Управління безпекою криптографічних систем

Территория рекламы

Вступ

Діяльність спеціаліста у галузі інформаційної безпеки потребує виконання певних функцій.

Виконання окремих функції за суттю є процесом, що потребує певних витрат ресурсів і часу. Саме процесний підхід до управління (менеджменту) дозволяє з'ясувати взаємозв'язок і взаємозалежність функцій управління.

Процес менеджменту відображає рекомендовану порядок виконання основних функцій управління, точніше, послідовність початку дій щодо виконання функцій, тому що здійснення багатоконтурного зворотного зв'язку призводить до одночасної реалізації функцій.

Належна якість виконання попереднього етапу є необхідною умовою забезпечення якості реалізації наступного етапу (функції). В цьому виражається взаємозалежність функцій.

Об’єднуючими процесами є процес комунікацій та процес прийняття рішень.

В організації протікає безліч процесів. М. Портер пропонує класифікацію процесів що базується на їх ролі в створенні додаткових цінностей (кожен процес повинен вносити в цінність кінцевого продукту додатковий внесок по відношенню до попереднього процесу). Згідно з цим критерієм розрізняють три групи процесів:

основні, що безпосередньо пов'язані з виробництвом продукції;

забезпечуючи процеси, що спрямовані на підтримку основних процесів (постачання, управління персоналом тощо);

управлінські процеси, які включають процеси встановлення цілей і формуванню умов для їх досягнення.

Все перераховані процеси взаємопов'язані між собою та утворюють єдину систему.

1. Процесний підхід до управління безпекою криптографічних систем

Діяльність спеціаліста в галузі криптографічного захисту інформації з питань управління безпекою криптосистем є досить складною, багатогранною та потребує прискіпливої уваги до усіх факторів що негативним чином впливають її стан. Необхідність постійного вдосконалення цього виду діяльності потребує створення стислого опису основних її складових та факторів що її обумовлюють.

Саме такий опис у вигляді загальної процесної моделі діяльності людини (рис. 1) побудовано на основі методів наукової дисципліни системного аналізу (системотехніки). Вказана модель включає окремі узагальнені етапи діяльності людини (стадії, компоненти, процеси), внаслідок чого вона може бути застосована для дослідження та вдосконалення будь якої сфери діяльності, у тому числі управління інформаційною безпекою (ІБ) та її важливої компоненти – управління безпекою криптосистем.

Розглянемо основні структурні компоненти діяльності в узагальненому вигляді. У рамках моделі бачимо деякі потреби, що обумовлені нестачею чого-небудь необхідного для забезпечення життєдіяльності особи, соціальної групи людей, суспільства. Відповідні потреби особи, соціальної групи та суспільства залежать від рівня розвитку суспільства в цілому, а також від специфічних соціальних умов їхньої діяльності. Зокрема у еру інформаційних технологій перераховані суб’єкти особливо заінтересовані з одного боку у безперешкодному доступі до достовірних світових інформаційних ресурсів, з іншого – у захисті власного інформаційного ресурсу від несанкціонованого доступу до нього (наприклад, персональних даних) та забезпеченні його цілісності та доступності для визначеного кола легальних користувачів.

Потреби конкретизуються в мотивах, що є ініціаторами діяльності людини, соціальних груп, суспільства. Мотиви обумовлюють конкретні цілі як суб’єктивний образ бажаного результату запланованої діяльності.

Потреби, мотиви

Визначення цілі

Досягнення цілі

Отримання результату

Соціальне замовлення

Оцінка результату

Критерії

Корегування

Управління

Вимоги, норми

Принципи

ЗОВНІШНЄ СЕРЕДОВИЩЕ

ЗОВНІШНЄ СЕРЕДОВИЩЕ

ЗОВНІШНЄ СЕРЕДОВИЩЕ

Умови

ЗОВНІШНЄ СЕРЕДОВИЩЕ

Потреби, мотиви

Визначення цілі

Досягнення цілі

Отримання результату

Соціальне замовлення

Оцінка результату

Критерії

Корегування

Управління

Вимоги, норми

Принципи

ЗОВНІШНЄ СЕРЕДОВИЩЕ

ЗОВНІШНЄ СЕРЕДОВИЩЕ

ЗОВНІШНЄ СЕРЕДОВИЩЕ

Умови

ЗОВНІШНЄ СЕРЕДОВИЩЕ

Рис. 1. Процесна модель діяльності

Мета є постійним орієнтиром в процесі діяльності, вона може бути визначена суб’єктом діяльності, або отримана їм зовні.

