Технологии защиты информации

Содержание
  1. Базовые элементы информационной безопасности
  2. 2. Основные понятия
  3. Храните данные удалённо
  4. Разновидности угроз информационной безопасности
  5. Угрозы доступности
  6. Угрозы целостности
  7. Базовые угрозы конфиденциальности
  8. Методы защиты информации
  9. Инструменты организационно-правовой защиты
  10. Инструменты инженерно-технической защиты
  11. Криптографические инструменты защиты
  12. Как защитить информацию при денежных переводах
  13. 4. Общие принципы организации информационной безопасности в Системе
  14. 5. Требования и рекомендации по обеспечению информационной безопасности на рабочем месте пользователя
  15. 5.1 Персонал
  16. 5.2 Размещение технических средств АРМ с установленным СКЗИ
  17. 5.3 Установка программного обеспечения на АРМ
  18. 5.4 Настройка операционной системы АРМ
  19. 5.5 Установка и настройка СКЗИ
  20. 5.7 Обращение с ключевыми носителями
  21. 5.8 Обращение с ключевой информацией
  22. 3. Риски использования электронной подписи

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагают субъектный доступ к необходимой информации. Под Субъектами мы подразумеваем компании, которые имеют право на доступ к соответствующим данным.
  • Честность. Информация должна быть защищена от незаконных изменений, повреждений.
  • Конфиденциальность. Предполагает защиту от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, которая хранит информацию.

Как организация может защитить свою конфиденциальную информацию ?

2. Основные понятия

Система: автоматизированная информационная система для передачи и приема информации в электронном виде по телекоммуникационным каналам в виде юридически значимых электронных документов с использованием электронных подписей.
Автоматизированная рабочая станция (АРМ) — это ПК, с помощью которого пользователь подключается для работы в системе.

Средство криптографической защиты информации (CIPF) — это компьютерная технология, которая выполняет криптографическое преобразование информации для обеспечения ее безопасности.

Электронная подпись (ЭП) — информация в электронном формате, прикрепленная к другой информации в электронном формате (подписанная информация) или иным образом связанная с такой информацией и используемая для идентификации лица, подписывающего информацию. Система электронной подписи документов с электронной подписью использует технологию цифровой электронной подписи (EDS) в инфраструктуре открытых ключей.

Ключ ЭП — уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ ES хранится в секрете от пользователя системы. В инфраструктуре открытых ключей это соответствует закрытому ключу EDS.

Ключ проверки ЭП — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Ключ проверки ЭП известен всем пользователям системы и позволяет определить автора подписи и подлинность электронного документа, но не позволяет вычислить ключ электронной подписи. Ключ проверки ЭП считается собственностью пользователя, если он был выдан в установленном порядке. В инфраструктуре открытых ключей это соответствует открытому ключу EDS.

Сертификат ключа проверки ЭП — электронный или бумажный документ, выданный удостоверяющим центром или доверенным лицом удостоверяющего центра и подтверждающий право собственности на ключ проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Удостоверяющий центр: юридическое лицо или индивидуальный предприниматель, выполняющее функции по созданию и выдаче сертификатов ключей для проверки электронных подписей, а также другие функции, предусмотренные законодательством.

Держателем сертификата ключа проверки ЭП является лицо, которому в установленном порядке выдан Сертификат ключа проверки электронной подписи.
Средства ЭП — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций: создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

Сертификат соответствия — документ, выданный в соответствии с правилами системы сертификации, подтверждающий соответствие сертифицированной продукции установленным требованиям.

Подтверждение подлинности электронной подписи в электронном документе является положительным результатом проверки соответствующими средствами электронной подписи того, что электронная подпись в электронном документе принадлежит владельцу сертификата ключа проверки подписи и что искажения нет в электронном документе, подписанном этой электронной подписью.

Компрометация ключа: потеря уверенности в том, что используемые ключи обеспечивают безопасность информации. Ключевые события компрометации включают, помимо прочего, следующее:

  • Утрата ключевых векторов.
  • Потеря ключевых векторов с последующим их обнаружением.
  • Увольнение сотрудников, имевших доступ к ключевой информации.
  • Нарушение правил хранения и уничтожения (по истечении срока) закрытого ключа.
  • Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.
  • Нарушение пломбы на сейфе с кольцом для ключей.
  • Случаи, когда невозможно достоверно определить, что произошло с ключевыми носителями (включая случаи, когда ключевой носитель вышел из строя и возможность того, что это произошло в результате несанкционированных действий злоумышленника, окончательно не опровергнута).

