoguće.

+ Ovjera– potvrdu vjerodostojnosti informacija i stranaka koje ih šalju i primaju. Informacije koje se prenose komunikacijskim kanalima moraju biti jedinstveno autentificirane sadržajem, vremenom nastanka i prijenosa, izvorom i primateljem. Treba imati na umu da izvor prijetnji može biti ne samo napadač, već i strane uključene u razmjenu informacija s nedovoljnim međusobnim povjerenjem. Kako bi spriječio takve situacije, CIPF koristi sustav vremenskih oznaka kako bi spriječio ponovno ili obrnuto slanje informacija i promjenu njihovog redoslijeda.

+ Autorstvo– potvrda i nemogućnost odbijanja radnji koje provodi korisnik informacija. Najčešći način provjere autentičnosti je elektronički digitalni potpis (EDS). Sustav digitalnog potpisa sastoji se od dva algoritma: za izradu potpisa i za njegovu provjeru. Prilikom intenzivnog rada s ECC-om preporuča se korištenje centara za certifikaciju softvera za izradu i upravljanje potpisima. Takvi centri mogu se implementirati kao CIPF alat koji je potpuno neovisan o internoj strukturi. Što to znači za organizaciju? To znači da sve transakcije elektroničkim potpisima obrađuju neovisne certificirane organizacije te je krivotvorenje autorstva gotovo nemoguće.

Trenutačno među CIPF-om prevladavaju otvoreni algoritmi šifriranja koji koriste simetrične i asimetrične ključeve dovoljne duljine da osiguraju potrebnu kriptografsku složenost. Najčešći algoritmi:

simetrični ključevi – ruski R-28147.89, AES, DES, RC4;
asimetrične tipke – RSA;
korištenje hash funkcija - R-34.11.94, MD4/5/6, SHA-1/2. 80

Mnoge zemlje imaju vlastite nacionalne standarde za algoritme šifriranja. U SAD-u se koristi modificirani AES algoritam s ključem duljine 128-256 bita, au Ruskoj Federaciji algoritam elektroničkog potpisa R-34.10.2001 i blokovni kriptografski algoritam R-28147.89 s 256-bitnim ključem. Neki elementi nacionalnih kriptografskih sustava zabranjeni su za izvoz izvan zemlje; aktivnosti za razvoj CIPF-a zahtijevaju licenciranje.

Hardverski sustavi kriptografske zaštite

Hardverski CIPF su fizički uređaji koji sadrže softver za šifriranje, snimanje i prijenos informacija. Uređaji za šifriranje mogu biti izrađeni u obliku osobnih uređaja, kao što su ruToken USB kriptori i IronKey flash diskovi, kartice za proširenje osobnih računala, specijalizirani mrežni preklopnici i usmjerivači, na temelju kojih je moguće izgraditi potpuno sigurne računalne mreže.

Hardver CIPF se brzo instalira i radi velikom brzinom. Nedostaci: visoki, u usporedbi sa softverskim i hardversko-softverskim CIPF-om, trošak i ograničene mogućnosti nadogradnje. U kategoriju hardvera uključene su i CIPF jedinice ugrađene u razne uređaje za snimanje i prijenos podataka koji zahtijevaju enkripciju i ograničenje pristupa informacijama. Takvi uređaji uključuju automobilske tahometre koji bilježe parametre vozila, neke vrste medicinske opreme itd. Za puni rad takvih sustava potrebna je posebna aktivacija CIPF modula od strane stručnjaka dobavljača.

Programski kriptografski sustavi zaštite

Softver CIPF je poseban programski paket za šifriranje podataka na medijima za pohranu (hard i flash diskovi, memorijske kartice, CD/DVD) i prilikom prijenosa putem interneta (e-pošta, datoteke u privitcima, sigurni chatovi itd.). Postoji dosta programa, uključujući besplatne, na primjer, DiskCryptor. Softver CIPF također uključuje sigurne virtualne mreže za razmjenu informacija koje rade "na vrhu interneta" (VPN), proširenje HTTP internetskog protokola s podrškom za HTTPS enkripciju i SSL - kriptografski protokol za prijenos informacija široko korišten u sustavima IP telefonije i internetskim aplikacijama .
Programski kriptografski sustavi zaštite informacija uglavnom se koriste na Internetu, na kućnim računalima iu drugim područjima gdje zahtjevi za funkcionalnošću i stabilnošću sustava nisu jako visoki. Ili kao što je slučaj s internetom, kada morate stvoriti mnogo različitih sigurnih veza u isto vrijeme.

