криптопро и персональные данные

Использование шифрования в компаниях России

Немногим более двух десятилетий тому назад криптография в России находилась приблизительно на том же уровне секретности, что и технологии производства оружия – ее практическое применение относилось к сфере деятельности исключительно военных и спецслужб, то есть было полностью подконтрольно государству. В открытом доступе встретить какие-либо издания и научные работы по этому вопросу не представлялось возможным – тема криптографии была закрыта.

Ситуация изменилась лишь в 1990 году, когда в действие был введен стандарт шифрования ГОСТ 28147-89. Изначально алгоритм имел гриф ДСП и официально «полностью открытым» стал лишь в 1994 году.

Сложно точно сказать, когда именно в отечественной криптографии был совершен информационный прорыв. Скорее всего, это произошло с появлением у широкой общественности доступа в интернет, после чего в сети начали публиковаться многочисленные материалы с описаниями криптографических алгоритмов и протоколов, статьи по киптоанализу и другая информация, имеющая отношение к шифрованию.

В сложившихся условиях криптография больше не могла оставаться прерогативой одного лишь государства. Кроме того, развитие информационных технологий и средств связи обусловило потребность в использовании средств криптографической защиты коммерческими компаниями и организациями.

Далее в статье речь пойдет о том, какое практическое применение на настоящий момент шифрование и СКЗИ нашли в российских компаниях и организациях. Будут рассмотрены следующие направления:

• защита информационных систем персональных данных;
• защита конфиденциальной информации компании;
• шифрования корпоративной электронной почты;
• создание и проверки цифровых подписей.

Применение криптографии и СКЗИ в российских компаниях

К СКЗИ, внедренному в систему защиты персональных данных, выдвигаются следующие требования:

Криптографическое средство, в зависимости от обеспечиваемого им уровня защиты, может быть отнесено к одному из шести классов (КС1, КС2, КС3, КВ1, КВ2, КА1). Внедрение криптосредства того или иного класса с систему защиты обуславливается категорией нарушителя (субъекта атаки), которая определяется оператором в модели угроз.

Таким образом, средства криптографической защиты сегодня эффективно используются компаниями и организациями для защиты персональных данных российских граждан и являются одной из наиболее важных составляющих в системах защиты персональных данных.

Защита корпоративной информации

Если в п. 1 использование крпитогарфических средств обусловлено, прежде всего, требованиями законодательства РФ, то в данном случае в применении СКЗИ заинтересовано руководство самой компании. С помощью средства шифрования компания получает возможность защитить свою корпоративную информацию – сведения, представляющие коммерческую тайну, интеллектуальную собственность, оперативную и техническую информацию и др.

На сегодняшний день для эффективного применения в корпоративной среде, программа для шифрования должна обеспечивать:

• шифрование данных на удаленном сервере;
• поддержку асимметричной криптографии;
• прозрачное шифрование;
• шифрование сетевых папок;
• возможность разграничения прав доступа к конфиденциальной информации между сотрудниками компании;
• возможность хранения сотрудниками закрытых ключей на внешних носителях информации (токенах).

Итак, второе применение СКЗИ – это защита конфиденциальной информации компании. Средство шифрования, поддерживающее вышеперечисленные возможности, способно обеспечить достаточно надежную защиту, однако непременно должно использоваться как составляющая комплексного подхода к защите информации. Такой подход дополнительно подразумевает использование межсетевых экранов, антивирусов и файерволлов, а также включает разработку модели угроз информационной безопасности, выработку необходимых политик ИБ, назначение ответственных за информационную безопасность, контроль электронного документооборота, контроль и мониторинг деятельности сотрудников и др.

Электронная подпись

Электронная подпись (ЭП) сегодня является полноценным аналогом собственноручной подписи и может быть использована юридическими и физическими лицами для того, чтобы обеспечить документу в цифровом формате юридическую силу. Применение ЭП в электронных системах документооборота значительно увеличивает скорость заключения коммерческих сделок, уменьшает объем бумажных бухгалтерских документов, экономит время сотрудников. Кроме того, ЭП сокращает расходы предприятия на заключение договоров, оформление платежных документов, получение различных справок от государственных учреждений и многое другое.

При создании ЭП они должны:

• показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
• создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП;
• однозначно показывать, что ЭП создана.

При проверке ЭП они должны:

• показывать содержание электронного документа, подписанного ЭП;
• показывать информацию о внесении изменений в подписанный ЭП электронный документ;
• указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.

Шифрование электронной почты

Для большинства компаний электронная почта является основным средством коммуникации между сотрудниками. Ни для кого не секрет, что по корпоративной электронной почте сегодня пересылается огромное количество конфиденциальной информации: договора, счета, сведения о продуктах и ценовых политиках компании, финансовые показатели и др. Если подобная информация окажется доступной для конкурентов, это может нанести значительный ущерб компании вплоть до прекращения ее деятельности.