У випадку репродуктивного (виконавчого) характеру діяльності цілі задаються людині зовні: учню – вчителем, виконавцю – керівником або співробітником таким чином, що коли щодня виконується одноманітна рутинна робота, то проблеми визначення цілі не існує.

Якщо має місце продуктивна (творча) діяльність, навіть відносно нестандартна, то ціль визначається самим суб’єктом, що становиться доволі складним процесом, якій має власні етапи реалізації, методи та засоби.

В термінах системного аналізу процес визначення цілі має назву проектування.

Процес досягнення мети у кожному конкретному випадку має свій зміст, притаманні йому форми, специфічні методи, засоби і технології.

Особливим компонентом даної моделі є процес, що має назву саморегуляція, а у випадку колективного суб’єкта, колективної діяльності – управління.

Саморегуляція реалізується у наступний спосіб (за допомогою перелічених процесів):

прийняття (визначення) суб’єктом цілі/цілей його діяльності;

встановлення або визначення моделі умов діяльності, оскільки діяльність реалізується у взаємодії із зовнішнім середовищем, яким висуваються певні вимоги, норми, принципи та критерії,

формування та затвердження/прийняття плану або програма дій з реалізації;

виконання прийнятого плану;

отримання даних про реально досягнутий результат;

застосування системи критеріїв для оцінки досягнення мети та оцінка відповідності реальних результатів критеріям успіху

прийняття рішення щодо необхідності та характеру корегування певних процесів діяльності.

У сенсі філософської науки, саморегуляція водночас являє собою замкнений контур регулювання та інформаційний процес, носієм якого виступають різні форми відображення дійсності.

Колективна діяльність неможлива без створення певного порядку, розподілу праці, визначення місця і функцій кожного співробітника в колективі, тобто функцій, що реалізуються за допомогою управління. Таким чином, управління розглядається як елемент, функція організованих систем різної природи: біологічних, соціальних, технічних, що забезпечує збереження ними їх певної структури, підтримання режиму діяльності, реалізацію програми, досягнення мети діяльності.

Поняття зовнішнього середовища (рис. 1) є невід’ємною категорією системного аналізу, що розглядає діяльність людини як складну систему.

Зовнішнє середовище визначається як сукупність усіх об’єктів та суб’єктів, що не складають систему, що вивчається, але зміна властивостей або поведінка яких впливає на цю систему, а також тих об’єктів та суб’єктів, властивості або поведінка яких змінюється залежно від поведінки системи.

На рис. 1 окремо виділені фактори, що задаються зовнішнім середовищем: це критерії оцінки відповідності результату поставленій меті; встановлені в суспільстві правові, технічні та інші норми та принципи діяльності.

Матеріально-технічні, фінансові, інформаційні та інші умови діяльності можуть бути віднесені як до зовнішнього середовища, так і до властивостей системи діяльності. Це обумовлюється можливостями активного впливу суб’єкта на створення умов власної діяльності. Наприклад, у випадку браку коштів для реалізації певного проекту існує потенційна можливість залучення інвесторів або спонсорів.

Для будь-якої діяльності, у тому числі у сфері забезпечення інформаційної безпеки, слід враховувати наступну сукупність груп умов, яка у кожному конкретному випадку буде мати власну специфіку:

мотиваційні;

кадрові;

матеріально-технічні;

науково-методичні;

фінансові;

організаційні;

нормативно-правові;

інформаційні.

Слід зазначити, що діяльність може здійснюватися шляхом проб и помилок. Методологія же забезпечує перевірені широкою суспільно-історичною практикою раціональні форми організації діяльності.

