Ceea ce se referă la mijloace criptografice de protecție a informațiilor. (skzi) mijloc de protecție criptografică a informațiilor

Termenul „criptografie” provine din cuvintele grecești antice pentru „ascuns” și „scris”. Expresia exprimă scopul principal al criptografiei - este protecția și păstrarea secretului informațiilor transmise. Protecția informațiilor poate avea loc în diferite moduri. De exemplu, prin restricționarea accesului fizic la date, ascunderea canalului de transmisie, crearea dificultăților fizice în conectarea la liniile de comunicație etc.

Scopul criptografiei Spre deosebire de criptografia tradițională, criptografia presupune disponibilitatea deplină a canalului de transmisie pentru intruși și asigură confidențialitatea și autenticitatea informațiilor folosind algoritmi de criptare care fac informațiile inaccesibile citirii din exterior. Un sistem modern de protecție a informațiilor criptografice (CIPF) este un complex de computere software și hardware care asigură protecția informațiilor în funcție de următorii parametri principali.

+ Confidențialitate– imposibilitatea citirii informațiilor de către persoanele care nu au drepturi de acces corespunzătoare. Componenta principală a asigurării confidențialității în CIPF este cheia (cheia), care este o combinație alfanumerică unică pentru accesul utilizatorului la un anumit bloc CIPF.

+ Integritate– imposibilitatea modificărilor neautorizate, cum ar fi editarea și ștergerea informațiilor. Pentru a face acest lucru, la informațiile originale se adaugă redundanță sub forma unei combinații de verificări calculate printr-un algoritm criptografic și în funcție de cheie. Astfel, fără a cunoaște cheia, adăugarea sau modificarea informațiilor devine imposibilă.

+ Autentificare– confirmarea autenticității informațiilor și a părților care le transmit și le primesc. Informațiile transmise prin canalele de comunicare trebuie să fie autentificate în mod unic prin conținut, momentul creării și transmiterii, sursă și destinatar. Trebuie amintit că sursa amenințărilor poate fi nu numai un atacator, ci și părțile implicate în schimbul de informații cu o încredere reciprocă insuficientă. Pentru a preveni astfel de situații, CIPF folosește un sistem de marcaje temporale pentru a face imposibilă retrimiterea sau returnarea informațiilor și modificarea ordinii acestora.

+ Paternitatea– confirmarea și imposibilitatea refuzului acțiunilor efectuate de utilizatorul informațiilor. Cea mai comună metodă de autentificare este semnătura digitală electronică (EDS). Sistemul EDS constă din doi algoritmi: pentru crearea unei semnături și pentru verificarea acesteia. Când lucrați intens cu ECC, se recomandă utilizarea autorităților de certificare a software-ului pentru a crea și gestiona semnăturile. Astfel de centre pot fi implementate ca mijloc de protecție a informațiilor criptografice, complet independent de structura internă. Ce înseamnă asta pentru organizație? Aceasta înseamnă că toate tranzacțiile cu semnături electronice sunt procesate de organizații independente certificate și falsificarea dreptului de autor este aproape imposibilă.

În prezent, în rândul CIPF, predomină algoritmii de criptare deschisă care utilizează chei simetrice și asimetrice cu o lungime suficientă pentru a oferi complexitatea criptografică dorită. Cei mai des întâlniți algoritmi:

chei simetrice - rusă Р-28147.89, AES, DES, RC4;
chei asimetrice - RSA;
folosind funcții hash - Р-34.11.94, MD4/5/6, SHA-1/2. 80

Multe țări au propriile lor standarde naționale pentru algoritmii de criptare. În SUA se utilizează un algoritm AES modificat cu o lungime a cheii de 128-256 de biți, iar în Federația Rusă, algoritmul de semnătură electronică R-34.10.2001 și algoritmul criptografic bloc R-28147.89 cu o cheie de 256 de biți. Unele elemente ale sistemelor criptografice naționale sunt interzise pentru export în afara țării, activitățile de dezvoltare a CIPF necesită licențiere.

Sisteme hardware de protecție criptografică

Hardware CIPF sunt dispozitive fizice care conțin software pentru criptarea, înregistrarea și transmiterea informațiilor. Dispozitivele de criptare pot fi realizate sub formă de dispozitive personale, cum ar fi criptoare ruToken USB și unități flash IronKey, carduri de expansiune pentru computere personale, switch-uri și routere de rețea specializate, pe baza cărora este posibilă construirea de rețele de computere complet sigure.

Hardware CIPF se instalează rapid și funcționează la viteză mare. Dezavantaje - ridicat, în comparație cu software și hardware-software CIPF, cost și opțiuni limitate de upgrade. De asemenea, este posibil să se facă referire la blocuri hardware ale CIPF încorporate în diferite dispozitive pentru înregistrarea și transmiterea datelor, unde este necesară criptarea și restricția accesului la informații. Astfel de dispozitive includ tahometre auto care înregistrează parametrii vehiculelor, unele tipuri de echipamente medicale etc. Pentru funcționarea completă a unor astfel de sisteme, este necesară o activare separată a modulului CIPF de către specialiștii furnizorului.

Sisteme de criptoprotecție software

Software CIPF este un pachet software special pentru criptarea datelor de pe medii de stocare (hard și flash drive, carduri de memorie, CD/DVD) și atunci când sunt transmise prin Internet (e-mailuri, fișiere în atașamente, chat-uri securizate etc.). Există destul de multe programe, inclusiv gratuite, de exemplu, DiskCryptor. Software-ul CIPF include, de asemenea, rețele virtuale securizate de schimb de informații care operează „pe deasupra Internetului” (VPN), o extensie a protocolului Internet HTTP cu suport pentru criptarea HTTPS și SSL - un protocol de transfer de informații criptografice utilizat pe scară largă în sistemele de telefonie IP și aplicațiile Internet. .
Instrumentele software de protecție a informațiilor criptografice sunt utilizate în principal pe Internet, pe computerele de acasă și în alte zone în care cerințele pentru funcționalitatea și stabilitatea sistemului nu sunt foarte mari. Sau ca și în cazul internetului, când trebuie să creați mai multe conexiuni sigure diferite în același timp.

Criptoprotecție software și hardware

Combină cele mai bune calități ale sistemelor CIPF hardware și software. Acesta este cel mai fiabil și funcțional mod de a crea sisteme securizate și rețele de transmisie a datelor. Sunt acceptate toate opțiunile de identificare a utilizatorului, atât hardware (unitate USB sau smart card), cât și cele „tradiționale” - login și parolă. Instrumentele software și hardware de protecție a informațiilor criptografice acceptă toți algoritmii moderni de criptare, au un set mare de funcții pentru crearea unui flux de lucru securizat bazat pe semnătură digitală, toate certificatele de stat necesare. Instalarea CIPF este efectuată de personal calificat al dezvoltatorului.

Vizualizări postare: 295

Mijloacele de protecție criptografică a informațiilor, sau pe scurt CIPF, sunt utilizate pentru a oferi o protecție completă a datelor care sunt transmise prin liniile de comunicație. Pentru a face acest lucru, este necesar să se respecte autorizarea și protecția semnăturii electronice, autentificarea părților care comunică folosind protocoalele TLS și IPSec, precum și protecția canalului de comunicație în sine, dacă este necesar.

În Rusia, utilizarea instrumentelor de securitate a informațiilor criptografice este în mare parte clasificată, așa că există puține informații disponibile public pe acest subiect.

Metode utilizate în CIPF

• Autorizarea datelor și asigurarea securității semnificației lor legale în timpul transmiterii sau stocării. Pentru a face acest lucru, se folosesc algoritmi pentru crearea unei semnături electronice și verificarea acesteia în conformitate cu reglementările RFC 4357 stabilite și se utilizează certificate conform standardului X.509.
• Protecția confidențialității datelor și controlul integrității acestora. Se utilizează criptarea asimetrică și protecția împotriva imitației, adică contracararea falsificării datelor. Respectat GOST R 34.12-2015.
• Protecția sistemului și a aplicațiilor software. Urmărirea modificărilor sau defecțiunilor neautorizate.
• Gestionarea celor mai importante elemente ale sistemului în strictă conformitate cu reglementările adoptate.
• Autentificarea părților care fac schimb de date.
• Protecția conexiunii folosind protocolul TLS.
• Protecția conexiunilor IP folosind protocoale IKE, ESP, AH.

Metodele sunt descrise în detaliu în următoarele documente: RFC 4357, RFC 4490, RFC 4491.

Mecanismele CIPF pentru protecția informațiilor

1. Confidențialitatea informațiilor stocate sau transmise este protejată prin utilizarea algoritmilor de criptare.
2. La stabilirea unei conexiuni, identificarea este furnizată prin intermediul semnăturii electronice atunci când este utilizată în timpul autentificării (așa cum este recomandat de X.509).
3. Fluxul de documente digitale este protejat și prin intermediul unei semnături electronice împreună cu protecție împotriva impunerii sau repetarii, în timp ce fiabilitatea cheilor utilizate pentru verificarea semnăturilor electronice este monitorizată.
4. Integritatea informațiilor este asigurată prin intermediul unei semnături digitale.
5. Utilizarea caracteristicilor de criptare asimetrică ajută la protejarea datelor. În plus, funcțiile hashing sau algoritmii de protecție împotriva imitației pot fi utilizați pentru a verifica integritatea datelor. Cu toate acestea, aceste metode nu acceptă determinarea dreptului de autor a unui document.
6. Protecția la reluare are loc prin funcțiile criptografice ale semnăturii electronice pentru criptare sau protecție împotriva imitației. În același timp, la fiecare sesiune de rețea este adăugat un identificator unic, suficient de lung pentru a exclude coincidența accidentală a acesteia, iar verificarea este implementată de partea care primește.
7. Protecția împotriva impunerii, adică împotriva pătrunderii în comunicare din exterior, este asigurată prin intermediul semnăturii electronice.
8. O altă protecție - împotriva marcajelor, virușilor, modificărilor sistemului de operare etc. - este asigurată prin diverse instrumente criptografice, protocoale de securitate, software antivirus și măsuri organizatorice.

După cum puteți vedea, algoritmii de semnătură electronică sunt o parte fundamentală a mijloacelor de protecție a informațiilor criptografice. Ele vor fi discutate mai jos.