Programska i hardverska kriptografska zaštita

Kombinira najbolje kvalitete hardverskih i softverskih CIPF sustava. Ovo je najpouzdaniji i najfunkcionalniji način stvaranja sigurnih sustava i podatkovnih mreža. Podržane su sve mogućnosti identifikacije korisnika, kako hardverske (USB disk ili pametna kartica), tako i “tradicionalne” - prijava i lozinka. Softverski i hardverski CIPF-ovi podržavaju sve moderne algoritme šifriranja, imaju širok raspon funkcija za kreiranje sigurnog protoka dokumenata na temelju digitalnih potpisa i sve potrebne državne certifikate. Instalaciju CIPF-a provodi kvalificirano programersko osoblje.

Broj pregleda: 296

Pojmovi i definicije

Kriptografski ključ (cryptokey)- skup podataka koji omogućava izbor jedne određene kriptografske transformacije između svih mogućih u danom kriptografskom sustavu (definicija iz “ružičaste upute - Naredba FAPSI br. 152 od 13. lipnja 2001., u daljnjem tekstu FAPSI 152).
Ključne informacije- posebno organiziran skup kriptoključeva dizajniranih za pružanje kriptografske zaštite informacija u određenom vremenskom razdoblju [FAPSI 152].
Na sljedećem primjeru možete razumjeti temeljnu razliku između kriptoključa i ključnih informacija. Prilikom organiziranja HTTPS-a generira se par javnog i privatnog ključa, a iz javnog ključa i dodatnih informacija dobiva se certifikat. Dakle, u ovoj shemi kombinacija certifikata i privatnog ključa čini informacije o ključu, a svaki od njih pojedinačno je kripto ključ. Ovdje se možete voditi sljedećim jednostavnim pravilom - krajnji korisnici koriste ključne informacije kada rade s CIPF-om, a kriptoključevi obično koriste CIPF interno. U isto vrijeme, važno je razumjeti da se ključne informacije mogu sastojati od jednog kripto ključa.
Ključni dokumenti- elektronički dokumenti na bilo kojem mediju, kao i papirnati dokumenti koji sadrže ključne informacije ograničenog pristupa za kriptografsku transformaciju informacija korištenjem algoritama za kriptografsku transformaciju informacija (kriptografski ključ) u enkripcijskim (kriptografskim) sredstvima. (definicija iz Uredbe Vlade br. 313 od 16. travnja 2012., u daljnjem tekstu PP-313)
Jednostavnim rječnikom rečeno, ključni dokument je ključna informacija zabilježena na mediju. Pri analizi ključnih informacija i ključnih dokumenata treba istaknuti da se ključne informacije iskorištavaju (odnosno koriste se za kriptografske transformacije – enkripciju, elektronički potpis i sl.), a ključni dokumenti koji ih sadrže prenose se zaposlenicima.
Sredstva kriptografske zaštite informacija (CIPF)– sredstva za šifriranje, sredstva za zaštitu od imitacije, sredstva za elektronički potpis, sredstva za kodiranje, sredstva za izradu ključnih dokumenata, ključna dokumenta, hardverska enkripcijska (kriptografska) sredstva, programska i hardverska enkripcijska (kriptografska) sredstva. [PP-313]
Kada analizirate ovu definiciju, možete pronaći u njoj prisutnost pojma ključni dokumenti. Termin je naveden u Vladinoj Uredbi i mi ga nemamo pravo mijenjati. U isto vrijeme, daljnji opis će se provesti na temelju toga da će CIPF uključivati samo sredstva za implementaciju kriptografskih transformacija). Ovakav pristup će pojednostaviti reviziju, ali istovremeno neće utjecati na njezinu kvalitetu, budući da ćemo i dalje voditi računa o ključnim dokumentima, ali u svom dijelu i vlastitim metodama.

Metodologija revizije i očekivani rezultati

Glavne značajke revizijske metodologije predložene u ovom članku su postulati koji:

nijedan zaposlenik tvrtke ne može točno odgovoriti na pitanja postavljena tijekom revizije;
postojeći izvori podataka (popisi, registri i sl.) su netočni ili loše strukturirani.