Поэтому защита корпоративной почты – крайне важная составляющая в обеспечении информационной безопасности компании, реализация которой становится возможной также благодаря использованию криптографии и средств шифрования.

Большинство почтовых клиентов, таких как Outlook, Thinderbird, The Bat! и др. , позволяют настроить обмен зашифрованными сообщениями на основе сертификатов открытого и закрытого ключа (сертификаты в форматах X. 509 и PKCS#12 соответственно), создаваемых при помощи средств криптографической защиты.

Использование CyberSafe Enterprise

Разрабатывая программу CyberSafe Enterprise мы постарались учесть все вышеописанные возможности, включив их в функциональный набор программы. Так, она поддерживает функции, перечисленные в п. 2 данной статьи, шифрование электронной почты, создание и проверку цифровых подписей, а также работу в качестве удостоверяющего центра.

Далее более подробно остановимся на возможности внедрения CyberSafe Enterprise в системы защиты персональных данных. Эта возможность существует благодаря поддержке программой криптопровайдера КриптоПро CSP, сертифицированного ФСБ РФ в качестве СКЗИ классов КС1, КС2 и КС3 (в зависимости от исполнения) и оговорена в п. 1 «Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных»:

«Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы)».

Таким образом, имея в своем составе встроенное СКЗИ КриптоПро CSP, программа CyberSafe Enterprise может быть использована в системе защиты персональных данных классов КС1 и КС2.

После установки КриптоПро CSP на компьютер пользователя при создании сертификата в CyberSafe Enterprise появится возможность создать сертификат КриптоПРО:

Далее необходимо выбрать место хранения контейнера закрытого ключа КриптоПро и задать пароль к контейнеру. Для хранения может быть использован реестр операционной системы либо съемный носитель (токен):

После завершения создания сертификата CyberSafe ключи КриптоПРО также созданы, отображаются на вашей связке и доступны для использования:

В том случае, если возникает необходимость экспортировать ключи КриптоПро в отдельный файл, это можно сделать через стандартную функцию экспорта ключей CyberSafe:

Если вы хотите зашифровать файлы для передачи другим пользователям (или подписать их своей цифровой подписью) и использовать для этого ключи КриптоПро, из списка доступных криптопровайдеров необходимо выбрать КриптоПро:

В том случае, если вы хотите использовать ключи КриптоПро для прозрачного шифрования файлов, в окне выбора сертификатов в качестве криптопровайдера также следует указать КриптоПро:

В CyberSafe существует возможность использовать КриптоПРО и алгоритм ГОСТ для шифрования логических дисков/разделов и создания виртуальных зашифрованных дисков:

Также, на основе сертификатов КриптоПро, может быть настроено шифрование электронной почты. В КприптоПро CSP алгоритмы формирования и проверки ЭП реализованы в соответствии с требованиями стандарта ГОСТ Р 34. 10-2012, алгоритм шифрования/дешифрования данных реализован в соответствии с требованиями стандарта ГОСТ 28147-89.

На сегодняшний день CyberSafe является единственной программой, которая сочетает в себе функции по шифрованию файлов, сетевых папок, логических дисков, электронной почты и возможность работы в качестве удостоверяющего центра с поддержкой стандартов шифрования ГОСТ 28147-89 и ГОСТ Р 34. 10-2012.

Документы

Федеральный закон «О персональных данных» от 27. 2006 № 152-ФЗ. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденное Приказом ФСБ РФ от 9 февраля 2005 г. № 66. Требования к средствам электронной подписи и Требования к средствам удостоверяющего центра, утвержденные Приказом Федеральной службы безопасности Российской Федерации от 27 декабря 2011 г. № 796.

Зачем нужна программа «Криптопро CSP»?

Для безопасности и конфиденциальности электронной подписью можно пользоваться только с помощью специальных средств криптографической защиты. Они работают через программу-посредника — криптопровайдера. Таким является и Криптопро CSP.

Программа выполняет несколько функций:

• создает электронную подпись;
• проверяет электронную подпись;
• дает возможность установить пин-код, не зная который подписать документ нельзя;
• шифрует текст документа, прежде чем он попадет в интернет;
• защищает подпись от подмены и компрометации.

Я пользуюсь облачной подписью. Мне тоже нужно покупать лицензию криптопровайдера?

Ключи облачной подписи могут храниться на серверах удостоверяющего центра или в мобильном приложении myDSS 2. Если планируете подписывать документы с телефона или планшета, то лицензия Криптопро CSP не понадобится. Ее нужно приобрести только тем, кто будет использовать облачную подпись на компьютере.