Храните данные удалённо

Удаленное хранение информации часто является гарантией безопасности, — говорит Луис Корронс, пропагандист кибербезопасности Avast: «Лучший способ защитить информацию — хранить ее непосредственно на устройствах, не выгружая ее на внешнее хранилище. Итак, чтобы украсть данные, злоумышленникам потребуется получить доступ к определенному физическому устройству.

Но такой способ хранения информации сложно применить на практике и поэтому не на 100% эффективен. Пользователи обмениваются информацией, личной информацией и часто запрашивают удаленный доступ.

Второй вариант противоположен первому: использовать только облачное хранилище. Провайдеры с широкими возможностями, такие как Google, Microsoft, удовлетворяют потребности большинства людей: они предлагают надежную защиту, пользователь может получить доступ к информации откуда угодно, может обмениваться, сотрудничать».

Итак, подведем итоги. Нормальному человеку достаточно просто установить на свой компьютер антивирус. Если информация хранится на USB-накопителе (что лучше всего), носитель можно зашифровать или сохранить в сейфе. Для бизнеса лучшее решение — нанять специалиста по информационной безопасности. На таких сотрудников не стоит экономить. Ценная информация должна храниться на флеш-накопителях и жестких дисках в сейфе, а программное обеспечение, отслеживающее угрозы безопасности, должно быть установлено на рабочих компьютерах.

Разновидности угроз информационной безопасности

Угроза — это то, что может нанести ущерб информационной безопасности. Угрожающая ситуация называется атакой. Атаку на информационную безопасность совершает злоумышленник. Также есть потенциальные злоумышленники. Это люди, от которых может исходить угроза.

Угрозы доступности

Распространенной угрозой доступности являются непреднамеренные ошибки, совершаемые людьми, работающими с информационной системой. Например, это может быть внесение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть за счет них формируются уязвимости, привлекательные для злоумышленников. Это наиболее частая угроза информационной безопасности. Методы безопасности — автоматизация и административный контроль.

Давайте подробнее рассмотрим источники угроз доступности:

  • Нежелание учиться работать с информационными системами.
  • У сотрудника нет необходимой подготовки.
  • Отсутствие технической поддержки, что приводит к трудностям с работой.
  • Умышленное или непреднамеренное нарушение правил труда.
  • Инфраструктура поддержки вышла из нормального режима (например, это может привести к слишком большому количеству запросов).
  • Ошибки перенастройки.
  • Программная ошибка.
  • Повреждение различных частей инфраструктуры (например, кабелей, компьютеров).

Большинство угроз связано с самой информацией. Однако ущерб может быть нанесен и инфраструктуре. Например, это может быть неисправность связи, систем кондиционирования, повреждение помещений.

Как предотвратить разглашение контрагентами конфиденциальной информации ?

Угрозы целостности

Центральная угроза целостности — это воровство и мошенничество. Они возникают в результате действий сотрудников компании. По данным USA Today, совокупный убыток в 1992 году составил 882 миллиона долларов по указанным причинам. Рассмотрим примеры источников угроз:

  1. Неверный ввод данных.
  2. Изменение информации.
  3. Ложный заголовок.
  4. Фальсификация всего текста письма.
  5. Отказ от действий.
  6. Тиражирование информации.
  7. Ввод дополнительной информации.

Внимание! Угроза целостности затрагивает как данные, так и сами программы.

Базовые угрозы конфиденциальности

Фундаментальной угрозой конфиденциальности является использование злоумышленниками паролей. Зная пароли, заинтересованные стороны могут получить доступ к конфиденциальной информации. Источники угроз конфиденциальности:

  1. Использование многоразовых паролей с хранением их в источниках, доступных злоумышленникам.
  2. Использование одних и тех же паролей в разных системах.
  3. Публикация информации в среде, не гарантирующей конфиденциальности.
  4. Использование злоумышленниками технических средств. Например, подслушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, где представлено оборудование с конфиденциальной информацией.
  6. Хранение информации на резервных носителях.
  7. Распространение информации из нескольких источников, ведущее к перехвату информации.
  8. Оставьте ноутбуки без присмотра.
  9. Злоупотребление полномочиями (возможно, когда инфраструктурой управляет системный администратор).

