Qual è il nome del sistema di protezione delle informazioni crittografiche. Metodi crittografici di protezione delle informazioni

21.07.2019 Errori

Dal punto di vista della sicurezza delle informazioni, le chiavi crittografiche sono dati critici. Se prima, per rapinare un'azienda, gli aggressori dovevano entrare nel suo territorio, aprire locali e casseforti, ora è sufficiente rubare un token con una chiave crittografica ed effettuare un trasferimento tramite il sistema Internet Client-Bank. La base per garantire la sicurezza con l'aiuto dei sistemi di protezione delle informazioni crittografiche (CIPF) è il mantenimento della riservatezza delle chiavi crittografiche.

E come garantire la riservatezza di ciò che non sai esiste? Per mettere il token con la chiave nella cassaforte, è necessario conoscere l'esistenza del token e della cassaforte. Per quanto paradossale possa sembrare, pochissime aziende hanno un'idea del numero esatto di documenti chiave che utilizzano. Ciò può accadere per una serie di motivi, come la sottovalutazione delle minacce alla sicurezza delle informazioni, la mancanza di processi aziendali consolidati, le qualifiche del personale insufficienti in materia di sicurezza, ecc. Di solito ricordano questo compito dopo incidenti, come questo.

Questo articolo descriverà il primo passo verso il miglioramento della protezione delle informazioni utilizzando strumenti crittografici o, più precisamente, considereremo uno degli approcci per condurre un audit degli strumenti di protezione delle informazioni crittografiche e delle chiavi crittografiche. La narrazione sarà condotta per conto di uno specialista della sicurezza delle informazioni, mentre assumiamo che il lavoro venga svolto da zero.

Termini e definizioni

All'inizio dell'articolo, per non spaventare il lettore impreparato con definizioni complesse, abbiamo ampiamente utilizzato i termini chiave crittografica o criptochiave, ora è il momento di migliorare il nostro apparato concettuale e renderlo conforme alla normativa vigente. Si tratta di un passaggio molto importante, poiché strutturerà efficacemente le informazioni ottenute dai risultati dell'audit.

Chiave crittografica (chiave crittografica)- un insieme di dati che assicuri la scelta di una specifica trasformazione crittografica tra tutte possibili in un dato sistema crittografico (definizione dalla "istruzione rosa - Ordinanza FAPSI n. 152 del 13 giugno 2001, di seguito - FAPSI 152).
Informazione chiave- un insieme di chiavi crittografiche appositamente organizzato, progettato per effettuare la protezione crittografica delle informazioni per un certo periodo [FAPSI 152].
Puoi comprendere la differenza fondamentale tra una chiave crittografica e le informazioni sulla chiave usando il seguente esempio. Quando si organizza HTTPS, viene generata una coppia di chiavi pubblica e privata e si ottiene un certificato dalla chiave pubblica e informazioni aggiuntive. Quindi, in questo schema, la combinazione di un certificato e di una chiave privata forma le informazioni sulla chiave, e ognuna di esse individualmente è una chiave crittografica. Qui puoi essere guidato dalla seguente semplice regola: quando si lavora con CIPF, gli utenti finali utilizzano le informazioni chiave e le chiavi crittografiche di solito utilizzano CIPF al loro interno. Allo stesso tempo, è importante capire che le informazioni chiave possono essere costituite da una chiave crittografica.
Documenti chiave- documenti elettronici su qualsiasi supporto, nonché documenti cartacei contenenti informazioni chiave di accesso limitato per la trasformazione crittografica delle informazioni utilizzando algoritmi per la trasformazione crittografica delle informazioni (chiave crittografica) in mezzi crittografici (crittografici). (determinazione dal Decreto del Governo 16 aprile 2012 n. 313, di seguito denominato PP-313)
In parole povere, un documento chiave è un'informazione chiave registrata su un supporto. Quando si analizzano le informazioni chiave e i documenti chiave, va notato che le informazioni chiave vengono sfruttate (ovvero utilizzate per trasformazioni crittografiche - crittografia, firma elettronica, ecc.) E i documenti chiave che le contengono vengono trasferiti ai dipendenti.
Mezzi di protezione delle informazioni crittografiche (CIPF)- mezzi di cifratura, mezzi di protezione dall'imitazione, mezzi di firma elettronica, mezzi di codificazione, mezzi di produzione di documenti chiave, documenti chiave, mezzi di cifratura hardware (crittografica), mezzi di cifratura hardware (crittografica) software. [PP-313]
Analizzando questa definizione, è possibile rilevare la presenza in essa del termine documenti chiave. Il termine è indicato nel Decreto del Governo e non abbiamo il diritto di modificarlo. Allo stesso tempo, l'ulteriore descrizione si baserà sul presupposto che solo le modalità di attuazione delle trasformazioni crittografiche saranno riferite al CIPF). Questo approccio semplificherà l'audit, ma allo stesso tempo non influirà sulla sua qualità, poiché terremo comunque conto dei documenti chiave, ma nella nostra sezione e con i nostri metodi.

Metodologia di audit e risultati attesi

Le caratteristiche principali della metodologia di audit proposta in questo articolo sono i postulati che:

nessun dipendente dell'azienda può rispondere con precisione alle domande poste durante l'audit;
le fonti di dati esistenti (elenchi, registri, ecc.) non sono precise o mal strutturate.

Pertanto, la metodologia proposta nell'articolo è una sorta di data mining, durante il quale gli stessi dati verranno estratti da fonti diverse, e quindi confrontati, strutturati e perfezionati.

Ecco le principali dipendenze che ci aiuteranno in questo:

Se c'è CIPF, allora ci sono le informazioni chiave.
Se esiste un flusso di documenti elettronici (anche con controparti e autorità di regolamentazione), molto probabilmente utilizza una firma elettronica e, di conseguenza, CIPF e informazioni chiave.
La gestione elettronica dei documenti in questo contesto dovrebbe essere intesa in senso ampio, ovvero includerà sia lo scambio diretto di documenti elettronici legalmente significativi, sia la rendicontazione, e il lavoro nei sistemi di pagamento o di scambio e così via. L'elenco e le forme di gestione dei documenti elettronici sono determinati dai processi aziendali dell'azienda, nonché dalla normativa vigente.
Se un dipendente è coinvolto nella gestione elettronica dei documenti, molto probabilmente ha documenti chiave.
Quando si organizza la gestione elettronica dei documenti con le controparti, i documenti organizzativi e amministrativi (ordini) vengono generalmente emessi su nomina dei responsabili.
Se le informazioni vengono trasmesse su Internet (o altre reti pubbliche), molto probabilmente sono crittografate. Prima di tutto, questo riguarda la VPN e vari sistemi di accesso remoto.
Se nel traffico di rete vengono trovati protocolli che trasmettono il traffico in forma crittografata, vengono applicati CIPF e informazioni chiave.
Se sono stati effettuati accordi con controparti coinvolte: nella fornitura di strumenti di sicurezza delle informazioni, dispositivi di telecomunicazione, fornitura di servizi per il trasferimento del gonfiore, servizi di centri di certificazione, allora durante questa interazione potrebbero essere acquisiti CIPF o documenti chiave.
I documenti chiave possono essere sia su supporti alienabili (floppy, flash drive, token, ...), sia registrati all'interno di computer e hardware CIPF.
Quando si utilizzano strumenti di virtualizzazione, i documenti chiave possono essere archiviati sia all'interno di macchine virtuali che montati su macchine virtuali utilizzando un hypervisor.
L'hardware CIPF può essere installato nelle sale server e non essere disponibile per l'analisi sulla rete.
Alcuni sistemi elettronici di gestione dei documenti possono essere in forma inattiva o inattiva, ma allo stesso tempo contengono informazioni chiave attive e CIPF.
La documentazione interna normativa, organizzativa e amministrativa può contenere informazioni sui sistemi di gestione dei documenti elettronici, CIPF e documenti chiave.

Per estrarre le informazioni primarie, noi:

intervistare i dipendenti;
analizzare la documentazione aziendale, inclusi i documenti normativi e amministrativi interni, nonché gli ordini di pagamento in uscita;
condurre un'analisi visiva delle sale server e degli armadi di comunicazione;
condurre analisi tecniche del contenuto di workstation automatizzate (AWP), server e strumenti di virtualizzazione.

Formuleremo misure specifiche in seguito, ma per ora considereremo i dati finali che dovremmo ricevere a seguito dell'audit:

Elenco di SKZI:

modello SKZI. Ad esempio, CIPF Crypto CSP 3.9 o OpenSSL 1.0.1
Identificatore di istanza CIPF. Ad esempio, numero di serie, licenza (o registrazione secondo PKZ-2005) di CIPF
Informazioni sul certificato dell'FSB della Russia per CIPF, compreso il numero e le date di inizio e fine dei periodi di validità.
Informazioni sul luogo di attività del CIPF. Ad esempio, il nome del computer su cui è installato il software CIPF o il nome dell'hardware o dei locali in cui è installato l'hardware CIPF.