Практика защиты персональных данных

Привет, Хабр!
1 июля приближается, а с ним приближается и необходимость выполнения ФЗ-152 «О персональных данных». В связи с этим хочу поделиться опытом работы по данному направлению. В блоге Информационная безопасность уже идет цикл постов о написании документов, однако, помимо бумаги, может возникнуть необходимость применения и некоторых технических средств защиты информации. Которым и посвящен данный топик. Первое, что необходимо держать в памяти — средствами защиты информации у нас являются только те средства, которые имеют действующий сертификат ФСТЭК (по защите от НСД — несанкционированного доступа) и ФСБ (по криптографии и межсетевому экранированию). К сожалению, сертификаты периодически кончаются, и если компания-производитель не озаботится продлением сертификата, то при проверке могут возникнуть проблемы. Избежать их можно двумя способами:
1) Перед закупкой средств защиты проконсультироваться с производителем, или с поставщиком, когда заканчивается текущий сертификат, и собирается ли производитель его продлевать. Так же стоит заглянуть на сайт производителя — есть есть более новая версия, то старую могут и не продлить. 2) Если техника уже закуплена, и производитель не собирается продлевать сертификат — можно самому обратиться в орган по сертификации и получить сертификат на свой экземпляр (только свой). За некоторую сумму денег, как вы понимаете. Кроме того, необходимо определиться, какие, собственно, средства защиты нам нужны? Если ваша ИСПДн — типовая, то требования по защите персональных данных описаны в приложении к приказу ФСТЭК № 58, которое может найти тут. Если же ваша ИСПДн — специальная, то требования по защите описаны в «Частной модели угроз. », которая составляется по результатам обследования ИСПДн. Поясню сразу — типовой ИСПДн является информационная система, к которой предъявляются требования только по конфиденциальности персональных данных, а доступность и целостность оставлены в стороне. Для чего можно сделать ИСПДн специальной? Актуально это, на мой взгляд, только для ИСПДн 1-го класса (К1), так как предъявляемые требования включают в себя в том числе и защиту от ПЭМИН (побочные электромагнитные излучения и наводки). Создание «Частной модели угроз. » помогает уйти от ПЭМИН и значительно облегчить жизнь. Суть же защиты сводится к установке генератора электромагнитного шума и фиксации расположения и состава как технических средств ИСПДн, так и вообще всех технических средств, расположенных в тех же помещениях. То есть, вносить изменения вы сможете только по согласованию с органом, производившим аттестационные испытания. Изменения же в составе ИСПДн могут вылиться в контрольную проверку или переаттестацию. От ПЭМИН мы, будем считать, ушли, теперь давайте рассмотрим средства защиты информации и типовые варианты их применения. В общем и целом, все средства защиты можно разделить на несколько групп:

Локальные СЗИ НСД

СЗИ НСД — это аббревиатура от средства защиты информации от несанкционированного доступа. Используются для предотвращения несанкционированных действий пользователей, имеющих доступ к рабочим станциям ИСПДн. Включают в себя такие механизмы, как контроль загрузки со сменных носителей (CD/DVD-диски, флешки), контроль устройств (что бы нельзя было подключить левую флешку и слить информацию), реализация мандатного разграничения доступа (для ИСПДн не требуется). Приведу только те средства, с которыми я работал лично:
1) Secret Net. Может поставляться как с платой контроля загрузки, так и без оной. Работает через secpol. msc, так что на Home-версиях может и не заработать (на Windows XP Home не работает точно, да Vista и Windows 7 еще не проверял). Довольно прост в эксплуатации, имеет наилучший, из виденного, механизм контроля устройств. Есть сетевая версия, предназначенная для интеграции в доменную структуру. 2) Страж NT. Наилучший механизм мандатного разграничения доступа. В эксплуатации сложнее (из-за того, что часть защитных механизмов нельзя отключить). Сетевой версии нет. 3) Dallas Lock. Проигрывает по всем параметрам рассмотренным ранее, кроме возможности нормального развертывания сетевого варианта в бездоменной сети. Как ясно из названия, данные средства используются на локальных машинах. Добавить тут нечего.