Суть угрозы конфиденциальности заключается в том, что злоумышленник получает доступ к данным в момент их максимальной неуязвимости.

Методы защиты информации

Способы защиты обычно используются в сочетании.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные меры, реализуемые в процессе формирования инфраструктуры хранения информации. Эти инструменты используются на этапе строительства зданий, их реконструкции, проектирования заводов. Инструменты организационной и правовой защиты включают международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства — это различные объекты, обеспечивающие безопасность. Их наличие следует ожидать при строительстве здания, аренде помещения. Инженерные инструменты предлагают такие преимущества, как:

  • Охрана помещений компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Охрана удаленного видеонаблюдения, прослушивание.
  • Предотвращение перехвата информации.
  • Создание доступа сотрудников в помещения компании.
  • Контроль за деятельностью сотрудников.
  • Контроль за перемещением работников по территории компании.
  • Противопожарная защита.
  • Профилактические меры от последствий стихийных бедствий, катаклизмов.

Это все основные меры безопасности. Они не обеспечат полной конфиденциальности, но без них невозможна полная защита.

Криптографические инструменты защиты

Шифрование — это основной метод защиты. Информация хранится на вашем компьютере с использованием шифрования. Если данные передаются на другое устройство, используются зашифрованные каналы. Шифрование — это направление, в котором используется шифрование. Шифрование используется для следующих целей:

  • Защищайте конфиденциальность информации, передаваемой по открытым каналам.
  • Возможность подтверждения подлинности информации, передаваемой по различным каналам.
  • Обеспечить конфиденциальность информации в случае ее публикации в открытых СМИ.
  • Сохранение целостности данных при передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Программная защита от несанкционированного использования и копирования.

ГОВОРЯ О КОТОРЫХ! Шифрование — более продвинутый метод защиты информации.

Как защитить информацию при денежных переводах

Как для рядовых граждан, так и для предпринимателей вопрос защиты платежных данных остается актуальным. В случае кражи будет нанесен прямой экономический ущерб. 3D-Secure не всегда достаточно для защиты средств. Максим Буртиков, директор по внешним связям в Восточной Европе и Центральной Азии Координационного центра RIPE NCC, рассказал о правилах информационной безопасности: «Только в Рунете уже тысячи фишинговых сайтов. Они копируют сайты банков, авиакомпаний, развлекательных мероприятий. Если вы не хотите потерять часть своих сбережений, будьте осторожны при отправке личной финансовой информации в Интернет, обратите внимание на имена и ссылки. Создатели фишинговых сайтов используют доменные имена с модификациями, при этом дизайн и функционал сайта не будут отличаться от оригинала. Эта схема рассчитана на невнимательность увлеченного пользователя.

Закройте все другие приложения перед использованием онлайн-банкинга. Это сделано для исключения использования программного обеспечения сканера. Может быть привязан к недобросовестному скачанному приложению и не замечает этого. Сканер выглядит как прозрачный экран и не раскрывается. До открытия банковских программ. Затем пароли копируются на этот прозрачный экран и сохраняются. Через какое-то время банковское приложение может начать жить собственной жизнью без помощи пользователя и вас может неприятно удивить».

Отдельно стоит упомянуть передачу данных при подключении к бесплатному непарному Wi-Fi. Если вы подключены к такой сети, лучше не передавать конфиденциальную информацию (например, номер карты), не совершать и не оплачивать покупки — информация на карте не защищена и доступна мошенникам.

Несмотря на то, что банки блокируют подозрительные транзакции, лучше перестраховаться. Чтобы не беспокоиться об информационной безопасности, используйте специальное программное обеспечение. Например, бесплатный сервис Hotspot Shield, созданный для организации виртуальной частной сети, гарантирующей безопасную передачу данных через зашифрованное соединение.

4. Общие принципы организации информационной безопасности в Системе

Криптографическая подсистема Системы основана на национальном законодательстве об электронной подписи, инфраструктуре открытых ключей и защите информации, включая действующий ГОСТ и руководящие принципы ФСБ и ФСТЭК, а также международный стандарт X.509, который определяет принципы и протоколы, используемые в строительных системах с открытым ключом.