З метою уніфікації процедур ефективного управління інформаційною безпекою міжнародною організацією по стандартизації був виданий стандарт ISO/IEC27001:2005, положення якого можуть бути використані для створення системи управління безпекою криптосистем. Заснований на кращих світових практиках, він висуває вимоги до процесів, що забезпечують функціонування системи керування ІБ, їхній постійний моніторинг і поліпшення. Стандарт чітко визначає ключові процеси, якими необхідно управляти при забезпеченні ІБ в організації.

Стандарт може застосовуватися в будь-якій організації незалежно від роду діяльності з метою:

установлення вимог і цілей в області інформаційної безпеки;

одержання впевненості в тому, що ризики в області інформаційної безпеки управляються рентабельно;

одержання впевненості відповідності діяльності підприємства або організації законодавству й/або іншим нормативним документам;

реалізації процесу впровадження й управління засобами контролю для одержання впевненості в досягненні специфічних цілей в області захисту організації;

ідентифікації й відстеження існуючих процесів управління інформаційною безпекою;

визначення керівництвом компанії статусу процесів управління захистом інформації;

використання внутрішніми й зовнішніми аудиторами для визначення рівня відповідності Політиці безпеки, директивам і стандартам, установленим підприємством/організацією;

забезпечення партнерів і постачальників відповідною інформацією про стандарти, процедури й політику організації;

забезпечення споживачів усією відповідною інформацією.

ISO 27002 (ISO 17799:2005) є основою для розробки стандартів безпеки й методів керування. Керівні принципи охоплюють три головні аспекти: стратегічний, оперативний і дотримання.

Поточна версія стандарту складається з наступних основних розділів:

Політика безпеки (Security policy);

Організація інформаційної безпеки (Organization of information security);

Управління ресурсами (Asset management);

Безпека, що обумовлена кадровими ресурсами (Human resources security);

Фізична безпека й безпека оточення (Physical and environmental security);

Управління комунікаціями й процесами (Communications and operations management);

Контроль доступу (Access control);

Придбання, розробка й установлення систем (Information systems acquisition, development and maintenance);

Управління інцидентами інформаційної безпеки (Information security incident management);

Управління безперебійною роботою організації (Business continuity management);

Відповідність правовим і нормативним вимогам (Compliance).

В цілому управління безпекою криптосистем реалізується на трьох рівнях: адміністративному, процедурному та програмно-апаратному.

Основу заходів адміністративного рівня, тобто заходів, що реалізуються керівництвом організації, становить розробка та впровадження політики безпеки.

Під політикою безпеки розуміється сукупність документованих управлінських рішень, спрямованих на захист інформації й асоційованих з нею ресурсів. Політика безпеки визначає стратегію дій організації в галузі інформаційної безпеки, а також ресурси, які керівництво вважає за можливе виділити для реалізації її завдань.

На підставі політики безпеки розробляється програма безпеки, яка реалізується на процедурному й програмно-технічному рівнях.

Процедурний рівень передбачає заходи безпеки, що реалізуються персоналом організації. Можна виділити наступні групи процедурних заходів:

управління персоналом;

фізичний захист;

підтримка працездатності;

реагування на порушення режиму безпеки;

планування відбудовних робіт.

Управління персоналом полягає у виконанні наступних умов. По-перше, для кожної посади повинні існувати кваліфікаційні вимоги по ІБ. По-друге, у посадові інструкції повинні входити розділи, що стосуються інформаційної безпеки. По-третє, кожного співробітника потрібно навчити заходам безпеки теоретично й на практиці.

Заходи фізичного захисту включають реалізацію системи охорони об’єкту, впровадження технологій та засобів інженерно-технічного захисту (систем сигналізації та відеоконтролю, систем автоматизованого пропуску тощо), блокування витоку інформації по технічних каналах тощо.

Планування відбудовних робіт спрямоване на ліквідацію наслідків інцидентів в сфері інформаційної безпеки та передбачає:

забезпечення злагодженості дій персоналу під час і після інциденту (аварії);

наявність заздалегідь підготовлених резервних виробничих майданчиків;

офіційно затверджену схему перенесення на резервний майданчик основних інформаційних ресурсів;

схему повернення до нормального режиму роботи.