Queste informazioni consentiranno:

Gestisci le vulnerabilità nel CIPF, ovvero rilevale e correggile rapidamente.
Tieni traccia della validità dei certificati per CIPF e verifica anche se il CIPF certificato viene utilizzato secondo le regole stabilite dalla documentazione o meno.
Pianifica i costi del CIPF, sapendo quanto è già operativo e quanto più fondi consolidati sono disponibili.
Genera report normativi.

Elenco delle informazioni chiave:

Per ogni elemento della lista, fissiamo i seguenti dati:

Nome o identificatore delle informazioni chiave. Ad esempio, “La chiave di un ES qualificato. Il numero di serie del certificato è 31:2D:AF", mentre l'identificatore deve essere selezionato in modo tale da poter essere utilizzato per trovare la chiave. Ad esempio, le CA, quando inviano notifiche, in genere identificano le chiavi in base ai numeri di certificato.
Centro di controllo del sistema chiave (TSUKS) che ha rilasciato queste informazioni chiave. Può trattarsi di un'organizzazione che ha rilasciato la chiave, ad esempio un'autorità di certificazione.
Individuale a nome del quale vengono rilasciate le informazioni chiave. Queste informazioni possono essere estratte dai campi CN dei certificati X.509
Formato delle informazioni chiave. Ad esempio, CIPF CryptoPRO, CIPF Verba-OW, X.509, ecc. (o in altre parole, per l'uso con cui CIPF sono destinate queste informazioni chiave).
Scopo delle informazioni chiave. Ad esempio, "Partecipazione al trading sul sito Sberbank AST", "Firma elettronica qualificata per la segnalazione", ecc. Dal punto di vista della tecnologia, in questo campo, è possibile correggere i campi fissi di restrizione dell'utilizzo delle chiavi estese e altri certificati X.509.
Inizio e fine dei periodi di validità delle informazioni chiave.
La procedura per la riemissione delle informazioni chiave. Cioè, la conoscenza di cosa fare e come, quando si ristampano le informazioni chiave. Come minimo, è auspicabile registrare i contatti dei funzionari del CCC che hanno rilasciato le informazioni chiave.
Elenco di sistemi informativi, servizi o processi aziendali all'interno dei quali vengono utilizzate le informazioni chiave. Ad esempio, "Sistema del servizio di remote banking Internet Client-Bank".

Queste informazioni consentiranno:

Tieni traccia delle date di scadenza delle informazioni chiave.
Se necessario, riemettere rapidamente le informazioni chiave. Questo potrebbe essere necessario sia per le riedizioni pianificate che per quelle non programmate.
Bloccare l'utilizzo delle informazioni chiave, al momento del licenziamento del dipendente per il quale è stato rilasciato.
Indagare sugli incidenti di sicurezza delle informazioni rispondendo alle domande: "Chi aveva le chiavi per effettuare i pagamenti?" e così via.

Elenco dei documenti chiave:

Per ogni elemento della lista, fissiamo i seguenti dati:

Informazione chiave Il contenuto nel documento chiave.
Portatore di informazioni chiave contenente le informazioni chiave.
Viso responsabile della sicurezza del documento chiave e della riservatezza delle informazioni chiave in esso contenute.

Queste informazioni consentiranno:

Riemettere le informazioni chiave in caso di: licenziamento di dipendenti in possesso di documenti chiave, nonché in caso di compromissione dei media.
Garantire la riservatezza delle informazioni chiave inventariando i supporti che le contengono.

Piano di audit

È tempo di considerare le caratteristiche pratiche dell'audit. Facciamolo sull'esempio di un istituto finanziario o, in altre parole, sull'esempio di una banca. Questo esempio non è stato scelto a caso. Le banche utilizzano un numero abbastanza elevato di eterogenei sistemi di protezione crittografica coinvolti in un numero enorme di processi aziendali e, inoltre, quasi tutte le banche sono licenziatari dell'FSB russo per la crittografia. Più avanti nell'articolo verrà presentato un piano di audit per il CIPF e le chiavi crittografiche, in relazione alla Banca. Allo stesso tempo, questo piano può essere preso come base per l'audit di quasi tutte le società. Per facilità di percezione, il piano è diviso in fasi, che, a loro volta, sono piegate in spoiler.

Fase 1. Raccolta dei dati dai dipartimenti infrastrutturali dell'azienda

№	Azione
Fonte: tutti i dipendenti dell'azienda
1	Realizziamo una mailing list aziendale a tutti i dipendenti dell'azienda con la richiesta di informare il servizio di sicurezza delle informazioni su tutte le chiavi crittografiche che utilizzano	Riceviamo e-mail, sulla base delle quali formiamo un elenco di informazioni chiave e un elenco di documenti chiave
Fonte - Responsabile del servizio di tecnologia dell'informazione
1	Richiediamo un elenco di informazioni chiave e documenti chiave	Con una certa probabilità, il servizio IT conserva tali documenti, li utilizzeremo per formare e chiarire elenchi di informazioni chiave, documenti chiave e CIPF
2	Richiediamo un elenco di CIPF
3	Richiediamo la registrazione del software installato su server e workstation	In questo registro, stiamo cercando strumenti di protezione delle informazioni crittografiche software e i loro componenti. Ad esempio, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, CritoARM, ecc. Sulla base di questi dati, formiamo un elenco di strumenti di protezione delle informazioni crittografiche.
4	Richiediamo un elenco di dipendenti (probabilmente supporto tecnico) che aiutano gli utenti a utilizzare CIPF e riemettono le informazioni chiave.	Chiediamo a queste persone le stesse informazioni degli amministratori di sistema
Fonte - Amministratori di sistema del servizio di tecnologia dell'informazione
1	Richiediamo un elenco di gateway crittografici domestici (VIPNET, Continent, S-terra, ecc.)	Nei casi in cui l'azienda non ha implementato processi aziendali regolari di gestione della sicurezza IT e delle informazioni, tali domande possono aiutare gli amministratori di sistema a ricordare l'esistenza di un particolare dispositivo o software. Usiamo queste informazioni per ottenere un elenco di CIPF.
2	Richiediamo un elenco di software domestici CIPF (CIPF MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...)
3	Richiediamo un elenco di router che implementano VPN per: a) comunicazioni degli uffici della società; b) interazione con appaltatori e partner.
4	Richiediamo un elenco di servizi informativi pubblicati su Internet (accessibili da Internet). Possono includere: a) posta elettronica aziendale; b) sistemi di messaggistica istantanea; c) siti web aziendali; d) servizi per lo scambio di informazioni con partner e appaltatori (extranet); e) sistemi di remote banking (se la società è una Banca); f) sistemi per l'accesso remoto alla rete aziendale. Per verificare la completezza delle informazioni fornite, le confrontiamo con l'elenco delle regole di Portforwarding degli edge firewall.	Analizzando le informazioni ricevute, con un'alta probabilità, è possibile trovare l'uso di strumenti di protezione delle informazioni crittografiche e chiavi crittografiche. Utilizziamo i dati ottenuti per formare un elenco di strumenti di protezione delle informazioni crittografiche e informazioni chiave.
5	Richiediamo un elenco dei sistemi informativi utilizzati per la segnalazione (Takskom, Kontur, ecc.)	Questi sistemi utilizzano chiavi di firma elettronica qualificate e CIPF. Attraverso questo elenco, formiamo un elenco di strumenti di protezione delle informazioni crittografiche, un elenco di informazioni chiave e riconosciamo anche i dipendenti che utilizzano questi sistemi per formare un elenco di documenti chiave.
6	Richiediamo un elenco dei sistemi di gestione dei documenti elettronici interni (Lotus, DIRECTUM, 1C: Gestione dei documenti, ecc.), nonché un elenco dei loro utenti.	Nell'ambito dei sistemi interni di gestione elettronica dei documenti, possono verificarsi chiavi di firma elettronica. Sulla base delle informazioni ricevute, formiamo un elenco di informazioni chiave e un elenco di documenti chiave.
7	Richiediamo un elenco di centri di certificazione interni.	I mezzi utilizzati per organizzare i centri di certificazione sono registrati nell'elenco del CIPF. In futuro analizzeremo i contenuti dei database dei centri di certificazione per identificare le informazioni chiave.
8	Richiediamo informazioni sull'utilizzo delle tecnologie: IEEE 802.1x, WiFiWPA2 Enterprise e sistemi di videosorveglianza IP	Nel caso di utilizzo di queste tecnologie, possiamo trovare documenti chiave nei dispositivi coinvolti.
Fonte - Responsabile Risorse Umane
1	Descrivi il processo di assunzione e licenziamento dei dipendenti. Concentrandosi sulla questione di chi prende i documenti chiave dai dipendenti in partenza	Analizziamo i documenti (fogli di bypass) per la presenza di sistemi informativi in cui è possibile utilizzare il CIPF.