Инфраструктура открытого ключа — это система, в которой каждый пользователь имеет пару закрытого (секретного) и открытого ключей. В этом случае закрытый ключ может быть использован для создания соответствующего открытого ключа, а обратное преобразование невозможно или занимает много времени. Каждый пользователь системы генерирует для себя пару ключей и, строго конфиденциально сохраняя свой закрытый ключ, делает открытый ключ общедоступным. С точки зрения инфраструктуры открытого ключа шифрование — это преобразование сообщения с использованием открытого ключа получателя. Только получатель, зная свой закрытый ключ, сможет выполнить обратное преобразование и прочитать сообщения, и никто другой, включая отправителя шифрования, не сможет. Цифровая подпись инфраструктуры открытого ключа — это преобразование сообщения с использованием закрытого ключа отправителя. Любой может для проверки подписи выполнить обратное преобразование с использованием открытого открытого ключа (ключа проверки ES) автора документа, но никто не может имитировать этот документ, не зная закрытый ключ автора (ключ ES.

Обязательным участником любой инфраструктуры открытых ключей является Центр сертификации, который служит центром доверия для всей системы управления документами. При этом Центр сертификации выполняет следующие основные функции:

  • выдает сертификаты ключей для проверки электронных подписей и выдает их пользователям;
  • выдает пользователям средства электронной подписи;
  • генерирует ключи электронной подписи и ключи проверки электронной подписи по запросу заявителей;
  • получает и обрабатывает сообщения о компрометации ключа; аннулирует сертификаты ключей для проверки электронных подписей, выданные этим удостоверяющим органом, доверие которого было потеряно;
  • ведет реестр сертификатов ключей для проверки электронных подписей, выданных и аннулированных этим удостоверяющим центром (далее — реестр сертификатов), включая информацию, содержащуюся в сертификатах ключей для проверки электронных подписей, выданных этим удостоверяющим центром, и информацию в даты прекращения действия или отзыва сертификатов ключей проверяет электронные подписи и причины такого прекращения или аннулирования и гарантирует доступ лиц к информации, содержащейся в реестре сертификатов;
  • проверяет уникальность ключей для проверки электронной подписи в реестре сертификатов;
  • проверяет электронные подписи по запросу участников электронного взаимодействия;
  • определяет порядок анализа конфликтных ситуаций и подтверждения авторства ИТ-документа.

Центр сертификации осуществляет свою деятельность в строгом соответствии с законодательством, собственными регламентами и договоренностями между участниками электронного взаимодействия. Благодаря соблюдению необходимых требований устраняются риски, связанные с юридической значимостью документов, подписанных электронной подписью, и снижаются риски несоответствия условий использования электронной подписи установленному порядку.

Сертификат ключа проверки ЭП заверяется электронной подписью Удостоверяющего центра и подтверждает владение тем или иным участником документооборота тем или иным ключом проверки ЭП и соответствующим ключом ЭП. Благодаря сертификатам пользователи Системы могут идентифицировать себя и, кроме того, проверять принадлежность электронной подписи конкретному пользователю и целостность (неизменность) содержимого подписанного электронного документа. Это устраняет риски, связанные с аутентификацией пользователя и отказом от содержимого документа.

Преобразования сообщений с помощью ключей довольно сложны и выполняются с помощью специальных средств электронной подписи. Для этого в Системе используется средство криптографической защиты информации, имеющее сертификат соответствия требованиям, установленным как средство электронной подписи. CIPF — это программа, которая решает основные задачи защиты информации, а именно:

  • гарантировать конфиденциальность информации — шифрование для защиты всех электронных документов, циркулирующих в системе, от несанкционированного доступа;
  • доказательство авторства документа — использование электронной подписи, которая проставляется ко всем электронным документам, появляющимся в Системе; впоследствии разрешает любые споры об авторстве документа в суде;
  • гарантия неотказуемости — использование электронной подписи и обязательное хранение документов, передаваемых на сервер Системы отправителем и получателем; подписанный документ имеет юридическую силу с момента подписания: ни его содержание, ни сам факт существования документа не могут быть оспорены кем-либо, в том числе и автором документа;
  • обеспечение целостности документа — использование электронной подписи, содержащей хеш-значение (сложный аналог контрольной суммы) подписываемого документа; при попытке изменить хотя бы один символ в документе или его подпись после подписания документа будет нарушена ЭП, что сразу будет диагностировано;
  • аутентификация участников взаимодействия в Системе — каждый раз в начале сеанса сервер Системы и пользователь взаимно представляют свои сертификаты и, следовательно, избегают опасности вступления в обмен информацией с анонимным лицом или с человек, изображающий из себя другого.