Stoga je metodologija predložena u članku svojevrsno rudarenje podataka, tijekom kojega će se isti podaci izvlačiti iz različitih izvora, a zatim uspoređivati, strukturirati i pročišćavati.

Evo glavnih ovisnosti koje će nam u tome pomoći:

Ako postoji CIPF, onda postoji ključna informacija.
Ako postoji elektronički protok dokumenata (uključujući ugovorne strane i regulatore), tada se najvjerojatnije koristi elektronički potpis i, kao rezultat, CIPF i ključne informacije.
Upravljanje elektroničkim dokumentima u ovom kontekstu treba shvatiti široko, odnosno uključivat će i izravnu razmjenu pravno značajnih elektroničkih dokumenata, i podnošenje izvješća, i rad u platnim ili trgovačkim sustavima i sl. Popis i oblici upravljanja elektroničkim dokumentima određeni su poslovnim procesima tvrtke, kao i važećim zakonskim propisima.
Ako se zaposlenik bavi elektroničkim upravljanjem dokumentima, tada najvjerojatnije ima ključne dokumente.
Prilikom organiziranja elektroničkog upravljanja dokumentima s protustrankama obično se izdaju organizacijski i upravni akti (nalozi) o imenovanju odgovornih osoba.
Ako se informacije prenose putem interneta (ili drugih javnih mreža), najvjerojatnije su šifrirane. To se prije svega odnosi na VPN-ove i razne sustave udaljenog pristupa.
Ako se u mrežnom prometu otkriju protokoli koji prenose promet u šifriranom obliku, tada se koriste CIPF i informacije o ključu.
Ako su izvršene nagodbe s drugim ugovornim stranama koje se bave: isporukom opreme za informacijsku sigurnost, telekomunikacijskim uređajima, pružanjem usluga prijenosa informacija, uslugama certifikacijskih centara, tada se tijekom te interakcije može kupiti CIPF ili ključni dokumenti.
Ključni dokumenti mogu biti na prenosivim medijima (diskete, flash diskovi, tokeni, ...) ili snimljeni unutar računala i hardverskih kriptografskih sustava zaštite informacija.
Kada koristite alate za virtualizaciju, ključni dokumenti mogu se pohraniti unutar virtualnih strojeva i montirati na virtualne strojeve pomoću hipervizora.
Hardverski CIPF može se instalirati u poslužiteljskim sobama i ne biti dostupan za analizu putem mreže.
Neki sustavi za upravljanje elektroničkim dokumentima mogu biti u neaktivnom ili neaktivnom obliku, ali istovremeno sadrže aktivne ključne informacije i CIPF.
Interna regulatorna i organizacijska dokumentacija može sadržavati informacije o sustavima za elektroničko upravljanje dokumentima, CIPF-u i ključnim dokumentima.

Za dobivanje primarnih informacija mi ćemo:

intervjuirati zaposlenike;
analizirati dokumentaciju tvrtke, uključujući interne regulatorne i administrativne dokumente, kao i izlazne naloge za plaćanje;
provoditi vizualnu analizu poslužiteljskih soba i komunikacijskih ormara;
provoditi tehničku analizu sadržaja automatiziranih radnih stanica (AWS), poslužitelja i virtualizacijskih alata.

Kasnije ćemo formulirati konkretne aktivnosti, a za sada pogledajmo konačne podatke koje bismo trebali dobiti kao rezultat revizije:

Popis CIPF-a:

CIPF model. Na primjer, CIPF Crypto CSP 3.9 ili OpenSSL 1.0.1
CIPF identifikator instance. Na primjer, serijski, licencni (ili registracijski prema PKZ-2005) broj CIPF-a
Informacije o certifikatu FSB-a Rusije za kriptografsku zaštitu podataka, uključujući broj te datume početka i završetka valjanosti.
Podaci o mjestu rada CIPF-a. Primjerice, naziv računala na kojem je instaliran programski CIPF ili naziv tehničkog sredstva ili prostora u kojem je instaliran hardverski CIPF.