Підтримка працездатності містить у собі створення інфраструктури, що включає в себе як технічні, так і процедурні регулятори й здатної забезпечити наперед заданий рівень працездатності на всьому протязі життєвого циклу інформаційної системи

Реагування на порушення режиму безпеки може бути регламентоване в рамках окремо взятої організації. У поточний час, переважно здійснюється моніторинг комп'ютерних злочинів у національному масштабі й по окремих статтях законодавства «підвідомчих» Міністерству внутрішніх справ або Службі безпеки України збуджуються кримінальні справи у випадку наявності складу злочину. Тому важливо забезпечити з відповідними структурами у відповідних випадках.

Основу програмно-технічного рівня становлять заходи з впровадження та підтримки працездатності наступних механізмів безпеки:

захист від НСД у комп’ютерних системах (ідентифікація й автентифікація користувачів, керування доступом, протоколювання й аудит;

криптографічний захист (шифрування й електронний цифровий підпис);

захист від витоку по каналах ПЕМВН;

антивірусний захист, захист від атак в інформаційних системах і т.д.

З урахуванням викладеного можливо зробити висновок, що забезпечення надійного захисту інформаційних ресурсів потрібен комплексний підхід до управління інформаційною системою в цілому й механізмами безпеки особливо. Згадані заходи безпеки повинні спиратися на загальноприйняті стандарти, бути стійкими до мережних загроз, ураховувати специфіку окремих сервісів.

2. Характеристика етапів життєвого циклу засобів криптографічного захисту інформації та організація заходів з безпеки.

Відповідно до визначеної узагальненої процесної моделі діяльності та з урахуванням вимог законодавства в сфері КЗІ можливо визначити наступні процеси у рамках життєвого циклу засобів КЗІ: розроблення вимог, проектування, випробування та сертифікація (допуск до експлуатації), виробництво, навчання персоналу, обладнання приміщень, експлуатація та утилізація засобів КЗІ.

Під час проведення робіт з криптографічного захисту конфіденційної інформації, що є власністю держави має бути створений відповідний режим безпеки, що передбачає виконання вимог постанови Кабінету Міністрів України від 27.11.98 N 1893, а також забезпечити виконання вимог Інструкції про порядок забезпечення режиму безпеки, що повинен бути створений в організаціях, які здійснюють підприємницьку діяльність у сфері КЗІ, що є власністю держави (Наказ ДСТСЗІ СБ України від 22.10.1999 № 45), в частині питань:

номенклатури посадових інструкцій;

специфіки організаційних заходів безпеки при проведенні робіт з криптографічного захисту інформації.

Для реалізації заходів щодо криптографічного захисту інформації наказом керівника організації створюється служба криптографічного захисту, на яку покладаються обов’язки практичного вимог законодавства на усіх етапах життєвого циклу засобів КЗІ.

Слід зазначити, що в випадках передбачених законодавством для здійснення певних видів господарської діяльності необхідно отримати ліцензію. Зокрема, Постановою КМ України від 25 травня 2011 р. N 543 наступні види робіт потребують отримання ліцензії:

1. Складення конструкторської та іншої технічної документації до криптосистем і засобів криптографічного захисту інформації.

2. Монтаж (встановлення), налаштування, технічне обслуговування (супроводження) криптосистем і засобів криптографічного захисту інформації.

3. Управління процесами розроблення вимог, проектування, випробування та сертифікації (допуску до експлуатації), виробництва, навчання персоналу, обладнання приміщень, експлуатації та утилізації засобів КЗІ

У процесі розроблення, виробництва та експлуатації засобів КЗІ беруть участь і взаємодіють між собою:

замовники;

розробники;

виробники;

організації, що експлуатують засоби КЗІ;

організації, що проводять сертифікаційні випробування (експертні роботи);

Державна служба спеціального зв'язку та захисту інформації України (далі - Держспецзв'язку).