Межсетевые экраны

Назначение, я думаю, ясно. Кроме того, если одну ИСПДн разделить межсетевым экраном на две части, то можно с полным право назвать их двумя разными ИСПДн. Для чего? Если вы попадаете в первый класс именно по количеству обрабатываемых субъектов персональных данных, то, разделив ИСПДн на две части, вы уменьшите количество обрабатываемых в каждой ИСПДн субъектов и получите уже не К1, а К2. Сейчас на рынке представлено несколько сертифицированных межсетевых экранов:
1) VipNet Personal Firewall. Просто персональных межсетевой экран, без особых изысков. Управляется только локально. Механизма централизованного управления нет. Для запуска требует пароль, если его не ввести — не запускается. 2) VipNet Office Firewall. То же самое, но поддерживает несколько сетевых карт, что позволяет устанавливать его на шлюзе, и использовать для сегментирования ИСПДн. 3) ССПТ-2. Программно-аппаратный комплекс, работает на FreeBSD, однако добраться до самой ОС вам никто не даст. Работает быстро, поддерживает фильтрацию по многим параметрам. Имеет неприятную особенность — правила применяются по списку сверху-вниз, и правила, расположенные вверху, имеют больший приоритет. В документации это не отражено, было выявлено опытным путем. Управляется как с локальной консоли, так и через веб-интерфейс. 4) АПКШ «Континент». Вообще, это не межсетевой экран, а криптомаршрутизатор, но с функциями МСЭ. Архитектурно похож на ССПТ-2, но управления с локальной консоли нет — только через специальную консоль администратора. При чем, при начальной настройке необходимо указать интерфейс, к которому будет подключен компьютер администратора. Кроме того, «Код безопасности» выпустил еще два продукта — МСЭ+ HIPS «Security Studio Endpoint Protection» и систему распределенных межсетевых экранов Trust Access, объединяющую межсетевое экранирование и сегментацию с использованием аутентификации по протоколу Kerberos. По скольку работать с данными продуктами мне не приходилось, предоставлю только ссылки на их описание:
TrustAccess
SSEP
Кроме того, было сертифицировано производство еще одного продукта — Stonegate Firewall/VPN. Продукт финской компании Stonesoft. Так же он поставляется к прикрученным к нему модулем шифрования КриптоПРО, что позволяет использовать его в качестве сертифицированного VPN-решения.

В принципе, вот краткое описание всех известных мне сертифицированных средств защиты. Надеюсь, данная информация будет полезна сообществу.

Криптографическая защита персональных данных

Различают шесть уровней КС1, КС2, КС3, КВ1, КВ2, КА1 криптографической
защиты персональных данных. Уровень криптографической защиты персональных
данных, обеспечиваемой криптосредством, определяется оператором путем
отнесения нарушителя, действиям которого должно противостоять
криптосредство, к конкретному типу.

Три уровня КС, КВ и КА специальной защиты от утечки по каналам побочных
излучений и наводок при защите персональных данных с использованием криптосредств.

Шесть уровней АК1, АК2, АК3, АК4, АК5, АК6 защиты от НСД к персональным
данным в информационных системах.

СКЗИ класса КС1

Применяются для нейтрализации атак, при создании способов, подготовке и
проведении которых используются возможности из числа следующих:

•
внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно
функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ, которые способны повлиять на выполнение предъявляемых к СКЗИ
требований, в том числе с использованием вредоносных программ;

•
внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФК;

•
персональные данные;

•
ключевую, аутентифицирующую и парольную информацию СКЗИ;

•
программные компоненты СКЗИ;

•
аппаратные компоненты СКЗИ;

•
программные компоненты СФК, включая программное обеспечение BIOS;

•
аппаратные компоненты СФК;

•
данные, передаваемые по каналам связи;

•
общие сведения об информационной системе, в которой используется СКЗИ (
назначение, состав, оператор, объекты, в которых размещены ресурсы
информационной системы);

•
сведения об информационных технологиях, базах данных,
АС, ПО, используемых в информационной системе совместно с СКЗИ, за
исключением сведений, содержащихся только в конструкторской документации на
информационные технологии, базы данных, АС, ПО, используемые в
информационной системе совместно с СКЗИ;

•
содержание конструкторской документации на СКЗИ;

•
содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФК;

•
общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;

•
сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные;

•
все возможные данные, передаваемые в открытом виде по каналам связи, не
защищенным от несанкционированного доступа к информации организационными и
техническими мерами;

•
сведения обо всех проявляющихся в каналах связи, не защищенных от
несанкционированного доступа к информации организационными и техническими
мерами, нарушениях правил эксплуатации СКЗИ и СФК и
неисправностях и сбоях аппаратных компонентов СКЗИ и СФК;

•
сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФК;

•
находящихся в свободном доступе или используемых за пределами
контролируемой зоны АС и ПО, включая аппаратные и программные компоненты
СКЗИ и СФ;

•
специально разработанных АС и ПО;

•
каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами;

•
каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФК;

СКЗИ класса КС2

Применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности
из числа перечисленных в классе КС1 и не менее одной из следующих дополнительных возможностей:

•
документацию на СКЗИ и компоненты СФК;

•
помещения, в которых находится совокупность программных и технических
элементов систем обработки данных;

•
сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;

•
сведений о мерах по обеспечению контролируемой зоны объектов, в которых
размещены ресурсы информационной системы;

•
сведений о мерах по разграничению доступа в помещения, в которых
находятся СВТ, на которых реализованы СКЗИ и СФК;

СКЗИ класса КС3

Это КС1 + КС2 +:

• физический доступ к СВТ, на которых реализованы СКЗИ и СФК;
• возможность располагать аппаратными компонентами СКЗИ и СФК, ограниченная мерами, реализованными в информационной системе, в
  которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

СКЗИ класса КВ:

Это КС1 + КС2 + КС3 +:

• создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов,
  сопровождающих функционирование СКЗИ и СФК, и в области использования для реализации атак недокументированных
  (недекларированных) возможностей прикладного ПО;
• проведение лабораторных исследований СКЗИ, используемых
  вне контролируемой зоны, ограниченное мерами, реализованными в
  информационной системе, в которой используется СКЗИ, и направленными на
  предотвращение и пресечение несанкционированных действий;
• проведение работ по созданию способов и средств атак в научно-исследовательских центрах,
  специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов
  входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.