Ove informacije će vam omogućiti da:

Upravljajte ranjivostima u CIPF-u, odnosno brzo ih otkrijte i ispravite.
Pratite rokove valjanosti certifikata za CIPF, a također provjerite koristi li se certificirani CIPF u skladu s pravilima utvrđenim dokumentacijom ili ne.
Planirajte troškove za CIPF, znajući koliko je već u funkciji i koliko je konsolidiranih sredstava još dostupno.
Generirajte regulatorna izvješća.

Popis ključnih informacija:

Za svaki element popisa bilježimo sljedeće podatke:

Naziv ili identifikator ključnih informacija. Na primjer, „Ključ kvalificiranog elektroničkog potpisa. Certifikat serijski broj 31:2D:AF", a identifikator treba odabrati tako da se po njemu može pronaći ključ. Na primjer, pri slanju obavijesti, certifikacijska tijela obično identificiraju ključeve prema brojevima certifikata.
Kontrolni centar ključnog sustava (KSUC), koji je objavio ovu ključnu informaciju. To može biti organizacija koja je izdala ključ, na primjer, tijelo za izdavanje certifikata.
Pojedinac, u čije ime je objavljena ključna informacija. Ove informacije mogu se izdvojiti iz CN polja X.509 certifikata
Format ključnih informacija. Na primjer, CIPF CryptoPRO, CIPF Verba-OW, X.509, itd. (ili drugim riječima za korištenje s kojim CIPF-om su ove ključne informacije namijenjene).
Dodjeljivanje ključnih informacija. Na primjer, "Sudjelovanje u trgovanju na Sberbank AST stranici", "Kvalificirani elektronički potpis za izvješćivanje" itd. S tehničkog gledišta, u ovo polje možete zabilježiti ograničenja zabilježena u poljima proširene upotrebe ključa i drugim X.509 certifikatima.
Početak i kraj razdoblja valjanosti ključnih informacija.
Procedura ponovnog objavljivanja ključnih informacija. Odnosno, znanje o tome što treba učiniti i kako prilikom ponovnog objavljivanja ključnih informacija. U najmanju ruku, preporučljivo je zabilježiti kontakte službenika središnjeg kontrolnog centra koji je objavio ključnu informaciju.
Popis informacijskih sustava, usluga ili poslovnih procesa unutar kojih se koriste ključne informacije. Na primjer, "Sustav usluga daljinskog bankarstva Internet klijent-banka".

Ove informacije će vam omogućiti da:

Pratite datume isteka ključnih informacija.
Brzo ponovno objavite ključne informacije kada je to potrebno. Ovo može biti potrebno i za planirano i za neplanirano ponovno izdavanje.
Blokirati korištenje ključnih podataka po otkazu zaposlenika za kojeg su izdani.
Istražite incidente informacijske sigurnosti odgovarajući na pitanja: "Tko je imao ključeve za plaćanje?" i tako dalje.

Popis ključnih dokumenata:

Za svaki element popisa bilježimo sljedeće podatke:

Ključne informacije sadržane u ključnom dokumentu.
Nositelj ključnih informacija, na kojem se bilježe ključne informacije.
Lice, odgovoran za sigurnost ključnog dokumenta i povjerljivost ključnih informacija sadržanih u njemu.

Ove informacije će vam omogućiti da:

Ponovno objaviti ključne informacije u slučajevima: otpuštanja zaposlenika koji posjeduju ključne dokumente, kao iu slučaju kompromitacije medija.
Osigurajte povjerljivost ključnih informacija popisom medija koji ih sadrže.