Уровень безопасности Системы в целом равен уровню безопасности в ее самом слабом месте. Поэтому, поскольку система гарантирует высокий уровень защиты информации на пути электронных документов между участниками рабочего процесса, для снижения или исключения рисков необходимо тщательно соблюдать меры безопасности даже непосредственно на рабочих местах пользователей.

Следующий раздел содержит требования и рекомендации по основным мерам защиты информации на рабочем месте пользователя.

5. Требования и рекомендации по обеспечению информационной безопасности на рабочем месте пользователя

Рабочая станция пользователя Системы использует CIPF, чтобы гарантировать целостность, конфиденциальность и авторизацию информации, передаваемой в Системе. Порядок обеспечения безопасности информации при работе в Системе определяется руководителем организации, подключающейся к Системе, на основании рекомендаций по мероприятиям организационно-технической защиты, упомянутых в данном разделе, эксплуатационной документации для CIPF, а также действующее российское законодательство о защите информации.

5.1 Персонал

Список лиц, имеющих доступ к ключевой информации, должен быть определен и утвержден.

Только лица, назначенные для эксплуатации, прошедшие соответствующее обучение и знакомые с пользовательской документацией для CIPF, а также с другими нормативными документами по использованию электронных подписей, могут работать с MEWP с установленным CIPF.

Помимо CIPF, уполномоченным лицам, прошедшим соответствующее обучение и изучившим документацию для соответствующего программного обеспечения и CIPF, разрешается устанавливать специальное и общесистемное программное обеспечение.

Рекомендуется назначить администратора безопасности в организации, управляющей CIPF, на которую возложены задачи по организации работы по использованию CIPF, разработке соответствующих инструкций для пользователей, а также контролю за соблюдением требований безопасности.

Должностные инструкции пользователей AWP и администратора безопасности должны учитывать требования настоящих Правил.

В случае увольнения или перевода в другой отдел (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (цифровая подпись и шифрование), ключи, к которым у него был доступ, должны быть изменены.

5.2 Размещение технических средств АРМ с установленным СКЗИ

Следует исключить неконтролируемое проникновение и постоянство в помещения, где расположены технические средства автоматизированного рабочего места, посторонними лицами по роду своей деятельности, кроме персонала, допущенного к работе в таких помещениях. Если есть необходимость в присутствии таких людей в этих помещениях, следует обеспечить контроль за их действиями.

Мы рекомендуем вам использовать автоматизированную рабочую станцию ​​с однопользовательским инструментом криптографической защиты данных. В некоторых случаях, если несколько человек должны использовать AWP, они должны иметь равные права доступа к информации.

Не допускается выход без управления AWP при включенном питании и загрузке ПО CIPF после ввода ключевой информации. Когда пользователь покидает свое рабочее место, следует использовать автоматическую активацию хранителя экрана, защищенного паролем. В некоторых случаях, если защита паролем не может быть использована, можно запустить операционную систему без запроса пароля, при этом необходимо принять дополнительные организационные и нормативные меры для исключения несанкционированного доступа к AWS.

Рекомендуется принять меры для исключения возможности несанкционированного изменения оборудования AWS, например, опломбирование системного блока AWS администратором. Также для этих целей можно использовать специальные средства защиты информации — надежные загрузочные аппаратные модули.

Рекомендуется принять меры для предотвращения входа лиц, не отвечающих за администрирование рабочей станции, в режим настройки BIOS (например, с использованием защиты паролем).

Желательно определить в BIOS параметры, исключающие возможность загрузки операционной системы, отличной от той, которая установлена ​​на жестком диске: возможность загрузки с дискеты, отключенный привод CD-ROM, другие типы запуска операционной системы, в том числе ‘сетевая загрузка исключена.

С помощью BIOS следует исключить возможность работы на ПК, если встроенные тесты не пройдут при его начальной загрузке.

5.3 Установка программного обеспечения на АРМ

на оборудовании автоматизированной рабочей станции с установленной криптографической информационной системой следует использовать только лицензионное программное обеспечение от производителей, полученное из надежных источников.

На рабочей станции должна быть установлена ​​только одна операционная система. В этом случае нельзя использовать нестандартные, модифицированные или отладочные версии операционной системы.