СКЗИ класса КА:

Все вышеперечисленное + :

• создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации
  атак недокументированных (недекларированных) возможностей системного ПО;
• возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ;
• возможность располагать всеми аппаратными компонентами СКЗИ и СФ.

СКЗИ класса КВ применяются для нейтрализации атак, при проведении которых
используется не менее одной из следующих дополнительных возможностей:

СКЗИ класса КА применяются для нейтрализации атак, при проведении которых
используется не менее одной из следующих дополнительных возможностей:

Лицензия

Для работы с электронной подписью нужна лицензия на право использования СКЗИ КриптоПро CSP. При оформлении электронной подписи в СберКорус комплект из токена и лицензии КриптоПро CSP входит в тариф.

Клиентам СберКорус предоставляется лицензия криптопровайдера версии 5. 0, рекомендуемой для использования электронной подписи. Возможна автоматическая установка и настройка КриптоПро CSP или вручную. Для установки ПО потребуются права администратора локального пользователя системы.

Обязательно ли использовать Криптопро CSP?

ФСБ России установила правило: использовать электронную подпись без средств криптографической защиты нельзя. Кроме того, они должны соответствовать ГОСТу.

В России популярны два криптопровайдера: Криптопро CSP и ViPNet CSP. Они сертифицированы ФСБ России. Это значит, что подойдут для работы с электронной подписью.

Электронная подпись для любых задач

Сертификат, токен и лицензия Криптопро CSP — полный комплект, готовый к работе

Прочие технические меры защиты информации

Построение систем защиты ПДн (СЗПДн) ведется в соответствии с постановлением Правительства Российской Федерации от
01. 2012 №1119 «Об утверждении требований к защите персональных
данных при их обработке в информационных системах персональных данных». Состав и содержание организационных и технических
мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждены приказом ФСТЭК России от 18. 2013 №21)

В состав мер по обеспечению безопасности ПДн, реализуемых в рамках СЗПДн с учетом актуальных угроз безопасности ПДн, входят:

• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защита машинных носителей информации,
• регистрация событий безопасности;
• антивирусная защита;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности персональных данных;
• обеспечение целостности информационной системы и персональных данных;
• обеспечение доступности персональных данных;
• защита среды виртуализации;
• защита технических средств;
• защита информационной системы, ее средств, систем связи и передачи данных;
• выявление инцидентов и реагирование на них;
• управление конфигурацией информационной системы и системы защиты персональных данных.

Задачи, решаемые СЗПДн, следующие:

• Защита от вмешательство в процесс функционирования ИСПДн и НСД к ПДн
• Разграничение прав доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам ИСПДн
• Защита от изменений конфигурации ИС
• Обеспечение контроля за действиями пользователей
• Защита от несанкционированной модификации программ и информационных ресурсов
• Защиты ПДн при их передаче по каналам связи
• Управление системой защиты

В системах защиты ПДн используются следующие защитные механизмы:

• Идентификация и аутентификация
• Разграничение доступа
• Регистрация событий и аудит
• Контроль целостности
• Шифрование данных и ЭП
• Резервное копирование
• Гарантированное уничтожение информации
• Антивирусная защита
• Фильтрация трафика
• Выявление и устранение уязвимостей
• Обнаружение вторжений

Требования к уровням защищенности

Требования к обеспечению 4 уровня защищенности:

•
оснащения помещений входными дверьми с замками,
обеспечения постоянного закрытия дверей помещений на замок
и их открытия только для санкционированного прохода, а такжеопечатывания
помещений по окончании рабочего дня или оборудование помещений соответствующими техническими
устройствами, сигнализирующими о несанкционированном вскрытии помещений;

•
утверждения правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;

•
утверждения перечня лиц, имеющих право доступа в помещения. (Приказ №378 ФСБ России).

•
осуществлять хранение съемных машинных носителей персональных данных в
сейфах (металлических шкафах), оборудованных внутренними замками с двумя
или более дубликатами ключей и приспособлениями для опечатывания замочных
скважин или кодовыми замками. В случае если на съемном машинном носителе
персональных данных хранятся только персональные данные в зашифрованном с
использованием СКЗИ виде, допускается хранение таких носителей вне сейфов
(металлических шкафов);

•
осуществлять поэкземплярный учет машинных носителей персональных данных,
который достигается путем ведения журнала учета носителей персональных
данных с использованием регистрационных (заводских) номеров (Приказ № 378
ФСБ России).