Fase 2. Raccolta dei dati dalle unità di business dell'azienda (sull'esempio della Banca)

№	Azione	Risultato atteso e suo utilizzo
Fonte - Responsabile del servizio di liquidazione (relazioni con i corrispondenti)
1	Fornisci uno schema per organizzare l'interazione con il sistema di pagamento della Banca di Russia. In particolare, ciò sarà rilevante per le banche che dispongono di una rete di sportelli sviluppata, in cui gli sportelli possono collegare la Banca Centrale direttamente al sistema di pagamento	Sulla base dei dati ricevuti, determiniamo la posizione dei gateway di pagamento (ARM KBR, UTA) e l'elenco degli utenti coinvolti. Usiamo le informazioni ricevute per formare un elenco di CIPF, informazioni chiave e documenti chiave.
2	Chiediamo l'elenco delle Banche con le quali sono stati instaurati rapporti di corrispondenza diretta, e ci chiediamo anche di indicare chi è coinvolto nell'effettuare bonifici e quali mezzi tecnici vengono utilizzati.
3	Richiediamo un elenco dei sistemi di pagamento a cui partecipa la Banca (SWIFT, VISA, MasterCard, NSPK, ecc.), nonché l'ubicazione dei terminali per la comunicazione	Allo stesso modo, come per il sistema di pagamento della Banca di Russia
Fonte - Responsabile della divisione preposta all'erogazione dei servizi di remote banking
1	Richiediamo un elenco di sistemi di remote banking.	In questi sistemi, analizziamo l'uso del CIPF e delle informazioni chiave. Sulla base dei dati ottenuti, formiamo un elenco di strumenti di protezione delle informazioni crittografiche e informazioni chiave e documenti chiave.
Fonte - Responsabile del dipartimento responsabile del funzionamento dell'elaborazione delle carte di pagamento
1	Interrogazione del registro HSM	Sulla base delle informazioni ricevute, formiamo un elenco di CIPF, informazioni chiave e documenti chiave.
2	Richiesta di un registro degli agenti di sicurezza
4	Richiesta di informazioni sui componenti LMK HSM
5	Richiediamo informazioni sull'organizzazione di sistemi come 3D-Secure e sull'organizzazione della personalizzazione delle carte di pagamento
Fonte - Capi di dipartimento che svolgono le funzioni di tesoreria e di depositario
1	Elenco delle banche con le quali sono stati instaurati rapporti di corrispondenza e che partecipano al credito interbancario.	Utilizziamo le informazioni ricevute per chiarire i dati ricevuti in precedenza dal servizio di regolamento e registrare anche le informazioni sull'interazione con borse valori e depositari. Sulla base delle informazioni ricevute, formiamo un elenco di strumenti di protezione delle informazioni crittografiche e informazioni chiave.
2	Elenco delle borse e dei depositari specializzati con cui la Banca opera
Fonte - Responsabili dei servizi di monitoraggio finanziario e dei dipartimenti responsabili della segnalazione alla Banca di Russia
1	Chiediamo informazioni su come inviano e ricevono informazioni dalla Banca centrale. Elenco delle persone coinvolte e dei mezzi tecnici.	L'interazione delle informazioni con la Banca di Russia è rigorosamente regolata da documenti pertinenti, ad esempio 2332-U, 321-I e molti altri, controlliamo la conformità con questi documenti e formiamo elenchi di CIPF, informazioni chiave e documenti chiave.
Fonte - Capo contabile e personale contabile coinvolto nel pagamento delle bollette per esigenze bancarie interne
1	Chiediamo informazioni su come avviene la preparazione e la presentazione delle relazioni agli ispettorati fiscali e alla Banca di Russia	Perfeziona le informazioni ricevute in precedenza
2	Richiediamo un registro dei documenti di pagamento per pagare le esigenze intra-bancarie	In questo registro cercheremo documenti in cui: 1) sono indicati come destinatari del pagamento centri di certificazione, operatori di telecomunicazioni specializzati, produttori di CIPF, fornitori di apparecchiature per telecomunicazioni. I nomi di queste società possono essere ottenuti dal Registro dei CIPF certificati dell'FSB della Russia, dall'elenco dei centri di certificazione accreditati del Ministero delle telecomunicazioni e delle comunicazioni di massa e da altre fonti. 2) come decifrazione del pagamento, ci sono le parole: "CIPF", "firma", "token", "chiave", "BKI", ecc.
Fonte - Responsabili Arretrati e Risk Management
1	Chiediamo un elenco delle agenzie di credito e delle agenzie di recupero crediti con cui la Banca collabora.	Insieme al servizio informatico, analizziamo i dati ricevuti al fine di chiarire l'organizzazione della gestione elettronica dei documenti, sulla base della quale perfezioniamo gli elenchi degli strumenti di protezione delle informazioni crittografiche, delle informazioni chiave e dei documenti chiave.
Fonte - Responsabili dei servizi di gestione documentale, controllo interno e audit interno
1	Richiediamo un registro dei documenti organizzativi e amministrativi interni (ordini).	In questi documenti cerchiamo documenti relativi al CIPF. Per fare ciò, analizziamo la presenza delle parole chiave "sicurezza", "persona responsabile", "amministratore", "firma elettronica", "ES", "EDS", "EDO", "ASP", "CIPF" e le loro derivati. Successivamente, identifichiamo l'elenco dei dipendenti della Banca registrati in questi documenti. Conduciamo interviste con i dipendenti sul tema del loro utilizzo degli strumenti crittografici. Riflettiamo le informazioni ricevute negli elenchi di CIPF, informazioni chiave e documenti chiave.
2	Richiediamo elenchi di contratti con appaltatori	Stiamo cercando di individuare accordi sulla gestione elettronica dei documenti, nonché accordi con società impegnate nella fornitura di strumenti di sicurezza delle informazioni o che forniscono servizi in questo settore, nonché società che forniscono servizi di centri di certificazione e servizi di reporting via Internet.
3	Analizziamo la tecnologia di archiviazione dei documenti del giorno in formato elettronico	Quando si attua la conservazione dei documenti del giorno in formato elettronico, la CIPF è obbligatoria

Fase 3. Audit tecnico

№	Azione	Risultato atteso e suo utilizzo
1	Effettuiamo un inventario tecnico del software installato sui computer. Per questo usiamo: · Funzionalità analitiche dei sistemi di protezione antivirus aziendali (ad esempio, Kaspersky Anti-Virus può creare tale registro). · Script WMI per il polling di computer che eseguono Windows; · Possibilità dei gestori di pacchetti di interrogare i sistemi *nix; Software specializzato per l'inventario.	Tra i software installati, ricerchiamo software CIPF, driver per hardware CIPF e key media. Sulla base delle informazioni ricevute, aggiorniamo l'elenco di CIPF.
2	Cerchiamo documenti chiave su server e workstation. Per questo · Utilizzando gli script di accesso, interroghiamo la workstation nel dominio per la presenza di certificati con chiavi private nei profili utente e nei profili computer. Su tutti i computer, file server, hypervisor, cerchiamo file con estensione: crt, cer, key, pfx, p12, pem, pse, jks, ecc. · Negli hypervisor dei sistemi di virtualizzazione, stiamo cercando unità montate e immagini di floppy disk.	Molto spesso, i documenti chiave vengono presentati sotto forma di contenitori di chiavi di file, nonché contenitori archiviati nei registri dei computer che eseguono Windows. Risolviamo i documenti chiave trovati nell'elenco dei documenti chiave e le informazioni chiave in essi contenute nell'elenco delle informazioni chiave.
3	Analizziamo il contenuto delle banche dati dei centri di certificazione	I database delle autorità di certificazione di solito contengono informazioni sui certificati emessi da queste autorità. Le informazioni ricevute vengono inserite nell'elenco delle informazioni chiave e nell'elenco dei documenti chiave.
4	Effettuiamo un'ispezione visiva delle sale server e degli armadi di cablaggio, ricerchiamo protezione delle informazioni crittografiche e supporti per chiavi hardware (token, unità disco)	In alcuni casi, è impossibile fare l'inventario del CIPF e dei documenti chiave sulla rete. I sistemi possono essere posizionati su segmenti di rete isolati o non avere alcuna connessione di rete. Per fare ciò, eseguiamo un'ispezione visiva, i cui risultati dovrebbero stabilire i nomi e lo scopo di tutte le apparecchiature presentate nelle sale server. Le informazioni ricevute vengono inserite nell'elenco dei documenti CIPF e chiave.
5	Analizziamo il traffico di rete al fine di identificare i flussi di informazioni utilizzando lo scambio crittografato	I protocolli crittografati - HTTPS, SSH, ecc. ci permetteranno di identificare i nodi di rete su cui vengono eseguite le trasformazioni crittografiche e, di conseguenza, contenenti CIPF e documenti chiave.