Суб'єкти, які здійснюють розроблення, виробництво та експлуатацію засобів КЗІ, визначають режим доступу до інформації про ці засоби, установлюють і підтримують відповідний режим безпеки з урахуванням вимог замовника та відповідно до нормативно-правових актів у сфері КЗІ.

Розробники та виробники реалізовують вимоги до засобів КЗІ шляхом вибору і розробки необхідних алгоритмічних, програмних, схемно-технічних, конструкторських та технологічних рішень, які забезпечують виконання встановлених вимог.

Розроблення засобів КЗІ здійснюється відповідно до вимог нормативно-правових актів і національних стандартів у сфері КЗІ, а також нормативних документів з питань розроблення та поставлення продукції на виробництво.

Розроблення засобів КЗІ здійснюється шляхом виконання відповідних науково-дослідних робіт (далі - НДР) з розроблення нових принципів побудови і функціонування засобів КЗІ та дослідно-конструкторських робіт (далі - ДКР) зі створення нових або модернізації існуючих зразків засобів КЗІ.

За результатами НДР готується ТЗ на ДКР з розроблення нового або модернізації існуючого зразка засобу КЗІ з підготовкою, за необхідності, техніко-економічного обґрунтування ДКР.

У засобах КЗІ використовуються криптоалгоритми та криптопротоколи, які є національними стандартами або рекомендовані Адміністрацією Держспецзв'язку, або погоджені Адміністрацією Держспецзв'язку для використання в банківській системі України за відповідним зверненням та обґрунтуванням Національного банку України.

Методики генерації випадкових (псевдовипадкових) послідовностей для управління ключами повинні бути погоджені з Адміністрацією Держспецзв'язку.

Засоби КЗІ розробляються з урахуванням можливих загроз у вірогідних умовах їх експлуатації.

У засобах КЗІ повинні бути реалізовані методи захисту, що відповідають установленим вимогам, залежно від виду, типу, категорії, класу засобу КЗІ.

Зокрема в засобах КЗІ видів А та Б категорій "Ш" та "П" повинні бути реалізовані:

для класу В3 - механізми контролю цілісності криптографічних перетворень та захисту ключових даних (для програмних засобів КЗІ - контролю цілісності програмного забезпечення), надійного тестування засобу на правильність функціонування та блокування його роботи в разі виявлення порушень; механізми гарантованого знищення (неможливості відновлення будь-яким способом) ключових даних після закінчення терміну їх дії;

для класу В2 - механізми захисту від порушення конфіденційності інформації внаслідок помилкових дій оператора або в разі відхилень у роботі складових елементів засобу КЗІ;

для класу В1 - механізми розподілу повноважень щодо використання функцій засобу КЗІ;

для класу Б2 - механізми захисту засобу КЗІ від здійснення порушником навмисного зовнішнього впливу; механізми захисту від порушення конфіденційності та цілісності ключових даних на ключових документах;

для класу Б1 - механізми захисту критичної інформації (ключових даних, відкритої інформації) від недокументованих можливостей прикладного програмного забезпечення;

для класу А1 - механізми гарантованого знищення ключових даних після закінчення терміну їх дії або в разі несанкціонованого доступу до криптографічної схеми (або за командою оператора); механізми захисту ключових даних на їх носіях від несанкціонованого зчитування.

Вимоги до засобів КЗІ наведено в порядку збільшення вимог таким чином, що клас, наведений нижче, передбачає виконання вимог усіх наведених вище класів засобів КЗІ.

Вимоги для засобів КЗІ категорії "К" визначаються з урахуванням їх призначення, умов розташування та експлуатації.

Вимоги для засобів КЗІ категорії "Р" визначаються з урахуванням вимог нормативних документів системи технічного захисту інформації.

За потреби, можуть визначатися спеціальні вимоги щодо захисту засобів КЗІ будь-якого класу від витоку інформації каналами ПЕМВН.

На етапі ескізно-технічного проектування здійснюються опрацювання та практична реалізація функцій захисту згідно з вимогами до засобів КЗІ. При цьому основна увага при проектуванні засобу КЗІ приділяється вузлам, які обробляють критичну інформацію, у тому числі:

уведення та оброблення ключових даних;

оброблення вхідної та вихідної інформації;

шифрування інформації;

генератори випадкових (псевдовипадкових) послідовностей, які використовуються для формування ключів, векторів ініціалізації тощо;

самотестування;

системи сигналізації при несанкціонованому доступі до засобу КЗІ, зміні параметрів навколишнього середовища, електроживлення тощо.