Cerințe atunci când utilizați CIPF

CIPF are ca scop protejarea (prin verificarea unei semnături electronice) a datelor deschise din diverse sisteme de informații publice și asigurarea confidențialității acestora (prin verificarea unei semnături electronice, protecție împotriva imitației, criptare, verificare hash) în rețelele corporative.

Un mijloc personal de protecție a informațiilor criptografice este utilizat pentru a proteja datele personale ale utilizatorului. Cu toate acestea, o atenție deosebită ar trebui acordată informațiilor referitoare la secretele de stat. Prin lege, CIPF nu poate fi folosit pentru a lucra cu acesta.

Important: înainte de a instala CIPF, primul pas este verificarea pachetului software CIPF în sine. Acesta este primul pas. De obicei, integritatea pachetului de instalare este verificată prin compararea sumelor de control primite de la producător.

După instalare, ar trebui să determinați nivelul de amenințare, pe baza căruia puteți determina tipurile de protecție a informațiilor criptografice necesare pentru utilizare: software, hardware și hardware-software. De asemenea, trebuie avut în vedere că la organizarea unor CIPF, este necesar să se țină cont de locația sistemului.

Clase de protectie

Conform ordinului FSB al Rusiei din 10 iulie 2014, numărul 378, care reglementează utilizarea mijloacelor criptografice de protecție a informațiilor și a datelor cu caracter personal, sunt definite șase clase: KS1, KS2, KS3, KB1, KB2, KA1. Clasa de protecție pentru un anumit sistem este determinată din analiza datelor pe modelul intrusului, adică dintr-o evaluare a posibilelor modalități de a pirata sistemul. Protecția în acest caz este construită din protecția informațiilor criptografice software și hardware.

AC (amenințări reale), după cum se poate observa din tabel, există 3 tipuri:

1. Amenințările de primul tip sunt asociate cu caracteristici nedocumentate în software-ul de sistem utilizat în sistemul informațional.
2. Amenințările de al doilea tip sunt asociate cu caracteristici nedocumentate în aplicația software utilizată în sistemul informațional.
3. Amenințarea celui de-al treilea tip se numește toate celelalte.

Caracteristicile nedocumentate sunt funcții și caracteristici ale software-ului care nu sunt descrise în documentația oficială sau nu corespund acesteia. Adică, utilizarea lor poate crește riscul încălcării confidențialității sau integrității informațiilor.

Pentru claritate, luați în considerare modelele de contravenienți, pentru a căror interceptare este nevoie de una sau alta clasă de instrumente de protecție a informațiilor criptografice:

• KS1 - intrusul acționează din exterior, fără ajutoare în interiorul sistemului.
• KS2 este un insider, dar nu are acces la CIPF.
• KS3 este un insider care este un utilizator al CIPF.
• KV1 este un intrus care atrage resurse terțe, cum ar fi specialiștii în protecția informațiilor criptografice.
• KV2 este un intrus în spatele căruia se află un institut sau un laborator care lucrează în domeniul studierii și dezvoltării instrumentelor de protecție a informațiilor criptografice.
• KA1 - servicii speciale ale statelor.

Astfel, KS1 poate fi numit clasa de protecție de bază. În consecință, cu cât clasa de protecție este mai mare, cu atât sunt mai puțini specialiști capabili să o asigure. De exemplu, în Rusia, conform datelor pentru 2013, existau doar 6 organizații care aveau un certificat de la FSB și erau capabile să ofere protecție clasa KA1.

Algoritmi folosiți

Luați în considerare principalii algoritmi utilizați în instrumentele de protecție a informațiilor criptografice:

• GOST R 34.10-2001 și actualizat GOST R 34.10-2012 - algoritmi pentru crearea și verificarea unei semnături electronice.
• GOST R 34.11-94 și cel mai recent GOST R 34.11-2012 - algoritmi pentru crearea de funcții hash.
• GOST 28147-89 și mai nou GOST R 34.12-2015 - implementarea algoritmilor de criptare a datelor și de protecție a imitațiilor.
• Algoritmi criptografici suplimentari sunt în RFC 4357.

Semnatura electronica

Utilizarea instrumentelor de protecție a informațiilor criptografice nu poate fi imaginată fără utilizarea algoritmilor de semnătură electronică, care câștigă din ce în ce mai multă popularitate.

O semnătură electronică este o parte specială a unui document creată prin transformări criptografice. Sarcina sa principală este de a detecta modificările neautorizate și de a determina autoritatea.

Un certificat de semnătură electronică este un document separat care dovedește autenticitatea și proprietatea unei semnături electronice de către proprietarul acesteia, folosind o cheie publică. Certificatul este eliberat de autoritățile de certificare.

Deținătorul certificatului de semnătură electronică este persoana în numele căreia este înregistrat certificatul. Este asociat cu două chei: publică și privată. Cheia privată vă permite să creați o semnătură electronică. Cheia publică are scopul de a verifica autenticitatea semnăturii datorită relației criptografice cu cheia privată.

Tipuri de semnătură electronică

Conform Legii federale nr. 63, o semnătură electronică este împărțită în 3 tipuri:

• semnătură electronică obișnuită;
• semnătură electronică necalificată;
• semnătură electronică calificată.

Un ES simplu este creat folosind parole impuse la deschiderea și vizualizarea datelor, sau mijloace similare care confirmă indirect proprietarul.

Un ES necalificat este creat folosind transformări de date criptografice folosind o cheie privată. Acest lucru vă permite să confirmați persoana care a semnat documentul și să stabiliți faptul că au fost efectuate modificări neautorizate asupra datelor.

Semnăturile calificate și necalificate diferă doar prin aceea că, în primul caz, certificatul pentru ES trebuie eliberat de un centru de certificare certificat de FSB.

Domeniul de aplicare al semnăturii electronice

Tabelul de mai jos discută domeniul de aplicare al PE.

Tehnologiile ES sunt utilizate cel mai activ în schimbul de documente. În fluxul de lucru intern, ES acționează ca o aprobare a documentelor, adică ca o semnătură sau un sigiliu personal. În cazul managementului documentelor externe, prezența unui ES este critică, deoarece este o confirmare legală. De asemenea, este de remarcat faptul că documentele semnate de ES pot fi stocate pe termen nelimitat și nu își pierd semnificația legală din cauza unor factori precum semnături ștergebile, hârtie deteriorată etc.

Raportarea către autoritățile de reglementare este un alt domeniu în care managementul documentelor electronice este în creștere. Multe companii și organizații au apreciat deja confortul de a lucra în acest format.

Conform legii Federației Ruse, fiecare cetățean are dreptul de a utiliza ES atunci când folosește serviciile publice (de exemplu, semnarea unei cereri electronice pentru autorități).

Tranzacționarea online este un alt domeniu interesant în care semnătura electronică este utilizată în mod activ. Este o confirmare a faptului că o persoană reală participă la licitație și propunerile sale pot fi considerate de încredere. De asemenea, este important ca orice contract încheiat cu ajutorul ES să dobândească forță juridică.

Algoritmi de semnătură electronică

• Full Domain Hash (FDH) și standarde de criptare cu chei publice (PKCS). Acesta din urmă este un întreg grup de algoritmi standard pentru diverse situații.
• DSA și ECDSA sunt standarde de semnătură digitală din SUA.
• GOST R 34.10-2012 - standardul pentru crearea semnăturilor electronice în Federația Rusă. Acest standard a înlocuit GOST R 34.10-2001, care a fost încheiat oficial după 31 decembrie 2017.
• Uniunea Eurasiatică folosește standarde care sunt complet similare cu cele din Rusia.
• STB 34.101.45-2013 - standard belarus pentru semnătură electronică digitală.
• DSTU 4145-2002 - standardul pentru crearea unei semnături electronice în Ucraina și multe altele.

De asemenea, trebuie remarcat faptul că algoritmii pentru crearea ES au scopuri și scopuri diferite:

• Semnătură electronică de grup.
• Semnătură digitală unică.
• EP de încredere.
• Semnătura calificată și necalificată etc.

Din punct de vedere al securității informațiilor, cheile criptografice sunt date critice. Dacă mai devreme, pentru a jefui o companie, atacatorii trebuiau să intre pe teritoriul acesteia, să deschidă spații și seifuri, acum este suficient să furi un token cu o cheie criptografică și să faci un transfer prin sistemul Internet Client-Bank. Fundamentul pentru asigurarea securității cu ajutorul sistemelor de protecție a informațiilor criptografice (CIPF) este menținerea confidențialității cheilor criptografice.

Și cum să vă asigurați confidențialitatea a ceea ce nu știți că există? Pentru a pune jetonul cu cheia în seif, trebuie să știți despre existența jetonului și a seifului. Oricât de paradoxal sună, foarte puține companii au o idee despre numărul exact de documente cheie pe care le folosesc. Acest lucru se poate întâmpla din mai multe motive, cum ar fi subestimarea amenințărilor la securitatea informațiilor, lipsa proceselor de afaceri stabilite, calificarea insuficientă a personalului în probleme de securitate etc. De obicei, își amintesc această sarcină după incidente, cum ar fi acesta.

Acest articol va descrie primul pas către îmbunătățirea protecției informațiilor folosind instrumente criptografice sau, mai precis, vom lua în considerare una dintre abordările pentru efectuarea unui audit al instrumentelor de protecție a informațiilor criptografice și al cheilor criptografice. Narațiunea va fi realizată în numele unui specialist în securitatea informațiilor, în timp ce vom presupune că munca este realizată de la zero.

Termeni și definiții

La începutul articolului, pentru a nu speria cititorul nepregătit cu definiții complexe, am folosit pe scară largă termenii cheie criptografică sau cheie criptografică, acum este timpul să ne îmbunătățim aparatul conceptual și să-l aducem în conformitate cu legislația actuală. Acesta este un pas foarte important, deoarece va structura eficient informațiile obținute din rezultatele auditului.