Plan revizije

Faza 1. Prikupljanje podataka iz infrastrukturnih odjela tvrtke

№	Akcijski
Izvor – svi zaposlenici tvrtke
1	Šaljemo korporativnu e-poštu svim zaposlenicima tvrtke tražeći od njih da obavijeste službu za informacijsku sigurnost o svim kriptografskim ključevima koje koriste.	Primamo e-mailove, na temelju kojih izrađujemo popis ključnih informacija i popis ključnih dokumenata
Izvor – voditelj Službe za informatiku
1	Tražimo popis ključnih informacija i ključnih dokumenata	Uz određenu vjerojatnost, IT služba održava slične dokumente; koristit ćemo ih za generiranje i pojašnjenje popisa ključnih informacija, ključnih dokumenata i CIPF-a
2	Tražimo popis CIPF-a
3	Tražimo registar softvera instaliranih na poslužiteljima i radnim stanicama	U ovom registru tražimo softverske CIPF-ove i njihove komponente. Na primjer, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, KritoARM itd. Na temelju tih podataka formiramo listu CIPF-a.
4	Tražimo popis zaposlenika (vjerojatno tehničke podrške) koji pomažu korisnicima u korištenju CIPF-a i ponovnom izdavanju ključnih informacija.	Od tih osoba tražimo iste podatke kao i od administratora sustava
Izvor – administratori sustava Službe informatike
1	Tražimo popis domaćih kripto pristupnika (VIPNET, Continent, S-terra, itd.)	U slučajevima kada tvrtka ne provodi redovne poslovne procese za upravljanje informatikom i informacijskom sigurnošću, takva pitanja mogu pomoći podsjetiti administratore sustava na postojanje određenog uređaja ili softvera. Ove informacije koristimo za dobivanje popisa CIPF-a.
2	Tražimo popis domaćeg softvera CIPF (CIPF MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...)
3	Tražimo popis usmjerivača koji implementiraju VPN za: a) komunikacije između ureda tvrtke; b) interakcije s izvođačima i partnerima.
4	Tražimo popis informacijskih usluga objavljenih na Internetu (dostupan s Interneta). To može uključivati: a) korporativna e-pošta; b) sustavi za razmjenu trenutnih poruka; c) korporativne web stranice; d) servisi za razmjenu informacija s partnerima i izvođačima (extranet); e) sustave daljinskog bankarstva (ako je tvrtka banka); f) sustavi daljinskog pristupa mreži poduzeća. Kako bismo provjerili potpunost dostavljenih informacija, uspoređujemo ih s popisom pravila Portforwarding rubnih vatrozida.	Analizirajući primljene informacije, velika je vjerojatnost da ćete se susresti s korištenjem CIPF-a i kriptoključeva. Dobivene podatke koristimo za izradu popisa CIPF-a i ključnih informacija.
5	Tražimo popis informacijskih sustava koji se koriste za izvješćivanje (Taxcom, Kontur, itd.)	Ovi sustavi koriste kvalificirane ključeve elektroničkog potpisa i CIPF. Kroz ovaj popis izrađujemo popis CIPF-a, popis ključnih informacija, a također saznajemo zaposlenike koji koriste ove sustave za izradu popisa ključnih dokumenata.
6	Tražimo popis internih sustava za elektroničko upravljanje dokumentima (Lotus, DIRECTUM, 1C: Document Management itd.), kao i popis njihovih korisnika.	Ključevi elektroničkog potpisa mogu se pronaći unutar internih sustava za upravljanje elektroničkim dokumentima. Na temelju dobivenih informacija izrađujemo popis ključnih informacija i popis ključnih dokumenata.
7	Tražimo popis internih certifikacijskih centara.	Sredstva koja se koriste za organiziranje certifikacijskih centara evidentiraju se u popisu CIPF-a. U budućnosti ćemo analizirati sadržaj baza podataka certifikacijskih tijela kako bismo identificirali ključne informacije.
8	Tražimo informacije o korištenju tehnologija: IEEE 802.1x, WiFiWPA2 Enterprise i IP sustavi video nadzora	Ako se te tehnologije koriste, mogli bismo pronaći ključne dokumente o uključenim uređajima.
Izvor – voditelj ljudskih resursa
1	Molimo opišite proces zapošljavanja i otpuštanja zaposlenika. Fokusiramo se na pitanje tko preuzima ključne dokumente od zaposlenika koji daju otkaz	Analiziramo dokumente (zaobilazne listove) na prisutnost informacijskih sustava u njima u kojima se CIPF može koristiti.

Faza 2. Prikupljanje podataka iz poslovnih jedinica tvrtke (na primjeru Banke)