Розроблення засобів КЗІ здійснюється з використанням тільки ліцензійного програмного забезпечення або, за погодженням із замовником, комп'ютерних програм вільного використання, які повинні бути забезпечені документацією, що підтверджує правомірність їх використання згідно з ліцензією або належність до комп'ютерних програм вільного використання.

Розробник розробляє робочу конструкторську документацію на засіб КЗІ, до складу якої обов'язково входять:

проект технічних умов для апаратних та апаратно-програмних засобів КЗ;

експлуатаційні документи;

інструкція із забезпечення безпеки експлуатації засобу КЗІ та

інструкція щодо порядку генерації ключових даних і поводження з ключовими документами, включаючи їх облік, зберігання та знищення.

Проект технічних умов (далі - ТУ) погоджується з Держспецзв'язку.

За потреби, розробником у ТУ вноситься перелік допустимих змін, які без погодження з Держспецзв'язку можуть уноситися під час виробництва засобу КЗІ до його конструкції, схемотехнічних рішень, програмного забезпечення та переліку комплектувальних виробів тощо. У цьому разі до проекту ТУ, що подається на погодження, додається пояснювальна записка з обґрунтуванням можливості внесення відповідних змін без впливу на криптографічні та спеціальні якості засобів КЗІ.

У разі визначення в технічному завданні вимог щодо захисту засобу КЗІ від витоку інформації каналами ПЕМВН у ТУ наводяться посилання на методику контролю спеціальних показників в умовах серійного виробництва засобів КЗІ, яка має бути узгоджена з організацією, що здійснює сертифікаційні випробування (експертні роботи), та Держспецзв'язку.

У конструкторській документації на засіб КЗІ обов'язково наводяться:

склад апаратних і програмних (мікропрограмних) компонентів засобу КЗІ та технічних засобів, які передбачаються до спільної роботи із засобами КЗІ, а також вимоги до інтерфейсів;

специфікація розроблення апаратного та загального програмного забезпечення, вузлів засобів КЗІ (документування розроблення рекомендується здійснювати з використанням мов програмування високого рівня для загального програмного забезпечення та вузлів, що програмуються, а також функціональних і принципових електричних схем для апаратної частини);

схеми апаратної та програмної компоненти засобу КЗІ, їх взаємозв'язок, у тому числі всі мікроконтролери, логічні інтегральні мікросхеми, буферні регістри введення/виведення даних тощо;

технічні характеристики (за необхідності - спеціальні характеристики) інтерфейсів сполучення засобів КЗІ, у тому числі фізичні та логічні порти, зовнішні пристрої введення/виведення інформації, засобів дистанційного керування, зовнішніх засобів механічного захисту (кришки, замки тощо);

криптографічні алгоритми, які реалізовано в засобі КЗІ;

алгоритми тестування та методи ручної перевірки засобу КЗІ, у тому числі індикація (відображення) припустимих і неприпустимих його станів.

В інструкції із забезпечення безпеки експлуатації засобів КЗІ вказуються:

права та обов'язки осіб, відповідальних за забезпечення безпеки експлуатації засобу КЗІ;

права та обов'язки користувачів засобів КЗІ;

порядок забезпечення безпеки засобу КЗІ під час його встановлення, експлуатації, виведення з експлуатації, ремонту, а також у разі порушення функціонування інформаційно-телекомунікаційної системи;

питання проведення тестування засобів КЗІ та їх резервування в системі;

дії персоналу в умовах надзвичайних ситуацій, стихійного лиха та підозри компрометації ключів;

порядок проведення контролю за станом забезпечення безпеки засобів КЗІ;

порядок допуску в приміщення, у яких установлені засоби КЗІ.