1. Cheie criptografică (cheie criptografică)- un set de date care asigură alegerea unei transformări criptografice specifice dintre toate posibilele într-un sistem criptografic dat (definiție din „instrucțiunea roz – Ordinul FAPSI nr. 152 din 13 iunie 2001, în continuare – FAPSI 152).
2. Informatie cheie- un set special organizat de chei criptografice, concepute pentru a asigura protecția criptografică a informațiilor pentru o anumită perioadă [FAPSI 152].
   Puteți înțelege diferența fundamentală dintre o cheie cripto și informațiile cheie folosind următorul exemplu. La organizarea HTTPS, se generează o pereche de chei publice și private și se obține un certificat din cheia publică și informații suplimentare. Deci, în această schemă, combinația dintre un certificat și o cheie privată formează informații despre cheie și fiecare dintre ele în mod individual este o cheie cripto. Aici vă puteți ghida după următoarea regulă simplă - atunci când lucrați cu CIPF, utilizatorii finali folosesc informațiile cheie, iar cheile cripto folosesc de obicei CIPF în interiorul lor. În același timp, este important să înțelegeți că informațiile cheie pot consta dintr-o cheie cripto.
3. Documente cheie- documente electronice pe orice suport, precum și documente pe hârtie care conțin informații cheie cu acces limitat pentru transformarea criptografică a informațiilor folosind algoritmi de transformare criptografică a informațiilor (cheie criptografică) în mijloace de criptare (criptografice). (determinare din HG nr. 313 din 16 aprilie 2012, denumită în continuare PP-313)
   În termeni simpli, un document cheie este o informație cheie înregistrată pe un suport. La analizarea informațiilor cheie și a documentelor cheie, trebuie menționat că informațiile cheie sunt exploatate (adică utilizate pentru transformări criptografice - criptare, semnătură electronică etc.), iar documentele cheie care le conțin sunt transferate angajaților.
4. Mijloace de protecție a informațiilor criptografice (CIPF)- mijloace de criptare, mijloace de protecție împotriva imitației, mijloace de semnătură electronică, mijloace de codare, mijloace de producere a documentelor cheie, documente cheie, mijloace hardware de criptare (criptografice), mijloace software și hardware de criptare (criptografice). [PP-313]
   Atunci când se analizează această definiție, este posibil să se detecteze prezența termenului documente cheie în ea. Termenul este dat în Hotărârea Guvernului și nu avem dreptul să-l schimbăm. În același timp, descrierea ulterioară se va baza pe presupunerea că numai mijloacele de implementare a transformărilor criptografice vor fi raportate la CIPF). Această abordare va simplifica auditul, dar în același timp nu va afecta calitatea acestuia, deoarece vom ține cont în continuare de documentele cheie, dar în secțiunea noastră și prin propriile metode.

Metodologia de audit și rezultatele așteptate

Principalele caracteristici ale metodologiei de audit propuse în acest articol sunt postulatele că:

• niciun angajat al companiei nu poate răspunde cu acuratețe la întrebările puse în timpul auditului;
• sursele de date existente (liste, registre etc.) nu sunt precise sau prost structurate.

Prin urmare, metodologia propusă în articol este un fel de data mining, în timpul căruia aceleași date vor fi extrase din surse diferite, iar apoi comparate, structurate și rafinate.

Iată principalele dependențe care ne vor ajuta în acest sens:

1. Dacă există CIPF, atunci există informații cheie.
2. Dacă există un flux de documente electronice (inclusiv cu contrapărțile și autoritățile de reglementare), atunci cel mai probabil utilizează o semnătură electronică și, ca urmare, CIPF și informații cheie.
3. Managementul documentelor electronice în acest context ar trebui înțeles în sens larg, adică va include atât schimbul direct de documente electronice semnificative din punct de vedere juridic, cât și raportarea, precum și lucrul în sistemele de plată sau tranzacționare și așa mai departe. Lista și formele de gestionare a documentelor electronice sunt determinate de procesele de afaceri ale companiei, precum și de legislația în vigoare.
4. Dacă un angajat este implicat în managementul documentelor electronice, atunci cel mai probabil are documente cheie.
5. La organizarea gestiunii electronice a documentelor cu contrapartidele, documentele organizatorice si administrative (ordinele) sunt de obicei emise la numirea persoanelor responsabile.
6. Dacă informațiile sunt transmise prin Internet (sau alte rețele publice), atunci cel mai probabil sunt criptate. În primul rând, este vorba despre VPN și diverse sisteme de acces la distanță.
7. Dacă în traficul de rețea se găsesc protocoale care transmit trafic în formă criptată, atunci se aplică CIPF și informațiile cheie.
8. Dacă s-ar face decontări cu contrapărți implicate în: furnizarea de instrumente de securitate a informațiilor, dispozitive de telecomunicații, furnizarea de servicii pentru transferul umflăturii, serviciile centrelor de certificare, atunci în această interacțiune se puteau achiziționa CIPF sau documente cheie.
9. Documentele cheie pot fi atât pe suporturi alienabile (dischete, unități flash, jetoane, ...), cât și înregistrate în interiorul computerelor și hardware-ului CIPF.
10. Când utilizați instrumente de virtualizare, documentele cheie pot fi stocate atât în ​​interiorul mașinilor virtuale, cât și montate pe mașinile virtuale folosind un hypervisor.
11. Hardware-ul CIPF poate fi instalat în sălile de server și nu poate fi disponibil pentru analiză prin rețea.
12. Unele sisteme electronice de gestionare a documentelor pot fi într-o formă inactivă sau inactivă, dar în același timp conțin informații cheie active și CIPF.
13. Documentația internă de reglementare, organizatorică și administrativă poate conține informații despre sistemele electronice de gestionare a documentelor, CIPF și documentele cheie.

Pentru a extrage informațiile primare, vom:

• intervievați angajații;
• analizează documentația companiei, inclusiv documentele interne de reglementare și administrative, precum și ordinele de plată de ieșire;
• efectuează o analiză vizuală a camerelor serverelor și a cabinetelor de comunicații;
• efectuează analize tehnice ale conținutului stațiilor de lucru automate (AWP), serverelor și instrumentelor de virtualizare.

Vom formula măsuri specifice mai târziu, dar deocamdată vom lua în considerare datele finale pe care ar trebui să le primim în urma auditului:

Lista SKZI:

1. model SKZI. De exemplu, CIPF Crypto CSP 3.9 sau OpenSSL 1.0.1
2. ID-ul instanței CIPF. De exemplu, numărul de serie, licență (sau înregistrare conform PKZ-2005) al CIPF
3. Informații despre certificatul FSB al Rusiei pentru CIPF, inclusiv numărul și datele de început și de încheiere ale perioadelor de valabilitate.
4. Informații despre locul de funcționare al CIPF. De exemplu, numele computerului pe care este instalat software-ul CIPF sau numele hardware-ului sau sediului în care este instalat hardware-ul CIPF.

Aceste informații vor permite:

1. Gestionați vulnerabilitățile din CIPF, adică detectați și remediați rapid.
2. Urmăriți valabilitatea certificatelor pentru CIPF și, de asemenea, verificați dacă CIPF certificat este utilizat în conformitate cu regulile stabilite de documentație sau nu.
3. Planificați costurile CIPF, știind cât de mult este deja în funcțiune și câte mai multe fonduri consolidate sunt disponibile.
4. Generați rapoarte de reglementare.

Lista informațiilor cheie:

Pentru fiecare element al listei, fixăm următoarele date:

1. Numele sau identificatorul informațiilor cheie. De exemplu, „Cheia unui ES calificat. Numărul de serie al certificatului este 31:2D:AF”, în timp ce identificatorul trebuie selectat în așa fel încât să poată fi folosit pentru a găsi cheia. De exemplu, CA, atunci când trimit notificări, identifică de obicei cheile după numerele de certificat.
2. Centrul de control al sistemului cheie (TSUKS) care a emis această informație cheie. Aceasta poate fi o organizație care a emis cheia, de exemplu, o autoritate de certificare.
3. Individualîn numele căruia sunt emise informaţiile cheie. Aceste informații pot fi extrase din câmpurile CN ale certificatelor X.509
4. Formatul informațiilor cheie. De exemplu, CIPF CryptoPRO, CIPF Verba-OW, X.509 etc. (sau cu alte cuvinte, pentru utilizarea cu care CIPF este destinată această informație cheie).
5. Scopul informațiilor cheie. De exemplu, „Participarea la tranzacționare pe site-ul Sberbank AST”, „Semnătura electronică calificată pentru raportare”, etc. Din punct de vedere al tehnologiei, în acest domeniu, puteți remedia câmpurile fixe de restricții de utilizare extinsă a cheilor și alte certificate X.509.
6. Începutul și sfârșitul perioadelor de valabilitate a informațiilor cheie.
7. Procedura de reemitere a informațiilor cheie. Adică, cunoașterea ce trebuie făcut și cum, atunci când se reemite informații cheie. Cel puțin, este de dorit să se înregistreze contactele oficialilor CCC care au eliberat informațiile cheie.
8. Lista sistemelor informaționale, serviciilor sau proceselor de afaceri în cadrul cărora sunt utilizate informațiile cheie. De exemplu, „Sistem de servicii bancare la distanță Internet Client-Bank”.

Aceste informații vor permite:

1. Urmăriți datele de expirare ale informațiilor cheie.
2. Dacă este necesar, reemiteți rapid informațiile cheie. Acest lucru poate fi necesar atât pentru reeditările planificate, cât și pentru cele neprogramate.
3. Blocați utilizarea informațiilor cheie, la concedierea angajatului pentru care sunt eliberate.
4. Investigați incidentele de securitate a informațiilor răspunzând la întrebările: „Cine a avut cheile pentru a efectua plăți?” si etc.

Lista documentelor cheie:

Pentru fiecare element al listei, fixăm următoarele date:

1. Informatie cheie Conținut în documentul cheie.
2. Purtător de informații cheie care conțin informațiile cheie.
3. Față responsabil pentru siguranța documentului cheie și confidențialitatea informațiilor cheie conținute în acesta.

Aceste informații vor permite:

1. Reemite informații cheie în cazuri de: concediere a angajaților care dețin documente cheie, precum și în caz de compromitere a mass-media.
2. Asigurați confidențialitatea informațiilor cheie prin inventarierea suporturilor care le conțin.

Planul de audit

Este timpul să luăm în considerare caracteristicile practice ale auditului. Să facem asta pe exemplul unei instituții financiare sau, cu alte cuvinte, pe exemplul unei bănci. Acest exemplu nu a fost ales întâmplător. Băncile folosesc un număr destul de mare de sisteme de protecție criptografică pestrițe care sunt implicate într-un număr mare de procese de afaceri și, în plus, aproape toate băncile sunt licențiate ale FSB al Rusiei pentru criptare. În continuare, în articol, va fi prezentat un plan de audit pentru CIPF și cheile cripto, în relație cu Banca. În același timp, acest plan poate fi luat ca bază pentru auditarea aproape oricărei companii. Pentru ușurință de percepție, planul este împărțit în etape, care, la rândul lor, sunt împăturite în spoilere.