•
разработать и утвердить документ, определяющий перечень лиц, доступ
которых к персональным данным, обрабатываемым в информационной системе,
необходим для выполнения ими служебных (трудовых) обязанностей;

•
поддерживать в актуальном состоянии документ, определяющий перечень лиц,
доступ которых к персональным данным, обрабатываемым в информационной
системе, необходим для выполнения ими служебных (трудовых) обязанностей
(Приказ №378 ФСБ России).

•
получения исходных данных для формирования совокупности предположений о
возможностях, которые могут использоваться при создании способов,
подготовке и проведении атак;

•
формирования и утверждения руководителем оператора совокупности
предположений о возможностях, которые могут использоваться при создании
способов, подготовке и проведении атак, и определение на этой основе и с
учетом типа актуальных угроз требуемого класса СКЗИ;

•
использования для обеспечения требуемого уровня защищенности персональных
данных при их обработке в информационной системе СКЗИ класса КС1 и выше
(Приказ № 378 ФСБ России).

Требования к обеспечению 3 уровня защищенности:

Требования к обеспечению 2 уровня защищенности:

•
обеспечение информационной системы автоматизированными средствами,
регистрирующими запросы пользователей информационной системы на получение
персональных данных, а также факты предоставления персональных данных по
этим запросам в электронном журнале сообщений;

Требования к обеспечению 1 уровня защищенности:

•
обеспечение информационной системы автоматизированными средствами,
позволяющими автоматически регистрировать в электронном журнале
безопасности изменения полномочий сотрудника оператора по доступу к
персональным данным, содержащимся в информационной системе;

•
отражение в электронном журнале безопасности полномочий сотрудников
оператора персональных данных по доступу к персональным данным,
содержащимся в информационной системе. Указанные полномочия должны
соответствовать должностным обязанностям сотрудников оператора;

•
назначение оператором лица, ответственного за периодический контроль
ведения электронного журнала безопасности и соответствия отраженных в нем
полномочий сотрудников оператора их должностным обязанностям (не реже 1
раза в месяц) (Приказ №378 ФСБ России).

•
провести анализ целесообразности создания отдельного структурного
подразделения, ответственного за обеспечение безопасности персональных
данных в информационной системе;

•
создать отдельное структурное подразделение, ответственное за обеспечение
безопасности персональных данных в информационной системе, либо возложить
его функции на одно из существующих структурных подразделений (Приказ № 378
ФСБ России).

Выбор мер по защите ПДн

Выбор мер по обеспечению безопасности персональных данных, подлежащих
реализации в информационной системе в рамках системы защиты персональных
данных, включает:

• определение базового набора мер по обеспечению
  безопасности ПДн для установленного уровня защищенности ПДн в соответствии
  с базовыми наборами мер по обеспечению безопасности персональных данных;
• адаптацию базового набора мер по обеспечению
  безопасности персональных данных с учетом структурно-функциональных
  характеристик информационной системы, информационных технологий,
  особенностей функционирования информационной системы (в том числе
  исключение из базового набора мер, непосредственно связанных с
  информационными технологиями, не используемыми в информационной системе,
  или структурно-функциональными характеристиками, не свойственными
  информационной системе);
• уточнение адаптированного базового набора мер по
  обеспечению безопасности персональных данных с учетом не выбранных ранее
  мер, в результате чего определяются меры по обеспечению безопасности
  персональных данных, направленные на нейтрализацию всех актуальных угроз
  безопасности персональных данных для конкретной информационной системы;
• дополнение уточненного адаптированного базового набора мер
  по обеспечению безопасности персональных данных мерами, обеспечивающими
  выполнение требований к защите персональных данных, установленными иными
  нормативными правовыми актами в области обеспечения безопасности
  персональных данных и защиты информации.

Требования к СЗИ в зависимости от уровня защищенности:

В случае определения в соответствии с Требованиями к защите персональных данных при их обработке в
информационных системах персональных данных в качестве актуальных угроз безопасности персональных данных
1-го и 2-го
типов дополнительно к мерам по обеспечению безопасности персональных данных, могут применяться следующие меры:

• проверка системного и (или) прикладного программного обеспечения, включая программный код, на
  отсутствие недекларированных возможностей с использованием автоматизированных средств и (или)
  без использования таковых;
• тестирование информационной системы на проникновения;
• использование в информационной системе системного и (или) прикладного программного обеспечения,
  разработанного с использованием методов защищенного программирования.

Для защиты применяются:

• средства аппаратной поддержки, предотвращающие обход программной части системы защиты;
• идентификация и аутентификация пользователей, в т. ч. с применением eToken, Touch Memory и т.п.;
• временная блокировка компьютера.