№	Akcijski	Očekivani rezultat i njegova upotreba
Izvor – Voditelj obračunske službe (korespondentni odnosi)
1	Navedite shemu za organiziranje interakcije s platnim sustavom Banke Rusije. Ovo će posebno biti relevantno za banke koje imaju razvijenu mrežu podružnica, u kojima se podružnice mogu izravno povezati s platnim sustavom Centralne banke	Na temelju dobivenih podataka utvrđujemo lokaciju pristupnika plaćanja (AWC KBR, UTA) i popis uključenih korisnika. Dobivene podatke koristimo za izradu popisa CIPF-a, ključnih informacija i ključnih dokumenata.
2	Tražimo popis banaka s kojima su uspostavljeni izravni korespondentski odnosi, a također molimo da nam kažete tko je uključen u obavljanje transfera i koja tehnička sredstva se koriste.
3	Tražimo popis platnih sustava u kojima Banka sudjeluje (SWIFT, VISA, MasterCard, NSPK itd.), kao i lokaciju komunikacijskih terminala	Isto kao i za platni sustav Banke Rusije
Izvor – Voditelj odjela odgovornog za pružanje usluga daljinskog bankarstva
1	Tražimo popis sustava daljinskog bankarstva.	U tim sustavima analiziramo korištenje CIPF-a i ključnih informacija. Na temelju dobivenih podataka izrađujemo popis CIPF-a i ključnih informacija i ključnih dokumenata.
Izvor – Voditelj odjela odgovornog za funkcioniranje procesiranja platnih kartica
1	Zahtjev za HSM registar	Na temelju primljenih informacija izrađujemo popis CIPF-a, ključnih informacija i ključnih dokumenata.
2	Tražimo registar zaštitara
4	Tražimo informacije o komponentama LMK HSM
5	Tražimo informacije o organizaciji sustava poput 3D-Secure i organizaciji personalizacije platnih kartica
Izvor – Voditelji odjela koji obavljaju poslove riznice i depozita
1	Popis banaka s kojima su uspostavljeni korespondentski odnosi i koje sudjeluju u međubankarskom kreditiranju.	Primljene informacije koristimo za razjašnjavanje prethodno primljenih podataka od usluge namire, a također bilježimo informacije o interakciji s burzama i depozitarima. Na temelju dobivenih informacija izrađujemo popis CIPF-a i ključnih informacija.
2	Popis burzi i specijaliziranih depozitorija s kojima Banka radi
Izvor – Voditelji službi i odjela za financijski nadzor odgovorni za podnošenje izvješća Banci Rusije
1	Tražimo informacije o tome kako šalju informacije i primaju informacije od Centralne banke. Popis uključenih osoba i tehničkih sredstava.	Informacijska interakcija s Bankom Rusije strogo je regulirana relevantnim dokumentima, na primjer, 2332-U, 321-I i mnogim drugima, provjeravamo usklađenost s tim dokumentima i stvaramo popise CIPF-a, ključnih informacija i ključnih dokumenata.
Izvor – Glavni računovođa i računovodstveni djelatnici uključeni u plaćanje računa za unutarbankarske potrebe
1	Tražimo informacije o tome kako se izvješća pripremaju i podnose poreznim inspektoratima i Banci Rusije	Pojašnjavamo prethodno primljene informacije
2	Tražimo registar platnih dokumenata za plaćanje za unutarbankarske potrebe	U ovom registru ćemo tražiti dokumente gdje: 1) kao primatelji plaćanja navedeni su certifikacijski centri, specijalizirani telekom operateri, proizvođači CIPF-a i dobavljači telekomunikacijske opreme. Imena tih tvrtki mogu se dobiti iz Registra certificiranih CIPF-a FSB-a Rusije, popisa akreditiranih certifikacijskih centara Ministarstva telekomunikacija i masovnih komunikacija i drugih izvora. 2) kao dešifriranje plaćanja postoje riječi: „CIPF“, „potpis“, „token“, „ključ“, „BKI“ itd.
Izvor – Voditelji službi za upravljanje dospjelim dugovima i rizicima
1	Tražimo popis ureda za kreditnu povijest i agencija za naplatu s kojima Banka surađuje.	Zajedno s informatičkom službom analiziramo zaprimljene podatke radi pojašnjenja organizacije upravljanja elektroničkim dokumentima, na temelju čega pojašnjavamo popise CIPF-a, ključnih informacija i ključnih dokumenata.
Izvor – Voditelji službi za upravljanje dokumentima, unutarnju kontrolu i unutarnju reviziju
1	Tražimo registar internih organizacijskih i upravnih akata (naredbi).	U ovim dokumentima tražimo dokumente koji se odnose na CIPF. Da bismo to učinili, analiziramo prisutnost ključnih riječi "sigurnost", "odgovorna osoba", "administrator", "elektronički potpis", "digitalni potpis", "digitalni potpis", "digitalni potpis", "digitalni digitalni potpis", “ASP”, “CIPF” i njihove izvedenice. Zatim identificiramo popis zaposlenika Banke zabilježen u tim dokumentima. Vodimo razgovore sa zaposlenicima o njihovoj upotrebi kriptovaluta. Primljene informacije odražavaju se na popisima CIPF-a, ključnim informacijama i ključnim dokumentima.
2	Tražimo popise ugovora s drugim ugovornim stranama	Pokušavamo identificirati ugovore o elektroničkom upravljanju dokumentima, kao i ugovore s tvrtkama koje nude proizvode za informacijsku sigurnost ili pružaju usluge u ovom području, kao i tvrtke koje pružaju usluge certifikacijskih centara i usluge izvješćivanja putem interneta.
3	Analiziramo tehnologiju pohranjivanja dnevnih dokumenata u elektroničkom obliku	Pri provedbi pohrane dokumenata dana u elektroničkom obliku mora se koristiti kriptografska zaštita informacija