Etapa 1. Colectarea datelor de la departamentele de infrastructură ale companiei

№	Acțiune
Sursă - toți angajații companiei
1	Facem o listă de corespondență corporativă tuturor angajaților companiei cu o solicitare de a informa serviciul de securitate a informațiilor despre toate cheile criptografice pe care le folosesc	Primim e-mailuri, pe baza cărora formăm o listă de informații cheie și o listă de documente cheie
Sursa - Şef Serviciu Tehnologia Informaţiei
1	Solicităm o listă de informații cheie și documente cheie	Cu o oarecare probabilitate, Serviciul IT menține astfel de documente, le vom folosi pentru a forma și clarifica liste de informații cheie, documente cheie și CIPF
2	Solicităm o listă a CIPF
3	Solicitam registrul software-ului instalat pe servere si statii de lucru	În acest registru, căutăm instrumente software de protecție a informațiilor criptografice și componentele acestora. De exemplu, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, CritoARM etc. Pe baza acestor date, formăm o listă de instrumente de protecție a informațiilor criptografice.
4	Solicităm o listă de angajați (probabil suport tehnic) care îi ajută pe utilizatori să utilizeze CIPF și să reemite informații cheie.	Solicităm de la aceste persoane aceleași informații ca și de la administratorii de sistem
Sursă - Administratorii de sistem al Serviciului de Tehnologia Informației
1	Solicităm o listă de cripto-gateway-uri interne (VIPNET, Continent, S-terra etc.)	În cazurile în care compania nu a implementat procese obișnuite de management IT și securitatea informațiilor, astfel de întrebări pot ajuta administratorii de sistem să-și amintească existența unui anumit dispozitiv sau software. Folosim aceste informații pentru a obține o listă a CIPF.
2	Solicităm o listă de software autohton CIPF (CIPF MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...)
3	Solicităm o listă de routere care implementează VPN pentru: a) comunicări ale birourilor societății; b) interacțiunea cu contractanții și partenerii.
4	Solicităm o listă a serviciilor de informare publicate pe Internet (accesibile de pe Internet). Acestea pot include: a) e-mail corporativ; b) sisteme de mesagerie instant; c) site-uri web corporative; d) servicii de schimb de informații cu parteneri și contractori (extranet); e) sisteme bancare la distanță (dacă societatea este o bancă); f) sisteme de acces la distanta la reteaua firmei. Pentru a verifica caracterul complet al informațiilor furnizate, le comparăm cu lista de reguli de portforwarding ale firewall-urilor edge.	Analizând informațiile primite, cu o mare probabilitate, se constată utilizarea instrumentelor de protecție a informațiilor criptografice și a cheilor criptografice. Folosim datele obținute pentru a forma o listă de instrumente de protecție a informațiilor criptografice și informații cheie.
5	Solicităm o listă a sistemelor informatice utilizate pentru raportare (Takskom, Kontur etc.)	Aceste sisteme folosesc chei de semnătură electronică calificate și CIPF. Prin această listă, formăm o listă de instrumente de protecție a informațiilor criptografice, o listă de informații cheie și, de asemenea, recunoaștem angajații care folosesc aceste sisteme pentru a forma o listă de documente cheie.
6	Solicităm o listă cu sistemele electronice interne de gestionare a documentelor (Lotus, DIRECTUM, 1C: Document Management etc.), precum și o listă a utilizatorilor acestora.	În cadrul sistemelor interne de gestionare a documentelor electronice, pot apărea chei de semnătură electronică. Pe baza informațiilor primite, formăm o listă de informații cheie și o listă de documente cheie.
7	Solicităm o listă a centrelor de certificare interne.	Mijloacele utilizate pentru organizarea centrelor de certificare sunt consemnate în lista CIPF. În viitor, vom analiza conținutul bazelor de date ale centrelor de certificare pentru a identifica informațiile cheie.
8	Solicităm informații despre utilizarea tehnologiilor: IEEE 802.1x, WiFiWPA2 Enterprise și sisteme de supraveghere video IP	În cazul utilizării acestor tehnologii, putem găsi documente cheie în dispozitivele implicate.
Sursa - Șef Resurse Umane
1	Vă rugăm să descrieți procesul de angajare și concediere a angajaților. Concentrarea pe întrebarea cine preia documentele cheie de la angajații care pleacă	Analizăm documente (fișe de bypass) pentru prezența sistemelor informaționale în care poate fi utilizat CIPF.

Etapa 2. Colectarea datelor de la unitățile de afaceri ale companiei (pe exemplul Băncii)

№	Acțiune	Rezultatul așteptat și utilizarea acestuia
Sursa - Șef Serviciu decontări (Relații cu corespondenți)
1	Vă rugăm să furnizați o schemă pentru organizarea interacțiunii cu sistemul de plăți al Băncii Rusiei. În special, acest lucru va fi relevant pentru băncile care au o rețea de sucursale dezvoltată, în care sucursalele pot conecta Banca Centrală direct la sistemul de plăți	Pe baza datelor primite, determinăm locația gateway-urilor de plată (ARM KBR, UTA) și lista utilizatorilor implicați. Folosim informațiile primite pentru a forma o listă de CIPF, informații cheie și documente cheie.
2	Solicităm o listă a Băncilor cu care s-au stabilit relații de corespondență directă și, de asemenea, ne solicităm să spunem cine este implicat în efectuarea transferurilor și ce mijloace tehnice sunt utilizate.
3	Solicităm o listă a sistemelor de plată la care Banca participă (SWIFT, VISA, MasterCard, NSPK etc.), precum și locația terminalelor de comunicare.	În mod similar, în ceea ce privește sistemul de plăți al Băncii Rusiei
Sursa - Sef divizie responsabila cu furnizarea de servicii bancare la distanta
1	Solicităm o listă de sisteme bancare la distanță.	În aceste sisteme, analizăm utilizarea CIPF și a informațiilor cheie. Pe baza datelor obținute, formăm o listă de instrumente de protecție a informațiilor criptografice și informații cheie și documente cheie.
Sursa - Șef departament responsabil cu funcționarea procesării cardurilor de plată
1	Interogarea registrului HSM	Pe baza informațiilor primite, formăm o listă de CIPF, informații cheie și documente cheie.
2	Solicitarea unui registru al ofițerilor de securitate
4	Solicitarea de informații despre componentele LMK HSM
5	Solicităm informații despre organizarea unor sisteme precum 3D-Secure și organizarea personalizării cardurilor de plată
Sursa - Sefii de departamente care indeplinesc functiile de trezorerie si depozitar
1	Lista băncilor cu care s-au stabilit relații de corespondență și care participă la împrumuturi interbancare.	Folosim informațiile primite pentru a clarifica datele primite anterior de la serviciul de decontare și, de asemenea, înregistrăm informații despre interacțiunea cu bursele și depozitarii. Pe baza informațiilor primite, formăm o listă de instrumente de protecție a informațiilor criptografice și informații cheie.
2	Lista burselor si depozitarilor specializati cu care colaboreaza Banca
Sursa - Șefii serviciilor de monitorizare financiară și departamentelor responsabile cu raportarea către Banca Rusiei
1	Solicităm informații despre cum trimit informații și cum primesc informații de la Banca Centrală. Lista persoanelor implicate și a mijloacelor tehnice.	Interacțiunea informațiilor cu Banca Rusiei este strict reglementată de documente relevante, de exemplu, 2332-U, 321-I și multe altele, verificăm conformitatea cu aceste documente și formăm liste de CIPF, informații cheie și documente cheie.
Sursa - Contabil Sef si personal contabil implicat in plata facturilor pentru nevoile bancare interne
1	Solicităm informații despre modul în care are loc întocmirea și transmiterea rapoartelor către inspectoratele fiscale și Banca Rusiei	Rafinați informațiile primite anterior
2	Solicităm un registru al documentelor de plată pentru a plăti nevoile intra-bancare	În acest registru, vom căuta documente în care: 1) sunt indicați ca destinatari ai plății centrele de certificare, operatorii telecom specializați, producătorii CIPF, furnizorii de echipamente de telecomunicații. Numele acestor companii pot fi obținute din Registrul CIPF certificat al FSB al Rusiei, lista centrelor de certificare acreditate a Ministerului Telecomunicațiilor și Comunicațiilor de masă și din alte surse. 2) ca decriptare a plății, există cuvintele: „CIPF”, „semnătură”, „token”, „cheie”, „BKI”, etc.
Sursa - Șefii de arierate și managementul riscurilor
1	Solicitam o lista cu birourile de credit si agentiile de colectare cu care Banca lucreaza.	Împreună cu serviciul IT analizăm datele primite pentru a clarifica organizarea managementului documentelor electronice, pe baza cărora perfecționăm listele de instrumente de protecție a informațiilor criptografice, informații cheie și documente cheie.
Sursa - Șefii serviciilor de management al documentelor, control intern și audit intern
1	Solicitam un registru al documentelor interne organizatorice si administrative (comenzi).	În aceste documente căutăm documente legate de CIPF. Pentru a face acest lucru, analizăm prezența cuvintelor cheie „securitate”, „persoană responsabilă”, „administrator”, „semnătură electronică”, „ES”, „EDS”, „EDO”, „ASP”, „CIPF” și a acestora. derivate. După aceea, identificăm lista angajaților Băncii consemnate în aceste documente. Efectuăm interviuri cu angajații pe tema utilizării instrumentelor criptografice. Reflectăm informațiile primite în listele CIPF, informații cheie și documente cheie.
2	Solicitam liste de contracte cu contractori	Încercăm să identificăm acorduri privind managementul documentelor electronice, precum și acorduri cu companii implicate în furnizarea de instrumente de securitate a informațiilor sau furnizarea de servicii în acest domeniu, precum și companii care prestează servicii de centre de certificare și servicii de raportare prin internet.
3	Analizăm tehnologia de stocare a documentelor zilei în formă electronică	La implementarea stocării documentelor zilei în formă electronică, CIPF este obligatorie