У ході виконання ДКР розробником передбачається створення устаткування (допоміжного обладнання) для проведення сертифікаційних випробувань (експертних робіт) засобу КЗІ. Перелік допоміжного обладнання, засобів вимірювальної техніки та кількість дослідних зразків засобу КЗІ, необхідних для проведення таких робіт, визначаються розробником і погоджуються із замовником, випробувальною лабораторією (експертним закладом).

Технічні та експлуатаційні характеристики дослідних зразків засобу КЗІ, який розробляється у ході виконання ДКР, ефективність та достатність організаційно-технічних заходів щодо забезпечення безпеки інформації перевіряються під час випробувань засобів КЗІ на дослідній ділянці розробника.

За погодженням із замовником випробування дослідних зразків засобу КЗІ можуть здійснюватися у складі інформаційно-телекомунікаційної системи, експлуатацію якої здійснює замовник або послугами якої він користується.

У ході дослідної експлуатації обробку та передавання конфіденційної інформації (для засобів категорій "Ш", "К" та "Р") та (або) реальний інформаційний обмін (для засобів категорії "П") здійснювати не рекомендується.

За результатами випробувань дослідних зразків засобу КЗІ інструкція із забезпечення безпеки експлуатації засобу КЗІ та інструкція щодо порядку генерації ключових даних і поводження з ключовими документами, за необхідності, доопрацьовуються розробником.

Інструкція із забезпечення безпеки експлуатації засобу КЗІ погоджується із замовником та подається на погодження до Держспецзв'язку на етапі проведення державної експертизи у сфері КЗІ.

Після погодження інструкції із забезпечення безпеки експлуатації засобу КЗІ Держспецзв'язку вона затверджується замовником.

Якщо ключові документи до засобів КЗІ надаються Держспецзв'язку, то інструкція щодо порядку генерації ключових даних та поводження з ключовими документами надається Держспецзв'язку разом з інструкцією із забезпечення безпеки експлуатації засобу КЗІ.

Інструкції із забезпечення безпеки експлуатації та щодо порядку генерації ключових даних і поводження з ключовими документами для засобів КЗІ виду В можуть не розроблятися.

Порядок роботи із засобами цього виду та вимоги щодо забезпечення безпеки інформації під час їх використання вказуються відповідно в окремих розділах зазначених інструкцій для засобів КЗІ видів А та Б.

Порядок забезпечення режиму безпеки під час розроблення засобів КЗІ визначається розробником в окремій інструкції, в якій наводяться вимоги щодо поводження із засобами КЗІ, обладнання приміщень, заходи з запобігання компрометації засобів КЗІ тощо.

Виробництво засобів КЗІ здійснюється тільки за наявності сертифіката відповідності (позитивного експертного висновку) на засіб, ТУ та інструкції із забезпечення безпеки експлуатації засобів КЗІ.

Виробники засобів КЗІ повинні:

ужити заходів щодо своєчасної сертифікації або експертизи засобів КЗІ (у тому числі повторної - після закінчення строку дії раніше отриманого сертифіката відповідності або експертного висновку);

погодити зміни, які вносяться у вироби та документацію на них, із замовником та Держспецзв'язку;

забезпечити виконання усіх вимог ТУ;

за наявності вимог у ТУ з усієї партії виробів, що виготовляється, вибрати контрольний еталонний зразок та зберігати його відповідно до встановлених вимог;

забезпечити технічне обслуговування та гарантійний ремонт засобів КЗІ, а також випуск і поставку запасних частин для цих засобів відповідно до Закону України "Про захист прав споживачів".

Для криптографічного захисту інформації використовуються засоби КЗІ, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.

Підставою для початку експлуатації засобів КЗІ в організації (у тому числі її філіях або регіональних представництвах), яка здійснює експлуатацію засобів КЗІ, є відповідний наказ керівника цієї організації.

З початку експлуатації кожний екземпляр засобу КЗІ береться на облік в організації, яка експлуатує засоби КЗІ. Одиницею обліку кожного екземпляра засобу КЗІ є:

для апаратних та апаратно-програмних засобів - конструктивно закінчений технічний засіб;

для програмних засобів - інсталяційна дискета, компакт-диск (CDROM) тощо.