Faza 3. Tehnička revizija

№	Akcijski	Očekivani rezultat i njegova upotreba
1	Provodimo tehničku inventuru softvera instaliranog na računalima. Da bismo to učinili koristimo: · analitičke mogućnosti korporativnih antivirusnih sustava (na primjer, Kaspersky Anti-Virus može izgraditi sličan registar). · WMI skripte za prozivanje računala s operativnim sustavom Windows; · mogućnosti upravitelja paketa za prozivanje *nix sustava; · specijalizirani softver za popis.	Od instaliranog softvera tražimo softver CIPF, upravljačke programe za hardver CIPF i ključne medije. Na temelju dobivenih informacija ažuriramo popis CIPF-a.
2	Ključne dokumente tražimo na poslužiteljima i radnim stanicama. Za ovo · Koristeći skripte za prijavu, ispitujemo radne stanice u domeni o prisutnosti certifikata s privatnim ključevima u korisničkim profilima i računalnim profilima. · Na svim računalima, file serverima, hipervizorima tražimo datoteke s nastavcima: crt, cer, key, pfx, p12, pem, pse, jks itd. · Na hipervizorima virtualizacijskih sustava tražimo montirane diskovne pogone i slike disketa.	Vrlo često se ključni dokumenti prikazuju u obliku spremnika ključeva datoteka, kao i spremnika pohranjenih u registrima računala s operativnim sustavom Windows. Pronađeni ključni dokumenti evidentiraju se u popisu ključnih dokumenata, a ključni podaci sadržani u njima evidentiraju se u popisu ključnih podataka.
3	Analiziramo sadržaj baza podataka certifikacijskih tijela	Baze podataka certifikacijskih tijela obično sadrže podatke o certifikatima koje su izdala ta tijela. Primljene podatke upisujemo u popis ključnih podataka i popis ključnih dokumenata.
4	Provodimo vizualni pregled poslužiteljskih soba i ormara za ožičenje, tražeći CIPF i hardverske ključne medije (tokene, diskove)	U nekim je slučajevima nemoguće provesti popis CIPF-a i ključnih dokumenata putem mreže. Sustavi se mogu nalaziti u izoliranim mrežnim segmentima ili uopće nemaju mrežne veze. Da bismo to učinili, provodimo vizualni pregled, čiji bi rezultati trebali utvrditi nazive i namjene sve opreme predstavljene u poslužiteljskim sobama. Primljene podatke unosimo u popis CIPF-a i ključnih dokumenata.
5	Analiziramo mrežni promet kako bismo identificirali tokove informacija pomoću šifrirane razmjene	Šifrirani protokoli - HTTPS, SSH, itd. omogućit će nam identificiranje mrežnih čvorova na kojima se izvode kriptografske transformacije, a kao rezultat sadrže CIPF i ključne dokumente.

Zaključak

Oznake:

skzi
kriptografija
Elektronički potpis
revizija
upravljanje

Dodaj oznake

Kako se zove sustav kriptografske zaštite informacija? Kriptografske metode zaštite informacija

Pojmovi i definicije

Metodologija revizije i očekivani rezultati

Plan revizije

Zaključak

Pojmovi i definicije

Metodologija revizije i očekivani rezultati

Plan revizije

Zaključak

Najbolji članci na temu