Etapa 3. Audit tehnic

№	Acțiune	Rezultatul așteptat și utilizarea acestuia
1	Efectuăm un inventar tehnic al software-ului instalat pe computere. Pentru aceasta folosim: · Capacități analitice ale sistemelor de protecție antivirus corporative (de exemplu, Kaspersky Anti-Virus poate construi un astfel de registru). · Scripturi WMI pentru computere de sondare care rulează Windows; · Posibilitățile managerilor de pachete de a interoga sistemele *nix; Software specializat pentru inventariere.	Printre software-ul instalat, căutăm software CIPF, drivere pentru hardware CIPF și media cheie. Pe baza informațiilor primite, actualizăm lista CIPF.
2	Căutăm documente cheie pe servere și stații de lucru. Pentru aceasta · Folosind scripturi Logon, interogăm stația de lucru din domeniu pentru prezența certificatelor cu chei private în profilurile de utilizator și profilurile computerului. Pe toate computerele, serverele de fișiere, hipervizoarele, căutăm fișiere cu extensii: crt, cer, key, pfx, p12, pem, pse, jks etc. · Pe hypervizoarele sistemelor de virtualizare, căutăm unități montate și imagini de dischetă.	Foarte des, documentele cheie sunt prezentate sub formă de containere de cheie de fișiere, precum și containere stocate în registrele computerelor care rulează Windows. Fixăm documentele cheie găsite în lista de documente cheie, iar informațiile cheie conținute în acestea în lista de informații cheie.
3	Analizăm conținutul bazelor de date ale centrelor de certificare	Bazele de date ale autorităților de certificare conțin de obicei informații despre certificatele emise de aceste autorități. Informațiile primite sunt introduse în lista de informații cheie și în lista de documente cheie.
4	Efectuăm o inspecție vizuală a camerelor serverelor și a dulapurilor de cablare, căutăm protecția informațiilor criptografice și purtători de chei hardware (jetoane, unități de disc)	În unele cazuri, este imposibilă inventarierea CIPF și a documentelor cheie prin rețea. Sistemele pot fi amplasate pe segmente izolate de rețea sau nu au deloc conexiuni la rețea. Pentru a face acest lucru, efectuăm o inspecție vizuală, ale cărei rezultate ar trebui să stabilească numele și scopul tuturor echipamentelor prezentate în camerele serverelor. Informațiile primite sunt introduse în lista CIPF și documentele cheie.
5	Analizăm traficul de rețea pentru a identifica fluxurile de informații folosind schimbul criptat	Protocoalele criptate – HTTPS, SSH etc. ne vor permite să identificăm nodurile de rețea pe care se efectuează transformări criptografice și, ca urmare, să conțină CIPF și documente cheie.

Concluzie

În acest articol, am trecut în revistă teoria și practica auditării instrumentelor de protecție a informațiilor criptografice și a cheilor criptografice. După cum puteți vedea, această procedură este destul de complicată și necesită timp, dar dacă este abordată corect, este destul de fezabilă. Sperăm că acest articol vă va ajuta în viața reală. Vă mulțumim pentru atenție, așteptăm comentariile voastre

Etichete: Adăugați etichete

Metode criptografice de protecție a informațiilor

O transformare criptografică este o transformare a informațiilor bazată pe un algoritm care depinde de un parametru variabil (numit de obicei cheie secretă), și are proprietatea că este imposibil să se restabilească informațiile originale din cea transformată, fără a cunoaște cheia curentă, cu aportul de muncă mai mic decât unul prestabilit.

Principalul avantaj al metodelor criptografice este că oferă o rezistență ridicată garantată de protecție, care poate fi calculată și exprimată în formă numerică (numărul mediu de operațiuni sau timpul necesar pentru dezvăluirea informațiilor criptate sau calcularea cheilor).

Principalele dezavantaje ale metodelor criptografice includ:

Costuri semnificative de resurse (timp, performanță procesor) pentru a efectua transformări criptografice ale informațiilor;
. dificultăți în partajarea informațiilor criptate (semnate) legate de managementul cheilor (generare, distribuție etc.);
. cerințe ridicate pentru siguranța cheilor secrete și protecția cheilor publice împotriva înlocuirii.

Criptografia este împărțită în două clase: criptografia cu cheie simetrică și criptografia cu cheie publică.

Criptografie cu chei simetrice
În criptografia cu cheie simetrică (criptografia clasică), abonații folosesc aceeași cheie (partajată) (element secret) atât pentru a cripta, cât și a decripta datele.

Ar trebui evidențiate următoarele avantaje ale criptografiei cu chei simetrice:
. performanța relativ ridicată a algoritmilor;
. puterea criptografică ridicată a algoritmilor per unitate de lungime a cheii.

Dezavantajele criptografiei cu chei simetrice includ:
. necesitatea utilizării unui mecanism complex de distribuție a cheilor;
. dificultăţi tehnologice în asigurarea nerepudierii.

Criptografia cu cheie publică

Pentru a rezolva problemele de distribuție a cheilor și EDS, s-au folosit ideile de asimetrie a transformărilor și distribuția deschisă a cheilor Diffie și Hellman. Ca urmare, a fost creată criptografia cu cheie publică, care utilizează nu un secret, ci o pereche de chei: o cheie publică (publică) și o cheie secretă (privată, individuală), cunoscută doar de o singură parte care interacționează. Spre deosebire de o cheie privată, care trebuie păstrată secretă, o cheie publică poate fi partajată public. Figura 1 prezintă două proprietăți ale sistemelor cu chei publice care permit generarea de mesaje criptate și autentificate.

Două proprietăți importante ale criptografiei cu cheie publică

Figura 1 Două proprietăți ale criptografiei cu cheie publică

Schema de criptare a datelor folosind cheia publică este prezentată în Figura 6 și constă din două etape. La prima dintre ele, se realizează un schimb de chei publice pe un canal non-secret. În același timp, este necesar să se asigure autenticitatea transferului de informații cheie. În a doua etapă, de fapt, este implementată criptarea mesajelor, în care expeditorul criptează mesajul cu cheia publică a destinatarului.

Fișierul criptat poate fi citit doar de proprietarul cheii private, adică. destinatar. Schema de decriptare implementată de destinatarul mesajului folosește cheia privată a destinatarului pentru a face acest lucru.

Criptare

Figura 2 Schema de criptare în criptografia cu cheie publică.

Implementarea schemei EDS este asociată cu calculul funcției hash (digest) a datelor, care este un număr unic obținut din datele originale prin comprimare (convoluție) folosind un algoritm complex, dar binecunoscut. Funcția hash este o funcție unidirecțională, adică. valoarea hash nu poate fi folosită pentru a restaura datele originale. Funcția hash este sensibilă la tot felul de distorsiuni ale datelor. De asemenea, este foarte dificil să găsești două seturi de date care au aceeași valoare hash.

Formarea EDS cu hashing
Schema de generare a unei semnături ED de către expeditorul său include calcularea funcției hash ED și criptarea acestei valori folosind cheia secretă a expeditorului. Rezultatul criptării este valoarea EDS a ED (cerința ED), care este trimisă împreună cu ED-ul însuși destinatarului. În acest caz, destinatarului mesajului trebuie să i se dea mai întâi cheia publică a expeditorului mesajului.

Figura 3 Schema EDS în criptografia cu cheie publică.

Schema de verificare (verificare) a EDS, realizată de destinatarul mesajului, constă în următoarele etape. Pe primul dintre ele, blocul EDS este decriptat folosind cheia publică a expeditorului. Apoi se calculează funcția hash a ED. Rezultatul calculului este comparat cu rezultatul decriptării blocului EDS. În cazul unei potriviri, se ia o decizie privind conformitatea EDS cu ED. Discrepanța dintre rezultatul decriptării și rezultatul calculării funcției hash ED poate fi explicată prin următoarele motive:

În procesul de transmitere prin canalul de comunicație, integritatea ED a fost pierdută;
. la generarea EDS, a fost folosită cheia secretă greșită (falsă);
. la verificarea EDS, a fost folosită cheia publică greșită (în procesul de transmitere prin canalul de comunicație sau în timpul stocării ulterioare a acestuia, cheia publică a fost modificată sau înlocuită).

Implementarea algoritmilor criptografici cu chei publice (comparativ cu algoritmii simetrici) necesita mult timp CPU. Prin urmare, criptografia cu cheie publică este de obicei folosită pentru a rezolva problemele de distribuție a cheilor și EDS și criptografia simetrică pentru criptare. Este cunoscută o schemă de criptare combinată, care combină securitatea ridicată a criptosistemelor cu cheie publică cu avantajele vitezei mari ale criptosistemelor simetrice. Această schemă folosește o cheie simetrică (de sesiune) generată aleatoriu pentru criptare, care, la rândul său, este criptată folosind un criptosistem deschis pentru transmisia sa secretă pe canal la începutul sesiunii de comunicare.

Metoda combinata

Figura 4 Schema de criptare combinată.

Încredere în cheie publică și certificate digitale
Problema centrală a schemei de distribuire a cheii publice este problema încrederii în cheia publică a partenerului primit, care poate fi modificată sau înlocuită în timpul transmiterii sau stocării.

Pentru o clasă largă de sisteme practice (sisteme electronice de gestionare a documentelor, sisteme client-bancă, sisteme electronice de decontare interbancare), în care este posibilă o întâlnire personală a partenerilor înainte de schimbul de ED, această problemă are o soluție relativ simplă - certificarea reciprocă a chei publice.

Această procedură constă în faptul că fiecare parte la o întâlnire personală certifică cu semnătura unei persoane autorizate și sigiliul unui document pe hârtie - o imprimare a conținutului cheii publice a celeilalte părți. Acest certificat de hârtie este, în primul rând, obligația părții de a utiliza această cheie pentru a verifica semnătura pe mesajele primite și, în al doilea rând, asigură semnificația legală a interacțiunii. Într-adevăr, certificatele de hârtie luate în considerare fac posibilă identificarea unică a unui fraudator între doi parteneri, dacă unul dintre ei dorește să schimbe cheile.

Astfel, pentru implementarea unei interacțiuni electronice semnificative din punct de vedere juridic între cele două părți, este necesară încheierea unui acord care să prevadă schimbul de certificate. Un certificat este un document care leagă identitatea proprietarului de cheia publică a acestuia. În formă de hârtie, trebuie să conțină semnături de mână ale persoanelor autorizate și sigilii.

În sistemele în care nu există posibilitatea unui contact personal preliminar al partenerilor, este necesar să se utilizeze certificate digitale emise și certificate prin semnătura digitală a unui intermediar de încredere - un centru de certificare sau certificare.