Разграничение прав доступа:

Условное обозначение и номер мерыСодержание мер по обеспечению безопасности персональных данныхУровни защищенности персональных данных
4321
II. Управление доступом субъектов доступа к объектам доступа (УПД)
УПД. 1
Управление (заведение, активация, блокирование и
уничтожение) учетными записями пользователей, в том
числе внешних пользователей
++++
УПД. 2
Реализация необходимых методов (дискреционный,
мандатный, ролевой или иной метод), типов (чтение,
запись, выполнение или иной тип) и правил разграничения
доступа
++++
УПД. 3
Управление (фильтрация, маршрутизация, контроль
соединений, однонаправленная передача и иные способы
управления) информационными потоками между
устройствами, сегментами информационной системы, а
также между информационными системами
++++
УПД. 4
Разделение полномочий (ролей) пользователей,
администраторов и лиц, обеспечивающих функционирование
информационной системы
++++
УПД. 5
Назначение минимально необходимых прав и привилегий
пользователям, администраторам и лицам, обеспечивающим
функционирование информационной системы
++++
УПД. 6
Ограничение неуспешных попыток входа в информационную
систему (доступа к информационной системе)
++++
УПД. 7
Предупреждение пользователя при его входе в
информационную систему о том, что в информационной
системе реализованы меры по обеспечению безопасности
персональных данных, и о необходимости соблюдения
установленных оператором правил обработки персональных
данных

УПД. 8
Оповещение пользователя после успешного входа в
информационную систему о его предыдущем входе в
информационную систему

УПД. 9
Ограничение числа параллельных сеансов доступа для
каждой учетной записи пользователя информационной
системы

УПД. 10
Блокирование сеанса доступа в информационную систему
после установленного времени бездействия (неактивности)
пользователя или по его запросу
+++
УПД. 11Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации+++
УПД. 12
Поддержка и сохранение атрибутов безопасности (меток
безопасности), связанных с информацией в процессе ее
хранения и обработки

УПД. 13
Реализация защищенного удаленного доступа субъектов
доступа к объектам доступа через внешние
информационно-телекоммуникационные сети
++++
УПД. 14Регламентация и контроль использования в информационной системе технологий беспроводного доступа++++
УПД. 15Регламентация и контроль использования в информационной системе мобильных технических средств++++
УПД. 16Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)++++
УПД. 17Обеспечение доверенной загрузки средств вычислительной техники++

Разграничение доступа к ресурсам АС – это такой порядок использования ресурсов АС, при котором субъекты
получают доступ к объектам в строгом соответствии с установленными правилами

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов к объектам.

Авторизация субъекта – наделение субъекта заданными правами доступа к объектам.

Условное обозначение и номер мерыСодержание мер по обеспечению безопасности персональных данныхУровни защищенности персональных данных
4321
III. Ограничение программной среды (ОПС)
ОПС. 1
Управление запуском (обращениями) компонентов программного
обеспечения, в том числе определение запускаемых
компонентов, настройка параметров запуска компонентов,
контроль за запуском компонентов программного обеспечения

ОПС. 2
Управление установкой (инсталляцией) компонентов
программного обеспечения, в том числе определение
компонентов, подлежащих установке, настройка параметров
установки компонентов, контроль за установкой компонентов
программного обеспечения
++
ОПС. 3Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов+
ОПС. 4Управление временными файлами, в том числе запрет,разрешение, перенаправление записи, удаление временных файлов

Защита от неправомерных изменений конфигурации:

• запрет изменения значений параметров компьютера;
• разграничение привилегий для пользователей;
• создание замкнутой программной среды;
• контроль аппаратной конфигурации компьютера.

Условное обозначение и номер мерыСодержание мер по обеспечению безопасности персональных данныхУровни защищенности персональных данных
4321
IV. Защита машинных носителей персональных данных (ЗНИ)
ЗНИ. 1Учет машинных носителей персональных данных++
ЗНИ. 2Управление доступом к машинным носителям персональных данных++
ЗНИ. 3Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны
ЗНИ. 4
Исключение возможности несанкционированного ознакомления с
содержанием персональных данных, хранящихся на машинных
носителях, и (или) использования носителей персональных
данных в иных информационных системах

ЗНИ. 5Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных
ЗНИ. 6Контроль ввода (вывода) информации на машинные носители персональных данных
ЗНИ. 7Контроль подключения машинных носителей персональных данных
ЗНИ. 8
Уничтожение (стирание) или обезличивание персональных
данных на машинных носителях при их передаче между
пользователями, в сторонние организации для ремонта или
утилизации, а также контроль уничтожения (стирания) или
обезличивания
+++

Механизм регистрации и аудита событий:

Регистрация и аудит событий обеспечивает получение и анализ информации о
состоянии ресурсов системы, а также регистрацию действий, признанных
потенциально опасными для ИС.