Conclusione

In questo articolo, abbiamo esaminato la teoria e la pratica dell'auditing degli strumenti di protezione delle informazioni crittografiche e delle chiavi crittografiche. Come puoi vedere, questa procedura è piuttosto complicata e richiede molto tempo, ma se viene affrontata correttamente, è abbastanza fattibile. Speriamo che questo articolo ti aiuti nella vita reale. Grazie per l'attenzione, stiamo aspettando i vostri commenti

Tag: aggiungi tag

Protezione delle informazioni crittografiche - protezione delle informazioni mediante la loro trasformazione crittografica.

I metodi crittografici sono attualmente di base per garantire l'autenticazione affidabile delle parti allo scambio di informazioni, la protezione.

A mezzi di protezione delle informazioni crittografiche(CIPF) include hardware, firmware e software che implementano algoritmi crittografici per convertire le informazioni al fine di:

Protezione delle informazioni durante la loro elaborazione, conservazione e trasmissione;

Garantire l'affidabilità e l'integrità delle informazioni (compreso l'utilizzo di algoritmi di firma digitale) durante la loro elaborazione, conservazione e trasmissione;

Sviluppo di informazioni utilizzate per identificare e autenticare soggetti, utenti e dispositivi;

Sviluppo di informazioni utilizzate per proteggere gli elementi di autenticazione di un AS sicuro durante la loro generazione, archiviazione, elaborazione e trasmissione.

I metodi crittografici includono crittografia e codifica delle informazioni. Esistono due metodi di crittografia principali: simmetrico e asimmetrico. Nel primo di questi, la stessa chiave (che è tenuta segreta) viene utilizzata sia per crittografare che per decrittografare i dati.

Sono stati sviluppati metodi di crittografia simmetrica molto efficienti (veloci e affidabili). Esiste anche uno standard nazionale per tali metodi - GOST 28147-89 “Sistemi di elaborazione delle informazioni. Protezione crittografica. Algoritmo di trasformazione crittografica”.

I metodi asimmetrici utilizzano due chiavi. Uno di questi, non segreto (può essere pubblicato insieme ad altre informazioni pubbliche sull'utente), viene utilizzato per la crittografia, l'altro (segreto, noto solo al destinatario) viene utilizzato per la decrittazione. Il più popolare di quelli asimmetrici è il metodo RSA, che si basa su operazioni con numeri primi grandi (100 cifre) e relativi prodotti.

I metodi crittografici consentono di controllare in modo affidabile l'integrità di singole porzioni di dati e dei loro set (come un flusso di messaggi); determinare l'autenticità della fonte dei dati; garantire l'impossibilità di rifiutare le azioni intraprese ("non ripudio").

Il controllo dell'integrità crittografica si basa su due concetti:

Firma elettronica (ES).

Una funzione hash è una trasformazione di dati difficilmente reversibile (funzione unidirezionale), generalmente implementata mediante crittografia simmetrica con collegamento a blocchi. Il risultato della crittografia dell'ultimo blocco (a seconda di tutti i precedenti) è il risultato della funzione hash.

La crittografia come mezzo per proteggere (chiudere) le informazioni sta diventando sempre più importante nelle attività commerciali.

Per convertire le informazioni vengono utilizzati vari strumenti di crittografia: strumenti di crittografia dei documenti, compresi quelli portatili, strumenti di crittografia vocale (conversazioni telefoniche e radio), messaggi telegrafici e strumenti di crittografia della trasmissione dei dati.

Per proteggere i segreti commerciali sui mercati internazionali e nazionali, vengono offerti vari dispositivi tecnici e set di apparecchiature professionali per la crittografia e la crittografia di comunicazioni telefoniche e radio, corrispondenza commerciale, ecc.

Scrambler e mascheratori sono ampiamente utilizzati, sostituendo il segnale vocale con la trasmissione di dati digitali. Vengono prodotti mezzi di protezione per telescriventi, telex e fax. A tal fine vengono utilizzati codificatori, eseguiti sotto forma di dispositivi separati, sotto forma di allegati a dispositivi o integrati nella progettazione di telefoni, modem fax e altri dispositivi di comunicazione (stazioni radio e altri). La firma digitale elettronica è ampiamente utilizzata per garantire l'affidabilità dei messaggi elettronici trasmessi.

Strumenti crittografici - si tratta di mezzi matematici e algoritmici speciali per proteggere le informazioni trasmesse su sistemi e reti di comunicazione, archiviate ed elaborate su un computer utilizzando vari metodi di crittografia.
Protezione delle informazioni tecniche attraverso la sua trasformazione, escludendo la sua lettura da parte di estranei, ha preoccupato una persona fin dall'antichità. La crittografia deve fornire un tale livello di segretezza che sia possibile proteggere in modo affidabile le informazioni critiche dalla decrittazione da parte di grandi organizzazioni, come la mafia, le società transnazionali e i grandi stati. La crittografia in passato era usata solo per scopi militari. Tuttavia, ora, con l'ascesa della società dell'informazione, sta diventando uno strumento per la privacy, la fiducia, l'autorizzazione, i pagamenti elettronici, la sicurezza aziendale e innumerevoli altre cose importanti. Perché il problema dell'utilizzo dei metodi crittografici è diventato particolarmente rilevante in questo momento?
Da un lato si è ampliato l'uso delle reti informatiche, in particolare dell'Internet globale, attraverso il quale vengono trasmesse grandi quantità di informazioni di natura statale, militare, commerciale e privata, che non consentono l'accesso a persone non autorizzate.
D'altra parte, l'emergere di nuovi potenti computer, reti e tecnologie di calcolo neurale ha permesso di screditare i sistemi crittografici, che fino a poco tempo erano considerati praticamente sconosciuti.
Il problema della protezione delle informazioni trasformandole è affrontato dalla crittografia (kryptos - segreto, logos - scienza). La crittografia è divisa in due aree: crittografia e crittoanalisi. Gli obiettivi di queste direzioni sono direttamente opposti.
La crittografia è impegnata nella ricerca e nello studio di metodi matematici per trasformare le informazioni.
La sfera di interesse della crittoanalisi è lo studio della possibilità di decifrare le informazioni senza conoscerne le chiavi.
La crittografia moderna comprende 4 sezioni principali.

· Crittosistemi simmetrici.

Crittosistemi a chiave pubblica.

· Sistemi di firma elettronica.

· Gestione delle chiavi.

Le principali direzioni di utilizzo dei metodi crittografici sono la trasmissione di informazioni riservate tramite canali di comunicazione (ad esempio e-mail), l'autenticazione dei messaggi trasmessi, l'archiviazione di informazioni (documenti, database) su supporti crittografati.

Terminologia.
La crittografia permette di trasformare le informazioni in modo tale che la loro lettura (restauro) sia possibile solo se la chiave è nota.
Come informazioni da crittografare e decifrare, verranno presi in considerazione i testi costruiti su un determinato alfabeto. Questi termini significano quanto segue.
Alfabeto- un insieme finito di segni utilizzati per codificare le informazioni.
Testo- un insieme ordinato di elementi dell'alfabeto.
Crittografia- processo di trasformazione: il testo originale, detto anche testo in chiaro, è sostituito dal testo cifrato.
Decrittazione- processo di crittografia inversa. In base alla chiave, il testo cifrato viene convertito nell'originale.
Chiave- informazioni necessarie per la cifratura e la decrittazione fluida dei testi.
Un sistema crittografico è una famiglia di trasformazioni di testo in chiaro T [T1, T2, ..., Tk]. I membri di questa famiglia sono indicizzati o indicati dal simbolo "k"; il parametro k è la chiave. Lo spazio chiave K è l'insieme dei possibili valori chiave. Di solito la chiave è una serie consecutiva di lettere dell'alfabeto.
I crittosistemi sono divisi in chiave simmetrica e pubblica.
Nei crittosistemi simmetrici, la stessa chiave viene utilizzata sia per la crittografia che per la decrittografia.
I sistemi a chiave pubblica utilizzano due chiavi, pubblica e privata, che sono matematicamente correlate tra loro. Le informazioni vengono crittografate utilizzando una chiave pubblica, disponibile a tutti, e decrittografate utilizzando una chiave privata, nota solo al destinatario del messaggio.
I termini distribuzione delle chiavi e gestione delle chiavi si riferiscono ai processi di un sistema di elaborazione delle informazioni il cui contenuto è la compilazione e la distribuzione delle chiavi agli utenti.
Una firma elettronica (digitale) è una trasformazione crittografica allegata al testo, che consente, quando un altro utente riceve il testo, di verificare la paternità e l'autenticità del messaggio.
Resistenza alle criptovaluteè chiamata caratteristica di un cifrario che determina la sua resistenza alla decrittazione senza conoscere la chiave (es. crittoanalisi).
L'efficacia della crittografia per proteggere le informazioni dipende dal mantenimento del segreto della chiave e dalla forza crittografica del codice.
Il criterio più semplice per tale efficienza è la probabilità di rivelare la chiave o la cardinalità dell'insieme di chiavi (M). In sostanza, questo è lo stesso della forza crittografica. Per la sua valutazione numerica, si può anche utilizzare la complessità di decifrare la cifra mediante l'enumerazione di tutte le chiavi.
Tuttavia, questo criterio non tiene conto di altri importanti requisiti per i crittosistemi:

Impossibilità di divulgazione o modifica significativa delle informazioni sulla base dell'analisi della sua struttura;

il perfezionamento dei protocolli di sicurezza utilizzati;

la quantità minima di informazioni chiave utilizzate;

complessità minima di implementazione (nel numero di operazioni della macchina), il suo costo;

alta efficienza.

Spesso più efficace nella selezione e valutazione di un sistema crittografico è l'uso del giudizio e della simulazione di esperti.
In ogni caso, l'insieme selezionato di metodi crittografici dovrebbe combinare comodità, flessibilità ed efficienza d'uso, nonché una protezione affidabile contro gli intrusi delle informazioni che circolano nell'IS.

Tale divisione degli strumenti di sicurezza delle informazioni ( protezione tecnica delle informazioni), piuttosto condizionatamente, poiché in pratica molto spesso interagiscono e sono implementati in un complesso sotto forma di moduli software e hardware con un ampio uso di algoritmi di chiusura delle informazioni.

Conclusione

In questo lavoro del corso, ho esaminato la rete locale dell'Amministrazione e ho concluso che per proteggere completamente le informazioni, è necessario applicare tutti i mezzi di protezione al fine di ridurre al minimo la perdita di questa o quella informazione.

Come risultato del lavoro svolto: informatizzazione dei luoghi di lavoro con la loro integrazione in una rete locale, con presenza di un server e accesso a Internet. L'esecuzione di questo lavoro garantirà il lavoro più rapido e produttivo del personale di lavoro.

I compiti che erano stati fissati al momento della ricezione dell'incarico, a mio avviso, sono stati raggiunti. Lo schema della rete locale dell'Amministrazione è riportato in Appendice B.

Bibliografia.

1. GOST R 54101-2010 “Mezzi di automazione e sistemi di controllo. Mezzi e sistemi di sicurezza. Manutenzione e riparazione in corso»

2. Protezione organizzativa delle informazioni: un libro di testo per le università Averchenkov V.I., Rytov M.Yu. 2011

3. Khalyapin DB, Yarochkin V.I. Fondamenti di sicurezza delle informazioni.-M.: IPKIR, 1994

4. Khoroshko VA, Chekatkov AA Metodi e mezzi di protezione delle informazioni (a cura di Kovtanyuk) K .: Junior Publishing House, 2003-504s.

5. Hardware e reti informatiche Ilyuchin B.V. 2005

6. Yarochkin VI Sicurezza delle informazioni: un libro di testo per studenti universitari.-M.: Progetto accademico!?! Fondo "Mir", 2003.-640.

7. http://habrahabr.ru

8. http://www.intel.com/ru/update/contents/st08031.htm

9. http://securitypolicy.ru

10. http://network.xsp.ru/5_6.php

Nota A.

Nota B.

Il termine "crittografia" deriva dalle parole greche antiche per "nascosto" e "scrittura". La frase esprime lo scopo principale della crittografia: è la protezione e la conservazione della segretezza delle informazioni trasmesse. La protezione delle informazioni può avvenire in vari modi. Ad esempio, limitando l'accesso fisico ai dati, nascondendo il canale di trasmissione, creando difficoltà fisiche nel collegamento alle linee di comunicazione, ecc.

Lo scopo della crittografia A differenza della crittografia tradizionale, la crittografia presuppone la piena disponibilità del canale di trasmissione per gli intrusi e garantisce la riservatezza e l'autenticità delle informazioni utilizzando algoritmi di crittografia che rendono le informazioni inaccessibili alla lettura esterna. Un moderno sistema di protezione delle informazioni crittografiche (CIPF) è un complesso di computer software e hardware che fornisce protezione delle informazioni in base ai seguenti parametri principali.

+ Riservatezza– l'impossibilità di leggere le informazioni da parte di soggetti sprovvisti degli opportuni diritti di accesso. Il componente principale per garantire la riservatezza in CIPF è la chiave (chiave), che è una combinazione alfanumerica univoca per l'accesso dell'utente a uno specifico blocco CIPF.

+ Integrità– l'impossibilità di modifiche non autorizzate, come la modifica e la cancellazione delle informazioni. Per fare ciò, alle informazioni originali viene aggiunta la ridondanza sotto forma di una combinazione di assegni calcolata da un algoritmo crittografico e in base alla chiave. Pertanto, senza conoscere la chiave, l'aggiunta o la modifica delle informazioni diventa impossibile.

+ Autenticazione– la conferma dell'autenticità delle informazioni e dei soggetti che le inviano e le ricevono. Le informazioni trasmesse attraverso i canali di comunicazione devono essere autenticate in modo univoco per contenuto, momento di creazione e trasmissione, fonte e destinatario. Va ricordato che la fonte delle minacce può essere non solo un attaccante, ma anche le parti coinvolte nello scambio di informazioni con insufficiente fiducia reciproca. Per prevenire tali situazioni, CIPF utilizza un sistema di timestamp per rendere impossibile inviare nuovamente o restituire informazioni e modificarne l'ordine.

+ Paternità– conferma e impossibilità di rifiuto delle azioni compiute dall'utente delle informazioni. Il metodo di autenticazione più comune è una firma digitale elettronica (EDS). Il sistema EDS è costituito da due algoritmi: per creare una firma e per verificarla. Quando si lavora intensamente con l'ECC, si consiglia di utilizzare le autorità di certificazione del software per creare e gestire le firme. Tali centri possono essere implementati come mezzo di protezione dell'informazione crittografica, del tutto indipendente dalla struttura interna. Cosa significa questo per l'organizzazione? Ciò significa che tutte le transazioni con firme elettroniche vengono elaborate da organizzazioni certificate indipendenti e la falsificazione della paternità è quasi impossibile.

Attualmente, tra i CIPF, prevalgono algoritmi di crittografia aperti che utilizzano chiavi simmetriche e asimmetriche di lunghezza sufficiente a fornire la complessità crittografica desiderata. Gli algoritmi più comuni:

chiavi simmetriche - russo Р-28147.89, AES, DES, RC4;
chiavi asimmetriche - RSA;
usando le funzioni hash - Р-34.11.94, MD4/5/6, SHA-1/2. 80

Molti paesi hanno i propri standard nazionali per gli algoritmi di crittografia. Negli Stati Uniti viene utilizzato un algoritmo AES modificato con una lunghezza della chiave di 128-256 bit e nella Federazione Russa l'algoritmo di firma elettronica R-34.10.2001 e l'algoritmo crittografico a blocchi R-28147.89 con una chiave a 256 bit. Alcuni elementi dei sistemi crittografici nazionali sono vietati per l'esportazione al di fuori del paese, le attività per lo sviluppo del CIPF richiedono una licenza.

Sistemi di protezione crittografica hardware

I CIPF hardware sono dispositivi fisici contenenti software per la crittografia, la registrazione e la trasmissione di informazioni. I dispositivi di crittografia possono essere realizzati sotto forma di dispositivi personali, come i crittografi USB ruToken e le unità flash IronKey, schede di espansione per personal computer, switch e router di rete specializzati, sulla base dei quali è possibile costruire reti di computer completamente sicure.

L'hardware CIPF viene installato rapidamente e funziona ad alta velocità. Svantaggi - elevati, rispetto al software e hardware-software CIPF, costo e opzioni di aggiornamento limitate. È anche possibile fare riferimento a blocchi CIPF hardware integrati in vari dispositivi per la registrazione e la trasmissione dei dati, dove è richiesta la crittografia e la limitazione dell'accesso alle informazioni. Tali dispositivi includono contagiri per auto che registrano i parametri dei veicoli, alcuni tipi di apparecchiature mediche, ecc. Per il funzionamento completo di tali sistemi, è necessaria un'attivazione separata del modulo CIPF da parte degli specialisti del fornitore.