Interacțiunea clienților cu Centrul de Certificare
În etapa preliminară, fiecare dintre parteneri vizitează personal Centrul de Certificare (CA) și primește un certificat personal - un fel de analog electronic al pașaportului civil.

Figura 5 x.509 certificat.

După vizitarea CA, fiecare dintre parteneri devine proprietarul cheii publice a CA. Cheia publică a CA permite proprietarului său să verifice autenticitatea cheii publice a partenerului prin autentificarea semnăturii digitale a autorității de certificare sub certificatul de cheie publică al partenerului.

În conformitate cu legea „Pe EDS”, un certificat digital conține următoarele informații:

Numele și detaliile centrului cheie de certificare (autoritatea centrală de certificare, centrul de certificare);
. Certificat că certificatul a fost eliberat în Ucraina;
. Număr unic de înregistrare al certificatului de cheie;
. Datele de bază (detalii) ale abonatului - proprietarul cheii private (publice);
. Data și ora începerii și sfârșitului de valabilitate a certificatului;
. cheie publică;
. Numele algoritmului criptografic utilizat de proprietarul cheii publice;
. Informații despre limitarea utilizării semnăturii;
. Un certificat de cheie consolidat, pe lângă datele obligatorii conținute în certificatul de cheie, trebuie să aibă semnul unui certificat consolidat;
. Alte date pot fi adăugate la certificatul cheii întărite la cererea proprietarului acestuia.

Acest certificat digital este semnat cu cheia privată a CA, astfel încât oricine are cheia publică a CA poate verifica autenticitatea acesteia. Astfel, utilizarea unui certificat digital presupune următoarea schemă de interacțiune electronică între parteneri. Unul dintre parteneri trimite celuilalt propriul certificat primit de la CA și un mesaj semnat cu un EDS. Destinatarul mesajului efectuează autentificarea certificatului de la egal la egal, care include:

Verificarea încrederii în emitentul certificatului și a perioadei de valabilitate a acestuia;
. verificarea EDS-ului emitentului conform certificatului;
. verificarea revocării certificatului.

Dacă certificatul partenerului nu și-a pierdut valabilitatea, iar semnătura digitală este utilizată în relații în care are semnificație juridică, din certificat se extrage cheia publică a partenerului. Pe baza acestei chei publice, EDS-ul partenerului într-un document electronic (ED) poate fi verificat.
Este important de reținut că, în conformitate cu legea „Cu privire la EDS”, confirmarea autenticității unui EDS într-un ED este un rezultat pozitiv al verificării de către un instrument EDS certificat corespunzător folosind un certificat de cheie de semnătură.

CA, asigurând securitatea interacțiunii partenerilor, îndeplinește următoarele funcții:

Înregistrează cheile EDS;
. creează, la cererea utilizatorilor, chei EDS private și publice;
. suspendă și reînnoiește certificatele de cheie de semnătură și le revocă;
. menține un registru al certificatelor de cheie de semnătură, asigură relevanța registrului și posibilitatea accesului liber al utilizatorilor la registru;
. emite certificate de cheie de semnătură pe hârtie și sub formă de documente electronice cu informații despre valabilitatea acestora;
. efectuează, la cererea utilizatorilor, confirmarea autenticității (validității) semnăturii în ED în raport cu EDS-ul înregistrat de acesta.

CA creează condiții pentru stocarea în siguranță a cheilor secrete pe echipamente scumpe și bine protejate, precum și condiții pentru administrarea accesului la cheile secrete.

Înregistrarea fiecărui EDS se realizează pe baza unei aplicații care conține informațiile necesare emiterii unui certificat, precum și informații necesare identificării EDS-ului proprietarului și transmiterii mesajelor către acesta. Cererea este semnată de semnătura de mână a proprietarului EDS, informațiile conținute în ea sunt confirmate prin prezentarea documentelor relevante. În timpul înregistrării, este verificată unicitatea cheilor EDS publice din registrul și arhiva CA.

La înregistrarea la CA pe hârtie se eliberează două copii ale certificatului cheie de semnătură, care sunt certificate de semnăturile de mână ale titularului EDS și ale unei persoane autorizate a centrului de certificare (CA) și sigiliul centrului de certificare. Un exemplar este eliberat proprietarului EDS, al doilea rămâne în CA.

În sistemele reale, fiecare partener poate utiliza mai multe certificate emise de diferite CA. Diferite CA pot fi combinate prin infrastructura cu cheie publică sau PKI (PKI - Public Key Infrastructure). CA din cadrul PKI asigură nu numai stocarea certificatelor, ci și gestionarea acestora (emitere, revocare, verificare a încrederii). Cel mai comun model PKI este ierarhic. Avantajul fundamental al acestui model este că validarea certificatului necesită doar un număr relativ mic de CA rădăcină pentru a fi de încredere. În același timp, acest model vă permite să aveți un număr diferit de CA care emit certificate.

Din punct de vedere al securității informațiilor, cheile criptografice sunt date critice. Dacă mai devreme, pentru a jefui o companie, atacatorii trebuiau să intre pe teritoriul acesteia, să deschidă spații și seifuri, acum este suficient să furi un token cu o cheie criptografică și să faci un transfer prin sistemul Internet Client-Bank. Fundamentul pentru asigurarea securității cu ajutorul sistemelor de protecție a informațiilor criptografice (CIPF) este menținerea confidențialității cheilor criptografice.

Și cum să vă asigurați confidențialitatea a ceea ce nu știți că există? Pentru a pune jetonul cu cheia în seif, trebuie să știți despre existența jetonului și a seifului. Oricât de paradoxal sună, foarte puține companii au o idee despre numărul exact de documente cheie pe care le folosesc. Acest lucru se poate întâmpla din mai multe motive, cum ar fi subestimarea amenințărilor la securitatea informațiilor, lipsa proceselor de afaceri stabilite, calificarea insuficientă a personalului în probleme de securitate etc. De obicei, își amintesc această sarcină după incidente, cum ar fi acesta.

Acest articol va descrie primul pas către îmbunătățirea protecției informațiilor folosind instrumente criptografice sau, mai precis, vom lua în considerare una dintre abordările pentru efectuarea unui audit al instrumentelor de protecție a informațiilor criptografice și al cheilor criptografice. Narațiunea va fi realizată în numele unui specialist în securitatea informațiilor, în timp ce vom presupune că munca este realizată de la zero.

Termeni și definiții

La începutul articolului, pentru a nu speria cititorul nepregătit cu definiții complexe, am folosit pe scară largă termenii cheie criptografică sau cheie criptografică, acum este timpul să ne îmbunătățim aparatul conceptual și să-l aducem în conformitate cu legislația actuală. Acesta este un pas foarte important, deoarece va structura eficient informațiile obținute din rezultatele auditului.

1. Cheie criptografică (cheie criptografică)- un set de date care asigură alegerea unei transformări criptografice specifice dintre toate posibilele într-un sistem criptografic dat (definiție din „instrucțiunea roz – Ordinul FAPSI nr. 152 din 13 iunie 2001, în continuare – FAPSI 152).
2. Informatie cheie- un set special organizat de chei criptografice, concepute pentru a asigura protecția criptografică a informațiilor pentru o anumită perioadă [FAPSI 152].
   Puteți înțelege diferența fundamentală dintre o cheie cripto și informațiile cheie folosind următorul exemplu. La organizarea HTTPS, se generează o pereche de chei publice și private și se obține un certificat din cheia publică și informații suplimentare. Deci, în această schemă, combinația dintre un certificat și o cheie privată formează informații despre cheie și fiecare dintre ele în mod individual este o cheie cripto. Aici vă puteți ghida după următoarea regulă simplă - atunci când lucrați cu CIPF, utilizatorii finali folosesc informațiile cheie, iar cheile cripto folosesc de obicei CIPF în interiorul lor. În același timp, este important să înțelegeți că informațiile cheie pot consta dintr-o cheie cripto.
3. Documente cheie- documente electronice pe orice suport, precum și documente pe hârtie care conțin informații cheie cu acces limitat pentru transformarea criptografică a informațiilor folosind algoritmi de transformare criptografică a informațiilor (cheie criptografică) în mijloace de criptare (criptografice). (determinare din HG nr. 313 din 16 aprilie 2012, denumită în continuare PP-313)
   În termeni simpli, un document cheie este o informație cheie înregistrată pe un suport. La analizarea informațiilor cheie și a documentelor cheie, trebuie menționat că informațiile cheie sunt exploatate (adică utilizate pentru transformări criptografice - criptare, semnătură electronică etc.), iar documentele cheie care le conțin sunt transferate angajaților.
4. Mijloace de protecție a informațiilor criptografice (CIPF)- mijloace de criptare, mijloace de protecție împotriva imitației, mijloace de semnătură electronică, mijloace de codare, mijloace de producere a documentelor cheie, documente cheie, mijloace hardware de criptare (criptografice), mijloace software și hardware de criptare (criptografice). [PP-313]
   Atunci când se analizează această definiție, este posibil să se detecteze prezența termenului documente cheie în ea. Termenul este dat în Hotărârea Guvernului și nu avem dreptul să-l schimbăm. În același timp, descrierea ulterioară se va baza pe presupunerea că numai mijloacele de implementare a transformărilor criptografice vor fi raportate la CIPF). Această abordare va simplifica auditul, dar în același timp nu va afecta calitatea acestuia, deoarece vom ține cont în continuare de documentele cheie, dar în secțiunea noastră și prin propriile metode.

Metodologia de audit și rezultatele așteptate

Principalele caracteristici ale metodologiei de audit propuse în acest articol sunt postulatele că:

• niciun angajat al companiei nu poate răspunde cu acuratețe la întrebările puse în timpul auditului;
• sursele de date existente (liste, registre etc.) nu sunt precise sau prost structurate.

Prin urmare, metodologia propusă în articol este un fel de data mining, în timpul căruia aceleași date vor fi extrase din surse diferite, iar apoi comparate, structurate și rafinate.