Установка средств разработки и отладки программного обеспечения на АРМ не допускается. Если для технологических нужд пользователя требуются инструменты отладки приложений, их использование должно быть разрешено администратором безопасности. В любом случае запрещено использовать эти инструменты для просмотра и изменения кода и памяти приложений, использующих инструменты для защиты криптографической информации. Необходимо исключить попадание в систему средств, разрешающих несанкционированный доступ к системным ресурсам, а также программ, позволяющих, используя ошибки операционной системы, получить права администратора.

Рекомендуется ограничить возможность пользователя запускать только приложения, разрешенные администратором безопасности.

Рекомендуется установить и использовать антивирусное программное обеспечение на своей рабочей станции.

необходимо регулярно отслеживать и устанавливать обновления безопасности для программного обеспечения рабочей станции (Service Packs, Hot fixes и др.), Обновлять антивирусные базы.

5.4 Настройка операционной системы АРМ

Администратор безопасности должен настроить операционную систему в среде, для которой предназначена система криптографической защиты, и периодически отслеживать настройки, сделанные в соответствии со следующими требованиями:

  • Только администратор безопасности должен иметь право устанавливать и настраивать операционную систему и CIPF.
  • Всем пользователям и группам, зарегистрированным в операционной системе, должны быть назначены минимально возможные права для нормальной работы.
  • Все права должны быть удалены из группы «Все.
  • Рекомендуется исключить использование режима автоматического входа пользователя в операционную систему при запуске.
  • Рекомендуется переименовать учетную запись администратора по умолчанию.
  • Гостевой вход должен быть отключен.
  • Исключить возможность удаленного управления, администрирования и модификации операционной системы и ее настроек, реестра для всех, в том числе для группы «Администраторы.
  • Все неиспользуемые системные ресурсы должны быть отключены (протоколы, службы и т.д.).
  • Использование службы Планировщика пользователями должно быть исключено или ограничено с учетом политики безопасности, выбранной в организации. При использовании этого сервиса состав запускаемого на AWS программного обеспечения согласовывается с администратором безопасности.
  • Рекомендуется организовать перезапись временных файлов и файлов подкачки, которые были сформированы или изменены в процессе работы CIPF. Если это невозможно, операционная система должна использоваться в однопользовательском режиме, а жесткий диск должен соответствовать основным требованиям к носителю.
  • Ограничения на доступ пользователей к реестру должны быть установлены в соответствии с политикой безопасности организации, которая реализуется с помощью списков контроля доступа или путем установки прав доступа, если NTFS доступна.
  • Все каталоги, содержащие системные файлы Windows и программы из пакета CIPF, должны иметь права доступа, запрещающие запись всем пользователям, кроме администратора, создателя / владельца и системы).
  • Следует исключить возможность создания аварийного дампа основной памяти, так как он может содержать криптографически опасную информацию.
  • Рекомендуется, чтобы операционная система сохраняла журналы аудита и была настроена на завершение работы при заполнении журналов.
  • Рекомендуется настраивать параметры реестра в соответствии с эксплуатационной документацией для Cryptographic Information Security Tool.

Рекомендуется разработать и применить политику назначения и изменения паролей (для доступа к операционной системе, BIOS, при шифровании паролем и т.д.) с использованием фильтров паролей в соответствии со следующими правилами:

  • пароль должен состоять не менее чем из 6 символов;
  • количество символов пароля должно включать прописные и строчные буквы, цифры и специальные символы (@, #, $, &, *,% и т д.);
  • пароль не должен содержать легко вычисляемых комбинаций символов (имена, фамилии и т д.), а также общепринятых сокращений (USER, ADMIN, ALEX и т д.);
  • при смене пароля новое значение должно отличаться от предыдущего минимум на 4 позиции;
  • пользователь не имеет права никому сообщать свой личный пароль;
  • не разрешается хранить зарегистрированные пароли в легкодоступных местах;
  • периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 6 месяцев;
  • указанная политика требуется для всех учетных записей, зарегистрированных в операционной системе.

5.5 Установка и настройка СКЗИ

Установка и настройка системы криптографической защиты данных на рабочей станции должна производиться в присутствии администратора, отвечающего за работоспособность рабочей станции.

Установка Cryptographic Data Security Tool на рабочую станцию ​​должна производиться только из дистрибутива, полученного через доверенный канал.

Установка CIPF и инициализация ключевой информации выполняются в соответствии с эксплуатационной документацией на CIPF.

При установке программного обеспечения CIPF на рабочую станцию ​​необходимо убедиться в целостности и надежности дистрибутива CIPF.