Sistemi di crittografia software

Software CIPF è un pacchetto software speciale per la crittografia dei dati sui supporti di archiviazione (unità disco rigido e flash, schede di memoria, CD/DVD) e trasmessi su Internet (e-mail, file allegati, chat sicure, ecc.). Esistono molti programmi, inclusi quelli gratuiti, ad esempio DiskCryptor. Il software CIPF include anche reti di scambio di informazioni virtuali sicure che operano "su Internet" (VPN), un'estensione del protocollo Internet HTTP con supporto per la crittografia HTTPS e SSL, un protocollo di trasferimento di informazioni crittografiche ampiamente utilizzato nei sistemi di telefonia IP e nelle applicazioni Internet .
Gli strumenti software di protezione delle informazioni crittografiche sono utilizzati principalmente su Internet, sui computer di casa e in altri settori in cui i requisiti per la funzionalità e la stabilità del sistema non sono molto elevati. O come nel caso di Internet, quando devi creare più connessioni sicure diverse contemporaneamente.

Crittografia software e hardware

Unisce le migliori qualità dei sistemi hardware e software CIPF. Questo è il modo più affidabile e funzionale per creare sistemi e reti di trasmissione dati sicuri. Sono supportate tutte le opzioni di identificazione dell'utente, sia hardware (chiavetta USB o smart card) che "tradizionali" - login e password. Gli strumenti di protezione delle informazioni crittografiche software e hardware supportano tutti i moderni algoritmi di crittografia, dispongono di un ampio set di funzioni per la creazione di un flusso di lavoro sicuro basato sulla firma digitale, tutti i certificati di stato richiesti. L'installazione di CIPF viene eseguita da personale qualificato dello sviluppatore.

Visualizzazioni post: 296

Termini e definizioni

Chiave crittografica (chiave crittografica)- un insieme di dati che assicuri la scelta di una specifica trasformazione crittografica tra tutte possibili in un dato sistema crittografico (definizione dalla "istruzione rosa - Ordinanza FAPSI n. 152 del 13 giugno 2001, di seguito - FAPSI 152).
Informazione chiave- un insieme di chiavi crittografiche appositamente organizzato, progettato per effettuare la protezione crittografica delle informazioni per un certo periodo [FAPSI 152].
Puoi comprendere la differenza fondamentale tra una chiave crittografica e le informazioni sulla chiave usando il seguente esempio. Quando si organizza HTTPS, viene generata una coppia di chiavi pubblica e privata e si ottiene un certificato dalla chiave pubblica e informazioni aggiuntive. Quindi, in questo schema, la combinazione di un certificato e di una chiave privata forma le informazioni sulla chiave, e ognuna di esse individualmente è una chiave crittografica. Qui puoi essere guidato dalla seguente semplice regola: quando si lavora con CIPF, gli utenti finali utilizzano le informazioni chiave e le chiavi crittografiche di solito utilizzano CIPF al loro interno. Allo stesso tempo, è importante capire che le informazioni chiave possono essere costituite da una chiave crittografica.
Documenti chiave- documenti elettronici su qualsiasi supporto, nonché documenti cartacei contenenti informazioni chiave di accesso limitato per la trasformazione crittografica delle informazioni utilizzando algoritmi per la trasformazione crittografica delle informazioni (chiave crittografica) in mezzi crittografici (crittografici). (determinazione dal Decreto del Governo 16 aprile 2012 n. 313, di seguito denominato PP-313)
In parole povere, un documento chiave è un'informazione chiave registrata su un supporto. Quando si analizzano le informazioni chiave e i documenti chiave, va notato che le informazioni chiave vengono sfruttate (ovvero utilizzate per trasformazioni crittografiche - crittografia, firma elettronica, ecc.) E i documenti chiave che le contengono vengono trasferiti ai dipendenti.
Mezzi di protezione delle informazioni crittografiche (CIPF)- mezzi di cifratura, mezzi di protezione dall'imitazione, mezzi di firma elettronica, mezzi di codificazione, mezzi di produzione di documenti chiave, documenti chiave, mezzi di cifratura hardware (crittografica), mezzi di cifratura hardware (crittografica) software. [PP-313]
Analizzando questa definizione, è possibile rilevare la presenza in essa del termine documenti chiave. Il termine è indicato nel Decreto del Governo e non abbiamo il diritto di modificarlo. Allo stesso tempo, l'ulteriore descrizione si baserà sul presupposto che solo le modalità di attuazione delle trasformazioni crittografiche saranno riferite al CIPF). Questo approccio semplificherà l'audit, ma allo stesso tempo non influirà sulla sua qualità, poiché terremo comunque conto dei documenti chiave, ma nella nostra sezione e con i nostri metodi.

Metodologia di audit e risultati attesi

Le caratteristiche principali della metodologia di audit proposta in questo articolo sono i postulati che:

nessun dipendente dell'azienda può rispondere con precisione alle domande poste durante l'audit;
le fonti di dati esistenti (elenchi, registri, ecc.) non sono precise o mal strutturate.

Pertanto, la metodologia proposta nell'articolo è una sorta di data mining, durante il quale gli stessi dati verranno estratti da fonti diverse, e quindi confrontati, strutturati e perfezionati.

Ecco le principali dipendenze che ci aiuteranno in questo:

Se c'è CIPF, allora ci sono le informazioni chiave.
Se esiste un flusso di documenti elettronici (anche con controparti e autorità di regolamentazione), molto probabilmente utilizza una firma elettronica e, di conseguenza, CIPF e informazioni chiave.
La gestione elettronica dei documenti in questo contesto dovrebbe essere intesa in senso ampio, ovvero includerà sia lo scambio diretto di documenti elettronici legalmente significativi, sia la rendicontazione, e il lavoro nei sistemi di pagamento o di scambio e così via. L'elenco e le forme di gestione dei documenti elettronici sono determinati dai processi aziendali dell'azienda, nonché dalla normativa vigente.
Se un dipendente è coinvolto nella gestione elettronica dei documenti, molto probabilmente ha documenti chiave.
Quando si organizza la gestione elettronica dei documenti con le controparti, i documenti organizzativi e amministrativi (ordini) vengono generalmente emessi su nomina dei responsabili.
Se le informazioni vengono trasmesse su Internet (o altre reti pubbliche), molto probabilmente sono crittografate. Prima di tutto, questo riguarda la VPN e vari sistemi di accesso remoto.
Se nel traffico di rete vengono trovati protocolli che trasmettono il traffico in forma crittografata, vengono applicati CIPF e informazioni chiave.
Se sono stati effettuati accordi con controparti coinvolte: nella fornitura di strumenti di sicurezza delle informazioni, dispositivi di telecomunicazione, fornitura di servizi per il trasferimento del gonfiore, servizi di centri di certificazione, allora durante questa interazione potrebbero essere acquisiti CIPF o documenti chiave.
I documenti chiave possono essere sia su supporti alienabili (floppy, flash drive, token, ...), sia registrati all'interno di computer e hardware CIPF.
Quando si utilizzano strumenti di virtualizzazione, i documenti chiave possono essere archiviati sia all'interno di macchine virtuali che montati su macchine virtuali utilizzando un hypervisor.
L'hardware CIPF può essere installato nelle sale server e non essere disponibile per l'analisi sulla rete.
Alcuni sistemi elettronici di gestione dei documenti possono essere in forma inattiva o inattiva, ma allo stesso tempo contengono informazioni chiave attive e CIPF.
La documentazione interna normativa, organizzativa e amministrativa può contenere informazioni sui sistemi di gestione dei documenti elettronici, CIPF e documenti chiave.

Per estrarre le informazioni primarie, noi:

intervistare i dipendenti;
analizzare la documentazione aziendale, inclusi i documenti normativi e amministrativi interni, nonché gli ordini di pagamento in uscita;
condurre un'analisi visiva delle sale server e degli armadi di comunicazione;
condurre analisi tecniche del contenuto di workstation automatizzate (AWP), server e strumenti di virtualizzazione.

Formuleremo misure specifiche in seguito, ma per ora considereremo i dati finali che dovremmo ricevere a seguito dell'audit:

Elenco di SKZI:

modello SKZI. Ad esempio, CIPF Crypto CSP 3.9 o OpenSSL 1.0.1
Identificatore di istanza CIPF. Ad esempio, numero di serie, licenza (o registrazione secondo PKZ-2005) di CIPF
Informazioni sul certificato dell'FSB della Russia per CIPF, compreso il numero e le date di inizio e fine dei periodi di validità.
Informazioni sul luogo di attività del CIPF. Ad esempio, il nome del computer su cui è installato il software CIPF o il nome dell'hardware o dei locali in cui è installato l'hardware CIPF.