Iată principalele dependențe care ne vor ajuta în acest sens:

1. Dacă există CIPF, atunci există informații cheie.
2. Dacă există un flux de documente electronice (inclusiv cu contrapărțile și autoritățile de reglementare), atunci cel mai probabil utilizează o semnătură electronică și, ca urmare, CIPF și informații cheie.
3. Managementul documentelor electronice în acest context ar trebui înțeles în sens larg, adică va include atât schimbul direct de documente electronice semnificative din punct de vedere juridic, cât și raportarea, precum și lucrul în sistemele de plată sau tranzacționare și așa mai departe. Lista și formele de gestionare a documentelor electronice sunt determinate de procesele de afaceri ale companiei, precum și de legislația în vigoare.
4. Dacă un angajat este implicat în managementul documentelor electronice, atunci cel mai probabil are documente cheie.
5. La organizarea gestiunii electronice a documentelor cu contrapartidele, documentele organizatorice si administrative (ordinele) sunt de obicei emise la numirea persoanelor responsabile.
6. Dacă informațiile sunt transmise prin Internet (sau alte rețele publice), atunci cel mai probabil sunt criptate. În primul rând, este vorba despre VPN și diverse sisteme de acces la distanță.
7. Dacă în traficul de rețea se găsesc protocoale care transmit trafic în formă criptată, atunci se aplică CIPF și informațiile cheie.
8. Dacă s-ar face decontări cu contrapărți implicate în: furnizarea de instrumente de securitate a informațiilor, dispozitive de telecomunicații, furnizarea de servicii pentru transferul umflăturii, serviciile centrelor de certificare, atunci în această interacțiune se puteau achiziționa CIPF sau documente cheie.
9. Documentele cheie pot fi atât pe suporturi alienabile (dischete, unități flash, jetoane, ...), cât și înregistrate în interiorul computerelor și hardware-ului CIPF.
10. Când utilizați instrumente de virtualizare, documentele cheie pot fi stocate atât în ​​interiorul mașinilor virtuale, cât și montate pe mașinile virtuale folosind un hypervisor.
11. Hardware-ul CIPF poate fi instalat în sălile de server și nu poate fi disponibil pentru analiză prin rețea.
12. Unele sisteme electronice de gestionare a documentelor pot fi într-o formă inactivă sau inactivă, dar în același timp conțin informații cheie active și CIPF.
13. Documentația internă de reglementare, organizatorică și administrativă poate conține informații despre sistemele electronice de gestionare a documentelor, CIPF și documentele cheie.

Pentru a extrage informațiile primare, vom:

• intervievați angajații;
• analizează documentația companiei, inclusiv documentele interne de reglementare și administrative, precum și ordinele de plată de ieșire;
• efectuează o analiză vizuală a camerelor serverelor și a cabinetelor de comunicații;
• efectuează analize tehnice ale conținutului stațiilor de lucru automate (AWP), serverelor și instrumentelor de virtualizare.

Vom formula măsuri specifice mai târziu, dar deocamdată vom lua în considerare datele finale pe care ar trebui să le primim în urma auditului:

Lista SKZI:

1. model SKZI. De exemplu, CIPF Crypto CSP 3.9 sau OpenSSL 1.0.1
2. ID-ul instanței CIPF. De exemplu, numărul de serie, licență (sau înregistrare conform PKZ-2005) al CIPF
3. Informații despre certificatul FSB al Rusiei pentru CIPF, inclusiv numărul și datele de început și de încheiere ale perioadelor de valabilitate.
4. Informații despre locul de funcționare al CIPF. De exemplu, numele computerului pe care este instalat software-ul CIPF sau numele hardware-ului sau sediului în care este instalat hardware-ul CIPF.

Aceste informații vor permite:

1. Gestionați vulnerabilitățile din CIPF, adică detectați și remediați rapid.
2. Urmăriți valabilitatea certificatelor pentru CIPF și, de asemenea, verificați dacă CIPF certificat este utilizat în conformitate cu regulile stabilite de documentație sau nu.
3. Planificați costurile CIPF, știind cât de mult este deja în funcțiune și câte mai multe fonduri consolidate sunt disponibile.
4. Generați rapoarte de reglementare.

Lista informațiilor cheie:

Pentru fiecare element al listei, fixăm următoarele date:

1. Numele sau identificatorul informațiilor cheie. De exemplu, „Cheia unui ES calificat. Numărul de serie al certificatului este 31:2D:AF”, în timp ce identificatorul trebuie selectat în așa fel încât să poată fi folosit pentru a găsi cheia. De exemplu, CA, atunci când trimit notificări, identifică de obicei cheile după numerele de certificat.
2. Centrul de control al sistemului cheie (TSUKS) care a emis această informație cheie. Aceasta poate fi o organizație care a emis cheia, de exemplu, o autoritate de certificare.
3. Individualîn numele căruia sunt emise informaţiile cheie. Aceste informații pot fi extrase din câmpurile CN ale certificatelor X.509
4. Formatul informațiilor cheie. De exemplu, CIPF CryptoPRO, CIPF Verba-OW, X.509 etc. (sau cu alte cuvinte, pentru utilizarea cu care CIPF este destinată această informație cheie).
5. Scopul informațiilor cheie. De exemplu, „Participarea la tranzacționare pe site-ul Sberbank AST”, „Semnătura electronică calificată pentru raportare”, etc. Din punct de vedere al tehnologiei, în acest domeniu, puteți remedia câmpurile fixe de restricții de utilizare extinsă a cheilor și alte certificate X.509.
6. Începutul și sfârșitul perioadelor de valabilitate a informațiilor cheie.
7. Procedura de reemitere a informațiilor cheie. Adică, cunoașterea ce trebuie făcut și cum, atunci când se reemite informații cheie. Cel puțin, este de dorit să se înregistreze contactele oficialilor CCC care au eliberat informațiile cheie.
8. Lista sistemelor informaționale, serviciilor sau proceselor de afaceri în cadrul cărora sunt utilizate informațiile cheie. De exemplu, „Sistem de servicii bancare la distanță Internet Client-Bank”.

Aceste informații vor permite:

1. Urmăriți datele de expirare ale informațiilor cheie.
2. Dacă este necesar, reemiteți rapid informațiile cheie. Acest lucru poate fi necesar atât pentru reeditările planificate, cât și pentru cele neprogramate.
3. Blocați utilizarea informațiilor cheie, la concedierea angajatului pentru care sunt eliberate.
4. Investigați incidentele de securitate a informațiilor răspunzând la întrebările: „Cine a avut cheile pentru a efectua plăți?” si etc.

Lista documentelor cheie:

Pentru fiecare element al listei, fixăm următoarele date:

1. Informatie cheie Conținut în documentul cheie.
2. Purtător de informații cheie care conțin informațiile cheie.
3. Față responsabil pentru siguranța documentului cheie și confidențialitatea informațiilor cheie conținute în acesta.

Aceste informații vor permite:

1. Reemite informații cheie în cazuri de: concediere a angajaților care dețin documente cheie, precum și în caz de compromitere a mass-media.
2. Asigurați confidențialitatea informațiilor cheie prin inventarierea suporturilor care le conțin.

Planul de audit

Este timpul să luăm în considerare caracteristicile practice ale auditului. Să facem asta pe exemplul unei instituții financiare sau, cu alte cuvinte, pe exemplul unei bănci. Acest exemplu nu a fost ales întâmplător. Băncile folosesc un număr destul de mare de sisteme de protecție criptografică pestrițe care sunt implicate într-un număr mare de procese de afaceri și, în plus, aproape toate băncile sunt licențiate ale FSB al Rusiei pentru criptare. În continuare, în articol, va fi prezentat un plan de audit pentru CIPF și cheile cripto, în relație cu Banca. În același timp, acest plan poate fi luat ca bază pentru auditarea aproape oricărei companii. Pentru ușurință de percepție, planul este împărțit în etape, care, la rândul lor, sunt împăturite în spoilere.

Etapa 1. Colectarea datelor de la departamentele de infrastructură ale companiei

№	Acțiune
Sursă - toți angajații companiei
1	Facem o listă de corespondență corporativă tuturor angajaților companiei cu o solicitare de a informa serviciul de securitate a informațiilor despre toate cheile criptografice pe care le folosesc	Primim e-mailuri, pe baza cărora formăm o listă de informații cheie și o listă de documente cheie
Sursa - Şef Serviciu Tehnologia Informaţiei
1	Solicităm o listă de informații cheie și documente cheie	Cu o oarecare probabilitate, Serviciul IT menține astfel de documente, le vom folosi pentru a forma și clarifica liste de informații cheie, documente cheie și CIPF
2	Solicităm o listă a CIPF
3	Solicitam registrul software-ului instalat pe servere si statii de lucru	În acest registru, căutăm instrumente software de protecție a informațiilor criptografice și componentele acestora. De exemplu, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, CritoARM etc. Pe baza acestor date, formăm o listă de instrumente de protecție a informațiilor criptografice.
4	Solicităm o listă de angajați (probabil suport tehnic) care îi ajută pe utilizatori să utilizeze CIPF și să reemite informații cheie.	Solicităm de la aceste persoane aceleași informații ca și de la administratorii de sistem
Sursă - Administratorii de sistem al Serviciului de Tehnologia Informației
1	Solicităm o listă de cripto-gateway-uri interne (VIPNET, Continent, S-terra etc.)	În cazurile în care compania nu a implementat procese obișnuite de management IT și securitatea informațiilor, astfel de întrebări pot ajuta administratorii de sistem să-și amintească existența unui anumit dispozitiv sau software. Folosim aceste informații pentru a obține o listă a CIPF.
2	Solicităm o listă de software autohton CIPF (CIPF MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...)
3	Solicităm o listă de routere care implementează VPN pentru: a) comunicări ale birourilor societății; b) interacțiunea cu contractanții și partenerii.
4	Solicităm o listă a serviciilor de informare publicate pe Internet (accesibile de pe Internet). Acestea pot include: a) e-mail corporativ; b) sisteme de mesagerie instant; c) site-uri web corporative; d) servicii de schimb de informații cu parteneri și contractori (extranet); e) sisteme bancare la distanță (dacă societatea este o bancă); f) sisteme de acces la distanta la reteaua firmei. Pentru a verifica caracterul complet al informațiilor furnizate, le comparăm cu lista de reguli de portforwarding ale firewall-urilor edge.	Analizând informațiile primite, cu o mare probabilitate, se constată utilizarea instrumentelor de protecție a informațiilor criptografice și a cheilor criptografice. Folosim datele obținute pentru a forma o listă de instrumente de protecție a informațiilor criptografice și informații cheie.
5	Solicităm o listă a sistemelor informatice utilizate pentru raportare (Takskom, Kontur etc.)	Aceste sisteme folosesc chei de semnătură electronică calificate și CIPF. Prin această listă, formăm o listă de instrumente de protecție a informațiilor criptografice, o listă de informații cheie și, de asemenea, recunoaștem angajații care folosesc aceste sisteme pentru a forma o listă de documente cheie.
6	Solicităm o listă cu sistemele electronice interne de gestionare a documentelor (Lotus, DIRECTUM, 1C: Document Management etc.), precum și o listă a utilizatorilor acestora.	În cadrul sistemelor interne de gestionare a documentelor electronice, pot apărea chei de semnătură electronică. Pe baza informațiilor primite, formăm o listă de informații cheie și o listă de documente cheie.
7	Solicităm o listă a centrelor de certificare interne.	Mijloacele utilizate pentru organizarea centrelor de certificare sunt consemnate în lista CIPF. În viitor, vom analiza conținutul bazelor de date ale centrelor de certificare pentru a identifica informațiile cheie.
8	Solicităm informații despre utilizarea tehnologiilor: IEEE 802.1x, WiFiWPA2 Enterprise și sisteme de supraveghere video IP	În cazul utilizării acestor tehnologii, putem găsi documente cheie în dispozitivele implicate.
Sursa - Șef Resurse Umane
1	Vă rugăm să descrieți procesul de angajare și concediere a angajaților. Concentrarea pe întrebarea cine preia documentele cheie de la angajații care pleacă	Analizăm documente (fișe de bypass) pentru prezența sistemelor informaționale în care poate fi utilizat CIPF.