Механизм реализуется оперативным контролем за действиями пользователей и
администраторов системы, централизованное оповещение о фактах НСД и иных
нарушениях.

Условное обозначение и номер мерыСодержание мер по обеспечению безопасности персональных данныхУровни защищенности персональных данных
4321
V. Регистрация событий безопасности (РСБ)
РСБ. 1Определение событий безопасности, подлежащих регистрации, и сроков их хранения++++
РСБ. 2Определение состава и содержания информации о событиях безопасности, подлежащих регистрации++++
РСБ. 3Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения++++
РСБ. 4
Реагирование на сбои при регистрации событий безопасности,
в том числе аппаратные и программные ошибки, сбои в
механизмах сбора информации и достижение предела или
переполнения объема (емкости) памяти

РСБ. 5Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них++
РСБ. 6Генерирование временных меток и (или) синхронизация системного времени в информационной системе
РСБ. 7Защита информации о событиях безопасности++++

Нейтрализация угроз. Антивирус и СОВ:

УгрозаВозможность нейтрализации
АнтивирусСОВ
Угрозы анализа сетевого трафика с перехватом информации–
Угрозы выявления пароля-+
Угрозы типа «Отказ в обслуживании»-+
Угрозы удаленного запуска приложений++
Угрозы сканирования, направленные на выявления типа ОС АРМ-/++
Угрозы получения НСД путем подмены доверенного объекта–
Угрозы внедрения по сети вредоносных программ++
Угрозы внедрения ложного объекта сети–

Контроль и обеспечение целостности:

Контролируемые информационные ресурсы:

• файлы и каталоги
• элементы реестра
• сектора диска

• содержание ресурса
• списки управления доступом
• атрибуты файла

• сравнение с эталоном
• вычисление контрольной суммы
• формирование ЭП и имитовставки

Обеспечение доступности ПДн:

Безопасность виртуальной среды:

Проблемы защиты виртуальной среды:

• виртуализация несет новые угрозы, с которыми традиционные системы защиты не могут справится;
• трафик между двумя виртуальными машинами (VM), находящимися на одной платформе, не покидает его;
• VM и приложения не привязаны к одной физической платформе;
• на VM может обрабатываться информация разной степени конфиденциальности;
• новый суперпользователь – администратор VM

Характерными угрозами виртуальной среды являются:

• атака на супервизора с виртуальной машины;
• атака на супервизора с физической сети;
• атака на диск виртуальной машины;
• атака на средство администрирования виртуальной машины;
• атака на виртуальную машину из другой виртуальной машины;
• атака на сеть репликации виртуальной машины;
• неконтролируемый рост числа виртуальных машин.

Если кратко

• Без средств криптографической защиты нельзя подписывать документы электронной подписью — она не будет работать.
• Оптимальное решение — программа «Криптопро CSP». Можно купить годовую или бессрочную лицензию для одного компьютера. Разработчики программы создали модули, упрощающие работу с электронной подписью. Например, Криптопро PDF для подписания документов в программе Adobe Reader, а также плагин «Криптопро ЭЦП Browser», чтобы подписывать документы в браузере.

Материал актуален на 09. 2021

Интересные статьи

Шаг 1. Выберите удобное отделение ФНС России

Шаг 2. Запишитесь на прием в ФНС России

Шаг 3. Подготовьте документы

Шаг 4. Подготовьте токен

Шаг 5. Придите в отделение ФНС России

Шаг 6. Пройдите ид.

Есть два варианта, как подписать PDF-документ ЭЦП: использовать модуль «Криптопро PDF» или программу «КриптоАРМ ГОСТ». О том, как подписывать документ в КриптоАРМ, мы рассказали в этой статье. Пошаговая инструк.

Подписать документы электронной подписью можно в программе КриптоАРМ. Еще в ней можно проверить подпись и зашифровать документ. О том, как подписать документ ЭЦП, смотрите пошаговую инструкцию в скриншотах или.

КриптоПро CSP версии 3. 9 на 1 р.

Средство криптографической защиты. Поддерживаемые ОС: Windows Vista, 7,
8, 10. Лицензия на рабочее место не позволит использовать КриптоПро CSP в
среде серверных операционных систем

КриптоПро CSP версии 4. 0 на 1 р.

Средство криптографической защиты. Поддерживаемые ОС: Windows 7, 8,
10. Лицензия на рабочее место не позволит использовать КриптоПро CSP в
среде серверных операционных систем

КриптоПро CSP версии 3. 6 на 1 р.

Средство криптографической защиты. Поддерживаемые ОС: Windows XP, Vista,
7, 8. Лицензия на рабочее место не позволит использовать КриптоПро CSP в
среде серверных операционных систем

Чтобы оформить заказ