Queste informazioni consentiranno:

Gestisci le vulnerabilità nel CIPF, ovvero rilevale e correggile rapidamente.
Tieni traccia della validità dei certificati per CIPF e verifica anche se il CIPF certificato viene utilizzato secondo le regole stabilite dalla documentazione o meno.
Pianifica i costi del CIPF, sapendo quanto è già operativo e quanto più fondi consolidati sono disponibili.
Genera report normativi.

Elenco delle informazioni chiave:

Per ogni elemento della lista, fissiamo i seguenti dati:

Nome o identificatore delle informazioni chiave. Ad esempio, “La chiave di un ES qualificato. Il numero di serie del certificato è 31:2D:AF", mentre l'identificatore deve essere selezionato in modo tale da poter essere utilizzato per trovare la chiave. Ad esempio, le CA, quando inviano notifiche, in genere identificano le chiavi in base ai numeri di certificato.
Centro di controllo del sistema chiave (TSUKS) che ha rilasciato queste informazioni chiave. Può trattarsi di un'organizzazione che ha rilasciato la chiave, ad esempio un'autorità di certificazione.
Individuale a nome del quale vengono rilasciate le informazioni chiave. Queste informazioni possono essere estratte dai campi CN dei certificati X.509
Formato delle informazioni chiave. Ad esempio, CIPF CryptoPRO, CIPF Verba-OW, X.509, ecc. (o in altre parole, per l'uso con cui CIPF sono destinate queste informazioni chiave).
Scopo delle informazioni chiave. Ad esempio, "Partecipazione al trading sul sito Sberbank AST", "Firma elettronica qualificata per la segnalazione", ecc. Dal punto di vista della tecnologia, in questo campo, è possibile correggere i campi fissi di restrizione dell'utilizzo delle chiavi estese e altri certificati X.509.
Inizio e fine dei periodi di validità delle informazioni chiave.
La procedura per la riemissione delle informazioni chiave. Cioè, la conoscenza di cosa fare e come, quando si ristampano le informazioni chiave. Come minimo, è auspicabile registrare i contatti dei funzionari del CCC che hanno rilasciato le informazioni chiave.
Elenco di sistemi informativi, servizi o processi aziendali all'interno dei quali vengono utilizzate le informazioni chiave. Ad esempio, "Sistema del servizio di remote banking Internet Client-Bank".

Queste informazioni consentiranno:

Tieni traccia delle date di scadenza delle informazioni chiave.
Se necessario, riemettere rapidamente le informazioni chiave. Questo potrebbe essere necessario sia per le riedizioni pianificate che per quelle non programmate.
Bloccare l'utilizzo delle informazioni chiave, al momento del licenziamento del dipendente per il quale è stato rilasciato.
Indagare sugli incidenti di sicurezza delle informazioni rispondendo alle domande: "Chi aveva le chiavi per effettuare i pagamenti?" e così via.

Elenco dei documenti chiave:

Per ogni elemento della lista, fissiamo i seguenti dati:

Informazione chiave Il contenuto nel documento chiave.
Portatore di informazioni chiave contenente le informazioni chiave.
Viso responsabile della sicurezza del documento chiave e della riservatezza delle informazioni chiave in esso contenute.

Queste informazioni consentiranno:

Riemettere le informazioni chiave in caso di: licenziamento di dipendenti in possesso di documenti chiave, nonché in caso di compromissione dei media.
Garantire la riservatezza delle informazioni chiave inventariando i supporti che le contengono.

Piano di audit

Fase 1. Raccolta dei dati dai dipartimenti infrastrutturali dell'azienda

№	Azione
Fonte: tutti i dipendenti dell'azienda
1	Realizziamo una mailing list aziendale a tutti i dipendenti dell'azienda con la richiesta di informare il servizio di sicurezza delle informazioni su tutte le chiavi crittografiche che utilizzano	Riceviamo e-mail, sulla base delle quali formiamo un elenco di informazioni chiave e un elenco di documenti chiave
Fonte - Responsabile del servizio di tecnologia dell'informazione
1	Richiediamo un elenco di informazioni chiave e documenti chiave	Con una certa probabilità, il servizio IT conserva tali documenti, li utilizzeremo per formare e chiarire elenchi di informazioni chiave, documenti chiave e CIPF
2	Richiediamo un elenco di CIPF
3	Richiediamo la registrazione del software installato su server e workstation	In questo registro, stiamo cercando strumenti di protezione delle informazioni crittografiche software e i loro componenti. Ad esempio, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, CritoARM, ecc. Sulla base di questi dati, formiamo un elenco di strumenti di protezione delle informazioni crittografiche.
4	Richiediamo un elenco di dipendenti (probabilmente supporto tecnico) che aiutano gli utenti a utilizzare CIPF e riemettono le informazioni chiave.	Chiediamo a queste persone le stesse informazioni degli amministratori di sistema
Fonte - Amministratori di sistema del servizio di tecnologia dell'informazione
1	Richiediamo un elenco di gateway crittografici domestici (VIPNET, Continent, S-terra, ecc.)	Nei casi in cui l'azienda non ha implementato processi aziendali regolari di gestione della sicurezza IT e delle informazioni, tali domande possono aiutare gli amministratori di sistema a ricordare l'esistenza di un particolare dispositivo o software. Usiamo queste informazioni per ottenere un elenco di CIPF.
2	Richiediamo un elenco di software domestici CIPF (CIPF MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...)
3	Richiediamo un elenco di router che implementano VPN per: a) comunicazioni degli uffici della società; b) interazione con appaltatori e partner.
4	Richiediamo un elenco di servizi informativi pubblicati su Internet (accessibili da Internet). Possono includere: a) posta elettronica aziendale; b) sistemi di messaggistica istantanea; c) siti web aziendali; d) servizi per lo scambio di informazioni con partner e appaltatori (extranet); e) sistemi di remote banking (se la società è una Banca); f) sistemi per l'accesso remoto alla rete aziendale. Per verificare la completezza delle informazioni fornite, le confrontiamo con l'elenco delle regole di Portforwarding degli edge firewall.	Analizzando le informazioni ricevute, con un'alta probabilità, è possibile trovare l'uso di strumenti di protezione delle informazioni crittografiche e chiavi crittografiche. Utilizziamo i dati ottenuti per formare un elenco di strumenti di protezione delle informazioni crittografiche e informazioni chiave.
5	Richiediamo un elenco dei sistemi informativi utilizzati per la segnalazione (Takskom, Kontur, ecc.)	Questi sistemi utilizzano chiavi di firma elettronica qualificate e CIPF. Attraverso questo elenco, formiamo un elenco di strumenti di protezione delle informazioni crittografiche, un elenco di informazioni chiave e riconosciamo anche i dipendenti che utilizzano questi sistemi per formare un elenco di documenti chiave.
6	Richiediamo un elenco dei sistemi di gestione dei documenti elettronici interni (Lotus, DIRECTUM, 1C: Gestione dei documenti, ecc.), nonché un elenco dei loro utenti.	Nell'ambito dei sistemi interni di gestione elettronica dei documenti, possono verificarsi chiavi di firma elettronica. Sulla base delle informazioni ricevute, formiamo un elenco di informazioni chiave e un elenco di documenti chiave.
7	Richiediamo un elenco di centri di certificazione interni.	I mezzi utilizzati per organizzare i centri di certificazione sono registrati nell'elenco del CIPF. In futuro analizzeremo i contenuti dei database dei centri di certificazione per identificare le informazioni chiave.
8	Richiediamo informazioni sull'utilizzo delle tecnologie: IEEE 802.1x, WiFiWPA2 Enterprise e sistemi di videosorveglianza IP	Nel caso di utilizzo di queste tecnologie, possiamo trovare documenti chiave nei dispositivi coinvolti.
Fonte - Responsabile Risorse Umane
1	Descrivi il processo di assunzione e licenziamento dei dipendenti. Concentrandosi sulla questione di chi prende i documenti chiave dai dipendenti in partenza	Analizziamo i documenti (fogli di bypass) per la presenza di sistemi informativi in cui è possibile utilizzare il CIPF.