Etapa 2. Colectarea datelor de la unitățile de afaceri ale companiei (pe exemplul Băncii)

№	Acțiune	Rezultatul așteptat și utilizarea acestuia
Sursa - Șef Serviciu decontări (Relații cu corespondenți)
1	Vă rugăm să furnizați o schemă pentru organizarea interacțiunii cu sistemul de plăți al Băncii Rusiei. În special, acest lucru va fi relevant pentru băncile care au o rețea de sucursale dezvoltată, în care sucursalele pot conecta Banca Centrală direct la sistemul de plăți	Pe baza datelor primite, determinăm locația gateway-urilor de plată (ARM KBR, UTA) și lista utilizatorilor implicați. Folosim informațiile primite pentru a forma o listă de CIPF, informații cheie și documente cheie.
2	Solicităm o listă a Băncilor cu care s-au stabilit relații de corespondență directă și, de asemenea, ne solicităm să spunem cine este implicat în efectuarea transferurilor și ce mijloace tehnice sunt utilizate.
3	Solicităm o listă a sistemelor de plată la care Banca participă (SWIFT, VISA, MasterCard, NSPK etc.), precum și locația terminalelor de comunicare.	În mod similar, în ceea ce privește sistemul de plăți al Băncii Rusiei
Sursa - Sef divizie responsabila cu furnizarea de servicii bancare la distanta
1	Solicităm o listă de sisteme bancare la distanță.	În aceste sisteme, analizăm utilizarea CIPF și a informațiilor cheie. Pe baza datelor obținute, formăm o listă de instrumente de protecție a informațiilor criptografice și informații cheie și documente cheie.
Sursa - Șef departament responsabil cu funcționarea procesării cardurilor de plată
1	Interogarea registrului HSM	Pe baza informațiilor primite, formăm o listă de CIPF, informații cheie și documente cheie.
2	Solicitarea unui registru al ofițerilor de securitate
4	Solicitarea de informații despre componentele LMK HSM
5	Solicităm informații despre organizarea unor sisteme precum 3D-Secure și organizarea personalizării cardurilor de plată
Sursa - Sefii de departamente care indeplinesc functiile de trezorerie si depozitar
1	Lista băncilor cu care s-au stabilit relații de corespondență și care participă la împrumuturi interbancare.	Folosim informațiile primite pentru a clarifica datele primite anterior de la serviciul de decontare și, de asemenea, înregistrăm informații despre interacțiunea cu bursele și depozitarii. Pe baza informațiilor primite, formăm o listă de instrumente de protecție a informațiilor criptografice și informații cheie.
2	Lista burselor si depozitarilor specializati cu care colaboreaza Banca
Sursa - Șefii serviciilor de monitorizare financiară și departamentelor responsabile cu raportarea către Banca Rusiei
1	Solicităm informații despre cum trimit informații și cum primesc informații de la Banca Centrală. Lista persoanelor implicate și a mijloacelor tehnice.	Interacțiunea informațiilor cu Banca Rusiei este strict reglementată de documente relevante, de exemplu, 2332-U, 321-I și multe altele, verificăm conformitatea cu aceste documente și formăm liste de CIPF, informații cheie și documente cheie.
Sursa - Contabil Sef si personal contabil implicat in plata facturilor pentru nevoile bancare interne
1	Solicităm informații despre modul în care are loc întocmirea și transmiterea rapoartelor către inspectoratele fiscale și Banca Rusiei	Rafinați informațiile primite anterior
2	Solicităm un registru al documentelor de plată pentru a plăti nevoile intra-bancare	În acest registru, vom căuta documente în care: 1) sunt indicați ca destinatari ai plății centrele de certificare, operatorii telecom specializați, producătorii CIPF, furnizorii de echipamente de telecomunicații. Numele acestor companii pot fi obținute din Registrul CIPF certificat al FSB al Rusiei, lista centrelor de certificare acreditate a Ministerului Telecomunicațiilor și Comunicațiilor de masă și din alte surse. 2) ca decriptare a plății, există cuvintele: „CIPF”, „semnătură”, „token”, „cheie”, „BKI”, etc.
Sursa - Șefii de arierate și managementul riscurilor
1	Solicitam o lista cu birourile de credit si agentiile de colectare cu care Banca lucreaza.	Împreună cu serviciul IT analizăm datele primite pentru a clarifica organizarea managementului documentelor electronice, pe baza cărora perfecționăm listele de instrumente de protecție a informațiilor criptografice, informații cheie și documente cheie.
Sursa - Șefii serviciilor de management al documentelor, control intern și audit intern
1	Solicitam un registru al documentelor interne organizatorice si administrative (comenzi).	În aceste documente căutăm documente legate de CIPF. Pentru a face acest lucru, analizăm prezența cuvintelor cheie „securitate”, „persoană responsabilă”, „administrator”, „semnătură electronică”, „ES”, „EDS”, „EDO”, „ASP”, „CIPF” și a acestora. derivate. După aceea, identificăm lista angajaților Băncii consemnate în aceste documente. Efectuăm interviuri cu angajații pe tema utilizării instrumentelor criptografice. Reflectăm informațiile primite în listele CIPF, informații cheie și documente cheie.
2	Solicitam liste de contracte cu contractori	Încercăm să identificăm acorduri privind managementul documentelor electronice, precum și acorduri cu companii implicate în furnizarea de instrumente de securitate a informațiilor sau furnizarea de servicii în acest domeniu, precum și companii care prestează servicii de centre de certificare și servicii de raportare prin internet.
3	Analizăm tehnologia de stocare a documentelor zilei în formă electronică	La implementarea stocării documentelor zilei în formă electronică, CIPF este obligatorie

Etapa 3. Audit tehnic

№	Acțiune	Rezultatul așteptat și utilizarea acestuia
1	Efectuăm un inventar tehnic al software-ului instalat pe computere. Pentru aceasta folosim: · Capacități analitice ale sistemelor de protecție antivirus corporative (de exemplu, Kaspersky Anti-Virus poate construi un astfel de registru). · Scripturi WMI pentru computere de sondare care rulează Windows; · Posibilitățile managerilor de pachete de a interoga sistemele *nix; Software specializat pentru inventariere.	Printre software-ul instalat, căutăm software CIPF, drivere pentru hardware CIPF și media cheie. Pe baza informațiilor primite, actualizăm lista CIPF.
2	Căutăm documente cheie pe servere și stații de lucru. Pentru aceasta · Folosind scripturi Logon, interogăm stația de lucru din domeniu pentru prezența certificatelor cu chei private în profilurile de utilizator și profilurile computerului. Pe toate computerele, serverele de fișiere, hipervizoarele, căutăm fișiere cu extensii: crt, cer, key, pfx, p12, pem, pse, jks etc. · Pe hypervizoarele sistemelor de virtualizare, căutăm unități montate și imagini de dischetă.	Foarte des, documentele cheie sunt prezentate sub formă de containere de cheie de fișiere, precum și containere stocate în registrele computerelor care rulează Windows. Fixăm documentele cheie găsite în lista de documente cheie, iar informațiile cheie conținute în acestea în lista de informații cheie.
3	Analizăm conținutul bazelor de date ale centrelor de certificare	Bazele de date ale autorităților de certificare conțin de obicei informații despre certificatele emise de aceste autorități. Informațiile primite sunt introduse în lista de informații cheie și în lista de documente cheie.
4	Efectuăm o inspecție vizuală a camerelor serverelor și a dulapurilor de cablare, căutăm protecția informațiilor criptografice și purtători de chei hardware (jetoane, unități de disc)	În unele cazuri, este imposibilă inventarierea CIPF și a documentelor cheie prin rețea. Sistemele pot fi amplasate pe segmente izolate de rețea sau nu au deloc conexiuni la rețea. Pentru a face acest lucru, efectuăm o inspecție vizuală, ale cărei rezultate ar trebui să stabilească numele și scopul tuturor echipamentelor prezentate în camerele serverelor. Informațiile primite sunt introduse în lista CIPF și documentele cheie.
5	Analizăm traficul de rețea pentru a identifica fluxurile de informații folosind schimbul criptat	Protocoalele criptate – HTTPS, SSH etc. ne vor permite să identificăm nodurile de rețea pe care se efectuează transformări criptografice și, ca urmare, să conțină CIPF și documente cheie.

Concluzie

În acest articol, am trecut în revistă teoria și practica auditării instrumentelor de protecție a informațiilor criptografice și a cheilor criptografice. După cum puteți vedea, această procedură este destul de complicată și necesită timp, dar dacă este abordată corect, este destul de fezabilă. Sperăm că acest articol vă va ajuta în viața reală. Vă mulțumim pentru atenție, așteptăm comentariile voastre

Etichete:

• skzi
• criptografie
• semnatura electronica
• audit
• management

Adaugă etichete