Перед установкой рекомендуется проверить операционную систему на наличие вредоносных программ с помощью антивирусных средств.

После завершения инициализации программное обеспечение настраивается и контролируется.

запрещается вносить изменения в ПО ЗЗИ, не предусмотренные эксплуатационной документацией.

5.6 Подключение AWP к публичным сетям

При использовании средств защиты криптографической информации на рабочих станциях, подключенных к общедоступным сетям, необходимо принимать дополнительные меры для исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению в среде, в которой работают средства криптографии защиты информации, а также компонентам системы криптографической защиты информации на стороне этих сетей. Таким образом, рекомендуется установить и использовать брандмауэры на рабочей станции. Доступ ко всем неиспользуемым сетевым портам должен быть закрыт.

В случае подключения АРМ с установленной системой криптографической защиты к общедоступным сетям передачи данных необходимо ограничить возможность открытия и выполнения файлов и объектов скриптов (JavaScript, VBScript, ActiveX и т.д.), Полученных из общедоступных сетей, без проведение проверок содержимого закладок программного обеспечения и вредоносных программ.

5.7 Обращение с ключевыми носителями

Организация должна определить и утвердить порядок учета, архивирования и использования носителей ключевой информации с ЭП и ключами шифрования, который должен исключать возможность несанкционированного доступа к ним.

Для хранения ключей в помещении следует установить надежные металлические сейфы (сейфы), оборудованные надежными запирающими устройствами.

это запрещено:

  • Сделайте копии ключевых носителей, не авторизованных администратором безопасности.
  • Узнавать содержимое брелоков или передавать брелоки посторонним лицам, а также просматривать ключевую информацию на дисплее (мониторе) АРМ или принтере.
  • Установить ключницу в считывающее устройство ПК рабочей станции способами, не предусмотренными работой системы, а также установить держатель на другие ПК.
  • Используйте ключевые векторы, которые были в действии, для записи новой информации без предварительного уничтожения ключевой информации о них средствами криптографической защиты информации.

5.8 Обращение с ключевой информацией

Держатель сертификата ключа проверки ЭП должен:

  • Держите ключ ES (закрытый ключ) в секрете).
  • Не используйте ключи для электронной подписи и шифрования, если вы знаете, что эти ключи используются или использовались ранее.
  • Немедленно запросите приостановку действия сертификата ключа проверки ES, если есть основания полагать, что секрет ключа ES (закрытый ключ) был взломан (ключ был скомпрометирован).
  • Продлить сертификат ключа проверки ЭП в установленном порядке.

3. Риски использования электронной подписи

Использование электронной подписи сопряжено с некоторыми рисками, основные из которых:

  1. Риски, связанные с аутентификацией пользователя (аутентификацией). Лицо, указанное подписью под документом, может заявить, что подпись подделана и не принадлежит этому лицу.
  2. Риски, связанные с отказом (отказ от содержания документа). Лицо, указанное подписью под документом, может заявить, что документ был изменен и не соответствует документу, подписанному этим лицом.
  3. Риски, связанные с юридическим значением электронной подписи. В случае возникновения спора одна из сторон может заявить, что документ с электронной подписью не может иметь юридически значимых последствий и не может считаться достаточным доказательством в суде.
  4. Риски, связанные с несоответствием условий использования электронной подписи установленному порядку. Если электронная подпись используется способом, не отвечающим требованиям законодательства или договоренностей между участниками электронного взаимодействия, юридическая сила подписанных документов в этом случае может быть поставлена ​​под сомнение.
  5. Риски, связанные с несанкционированным доступом (использование электронной подписи без ведома владельца). В случае компрометации ключа ЭП или несанкционированного доступа к средствам ЭП возможно получение документа, порождающего юридически значимые последствия и поступающего от имени пользователя, ключ которого был скомпрометирован.

Чтобы снизить или избежать этих рисков, помимо определения порядка использования электронной подписи при электронном взаимодействии, предусмотрен ряд юридических, организационных и технических мер по обеспечению безопасности информации.

Источники

  • https://assistentus.ru/vedenie-biznesa/tehnologii-zashchity-informacii/
  • https://ca.kontur.ru/faq/teh/pravila-obespecheniya-informacionnoy-bezopasnosti
  • https://finuslugi.ru/navigator/stat_kak_zashchitit_svoi_dannye

Оцените статью
Блог про сайтостроение