Fase 2. Raccolta dei dati dalle unità di business dell'azienda (sull'esempio della Banca)

№	Azione	Risultato atteso e suo utilizzo
Fonte - Responsabile del servizio di liquidazione (relazioni con i corrispondenti)
1	Fornisci uno schema per organizzare l'interazione con il sistema di pagamento della Banca di Russia. In particolare, ciò sarà rilevante per le banche che dispongono di una rete di sportelli sviluppata, in cui gli sportelli possono collegare la Banca Centrale direttamente al sistema di pagamento	Sulla base dei dati ricevuti, determiniamo la posizione dei gateway di pagamento (ARM KBR, UTA) e l'elenco degli utenti coinvolti. Usiamo le informazioni ricevute per formare un elenco di CIPF, informazioni chiave e documenti chiave.
2	Chiediamo l'elenco delle Banche con le quali sono stati instaurati rapporti di corrispondenza diretta, e ci chiediamo anche di indicare chi è coinvolto nell'effettuare bonifici e quali mezzi tecnici vengono utilizzati.
3	Richiediamo un elenco dei sistemi di pagamento a cui partecipa la Banca (SWIFT, VISA, MasterCard, NSPK, ecc.), nonché l'ubicazione dei terminali per la comunicazione	Allo stesso modo, come per il sistema di pagamento della Banca di Russia
Fonte - Responsabile della divisione preposta all'erogazione dei servizi di remote banking
1	Richiediamo un elenco di sistemi di remote banking.	In questi sistemi, analizziamo l'uso del CIPF e delle informazioni chiave. Sulla base dei dati ottenuti, formiamo un elenco di strumenti di protezione delle informazioni crittografiche e informazioni chiave e documenti chiave.
Fonte - Responsabile del dipartimento responsabile del funzionamento dell'elaborazione delle carte di pagamento
1	Interrogazione del registro HSM	Sulla base delle informazioni ricevute, formiamo un elenco di CIPF, informazioni chiave e documenti chiave.
2	Richiesta di un registro degli agenti di sicurezza
4	Richiesta di informazioni sui componenti LMK HSM
5	Richiediamo informazioni sull'organizzazione di sistemi come 3D-Secure e sull'organizzazione della personalizzazione delle carte di pagamento
Fonte - Capi di dipartimento che svolgono le funzioni di tesoreria e di depositario
1	Elenco delle banche con le quali sono stati instaurati rapporti di corrispondenza e che partecipano al credito interbancario.	Utilizziamo le informazioni ricevute per chiarire i dati ricevuti in precedenza dal servizio di regolamento e registrare anche le informazioni sull'interazione con borse valori e depositari. Sulla base delle informazioni ricevute, formiamo un elenco di strumenti di protezione delle informazioni crittografiche e informazioni chiave.
2	Elenco delle borse e dei depositari specializzati con cui la Banca opera
Fonte - Responsabili dei servizi di monitoraggio finanziario e dei dipartimenti responsabili della segnalazione alla Banca di Russia
1	Chiediamo informazioni su come inviano e ricevono informazioni dalla Banca centrale. Elenco delle persone coinvolte e dei mezzi tecnici.	L'interazione delle informazioni con la Banca di Russia è rigorosamente regolata da documenti pertinenti, ad esempio 2332-U, 321-I e molti altri, controlliamo la conformità con questi documenti e formiamo elenchi di CIPF, informazioni chiave e documenti chiave.
Fonte - Capo contabile e personale contabile coinvolto nel pagamento delle bollette per esigenze bancarie interne
1	Chiediamo informazioni su come avviene la preparazione e la presentazione delle relazioni agli ispettorati fiscali e alla Banca di Russia	Perfeziona le informazioni ricevute in precedenza
2	Richiediamo un registro dei documenti di pagamento per pagare le esigenze intra-bancarie	In questo registro cercheremo documenti in cui: 1) sono indicati come destinatari del pagamento centri di certificazione, operatori di telecomunicazioni specializzati, produttori di CIPF, fornitori di apparecchiature per telecomunicazioni. I nomi di queste società possono essere ottenuti dal Registro dei CIPF certificati dell'FSB della Russia, dall'elenco dei centri di certificazione accreditati del Ministero delle telecomunicazioni e delle comunicazioni di massa e da altre fonti. 2) come decifrazione del pagamento, ci sono le parole: "CIPF", "firma", "token", "chiave", "BKI", ecc.
Fonte - Responsabili Arretrati e Risk Management
1	Chiediamo un elenco delle agenzie di credito e delle agenzie di recupero crediti con cui la Banca collabora.	Insieme al servizio informatico, analizziamo i dati ricevuti al fine di chiarire l'organizzazione della gestione elettronica dei documenti, sulla base della quale perfezioniamo gli elenchi degli strumenti di protezione delle informazioni crittografiche, delle informazioni chiave e dei documenti chiave.
Fonte - Responsabili dei servizi di gestione documentale, controllo interno e audit interno
1	Richiediamo un registro dei documenti organizzativi e amministrativi interni (ordini).	In questi documenti cerchiamo documenti relativi al CIPF. Per fare ciò, analizziamo la presenza delle parole chiave "sicurezza", "persona responsabile", "amministratore", "firma elettronica", "ES", "EDS", "EDO", "ASP", "CIPF" e le loro derivati. Successivamente, identifichiamo l'elenco dei dipendenti della Banca registrati in questi documenti. Conduciamo interviste con i dipendenti sul tema del loro utilizzo degli strumenti crittografici. Riflettiamo le informazioni ricevute negli elenchi di CIPF, informazioni chiave e documenti chiave.
2	Richiediamo elenchi di contratti con appaltatori	Stiamo cercando di individuare accordi sulla gestione elettronica dei documenti, nonché accordi con società impegnate nella fornitura di strumenti di sicurezza delle informazioni o che forniscono servizi in questo settore, nonché società che forniscono servizi di centri di certificazione e servizi di reporting via Internet.
3	Analizziamo la tecnologia di archiviazione dei documenti del giorno in formato elettronico	Quando si attua la conservazione dei documenti del giorno in formato elettronico, la CIPF è obbligatoria

Fase 3. Audit tecnico

№	Azione	Risultato atteso e suo utilizzo
1	Effettuiamo un inventario tecnico del software installato sui computer. Per questo usiamo: · Funzionalità analitiche dei sistemi di protezione antivirus aziendali (ad esempio, Kaspersky Anti-Virus può creare tale registro). · Script WMI per il polling di computer che eseguono Windows; · Possibilità dei gestori di pacchetti di interrogare i sistemi *nix; Software specializzato per l'inventario.	Tra i software installati, ricerchiamo software CIPF, driver per hardware CIPF e key media. Sulla base delle informazioni ricevute, aggiorniamo l'elenco di CIPF.
2	Cerchiamo documenti chiave su server e workstation. Per questo · Utilizzando gli script di accesso, interroghiamo la workstation nel dominio per la presenza di certificati con chiavi private nei profili utente e nei profili computer. Su tutti i computer, file server, hypervisor, cerchiamo file con estensione: crt, cer, key, pfx, p12, pem, pse, jks, ecc. · Negli hypervisor dei sistemi di virtualizzazione, stiamo cercando unità montate e immagini di floppy disk.	Molto spesso, i documenti chiave vengono presentati sotto forma di contenitori di chiavi di file, nonché contenitori archiviati nei registri dei computer che eseguono Windows. Risolviamo i documenti chiave trovati nell'elenco dei documenti chiave e le informazioni chiave in essi contenute nell'elenco delle informazioni chiave.
3	Analizziamo il contenuto delle banche dati dei centri di certificazione	I database delle autorità di certificazione di solito contengono informazioni sui certificati emessi da queste autorità. Le informazioni ricevute vengono inserite nell'elenco delle informazioni chiave e nell'elenco dei documenti chiave.
4	Effettuiamo un'ispezione visiva delle sale server e degli armadi di cablaggio, ricerchiamo protezione delle informazioni crittografiche e supporti per chiavi hardware (token, unità disco)	In alcuni casi, è impossibile fare l'inventario del CIPF e dei documenti chiave sulla rete. I sistemi possono essere posizionati su segmenti di rete isolati o non avere alcuna connessione di rete. Per fare ciò, eseguiamo un'ispezione visiva, i cui risultati dovrebbero stabilire i nomi e lo scopo di tutte le apparecchiature presentate nelle sale server. Le informazioni ricevute vengono inserite nell'elenco dei documenti CIPF e chiave.
5	Analizziamo il traffico di rete al fine di identificare i flussi di informazioni utilizzando lo scambio crittografato	I protocolli crittografati - HTTPS, SSH, ecc. ci permetteranno di identificare i nodi di rete su cui vengono eseguite le trasformazioni crittografiche e, di conseguenza, contenenti CIPF e documenti chiave.

Conclusione

tag:

skzi
crittografia
firma elettronica
audit
gestione

Aggiungi i tag

Qual è il nome del sistema di protezione delle informazioni crittografiche. Metodi crittografici di protezione delle informazioni

Termini e definizioni

Metodologia di audit e risultati attesi

Piano di audit

Conclusione

Termini e definizioni

Metodologia di audit e risultati attesi

Piano di audit

Conclusione

Articoli correlati in alto