Передача засобів КЗІ здійснюється на підставі відповідних договорів, у яких указуються порядок установлення засобів КЗІ в користувачів та обслуговування цих засобів, забезпечення ключовими документами (ключовими даними), а також ужиття заходів щодо забезпечення режиму безпеки тощо.

Експлуатація засобів КЗІ здійснюється відповідно до вимог експлуатаційної документації, інструкції із забезпечення безпеки експлуатації засобів КЗІ, а також інструкції щодо порядку генерації ключових даних та поводження з ключовими документами.

Унесення змін до інструкції щодо порядку генерації ключових даних та поводження з ключовими документами, які отримані від Держспецзв'язку, здійснюється за погодженням з Держспецзв'язку.

Постачання ключових документів (ключових даних) від Держспецзв'язку організаціям, які експлуатують засоби КЗІ, здійснюється у порядку, установленому Адміністрацією Держспецзв'язку.

Ключові документи, що постачаються Держспецзв'язку, не можуть тиражуватися або використовуватися для інших засобів КЗІ, якщо це не передбачено договором про постачання ключових документів.

Користувачі засобів КЗІ повинні бути ознайомлені з інструкцією щодо порядку генерації ключових даних та поводження з ключовими документами в частині, що їх стосується, та дотримуватися вимог цієї інструкції.

У повному обсязі з інструкцією щодо порядку генерації ключових даних та поводження з ключовими документами повинно бути ознайомлено обмежене коло осіб, які мають безпосереднє відношення до проведення відповідних робіт.

Засоби КЗІ без уведених ключових даних мають гриф обмеження доступу, який відповідає грифу обмеження доступу опису криптосхеми. Гриф обмеження доступу засобів КЗІ з уведеними ключовими даними визначається грифом обмеження доступу ключових документів, але не нижче грифу обмеження доступу опису криптосхеми.

Гриф обмеження доступу ключових документів, що використовуються для криптографічного захисту інформації, повинен відповідати грифу обмеження доступу інформації, що захищається.

Заключна частина

Забезпечення безпеки засобів безпеки засобів криптографічного захисту інформації досягається за рахунок надійного криптографічного алгоритму, його коректної технічної реалізації, а також захисту засобів від побічних каналів витоку.

Все це потребує від дослідників, розробників, виробників та користувачів засобів та систем КЗІ постійного вдосконалення рівня спеціальної підготовки та врахування останніх наукових досліджень повсякденній діяльності.

← Предыдущая
Страница 1
Следующая →

Скачать

ПАК_Лекция_Т5(Л5).docx

ПАК_Лекция_Т5(Л5).docx
Размер: 86.1 Кб

Бесплатно Скачать

Пожаловаться на материал

Процесний підхід до управління безпекою криптографічних систем. Характеристика етапів життєвого циклу засобів криптографічного захисту інформації та планування заходів з безпеки. Управління процесами розроблення вимог, проектування, випробувань та сертифікації (допуску до експлуатації), виробництва, навчання персоналу, обладнання приміщень, експлуатації та утилізації засобів КЗІ.

У нас самая большая информационная база в рунете, поэтому Вы всегда можете найти походите запросы

Искать ещё по теме...

Похожие материалы:

Теорія і практика освіти

Предмет, завдання, методологічні засади освіти. Філософія освіти. Моделі системи освіти в сучасному світі.

Доклад на тему: Краткие заметки о материалах иконописи

Нелинейное программирование. Некоторые методы решения задач нелинейного программирования

Метод множителей Лагранжа. В общем виде задача нелинейного программирования состоит в определении максимума или минимума значения при условии, что ее переменные удовлетворят соотношениям

Рынок труда : содержание, функции и модели

Факультет экономики и управления Кафедра менеджмента КУРСОВАЯ РАБОТА по дисциплине «Микроэкономика» на тему: \"Рынок труда : содержание, функции и модели\"

Экономический потенциал России. Таможенный Союз

Сущность экономического потенциала, Топливно-энергетические ресурсы, Металлорудные минеральные ресурсы, Структура трудового потенциала в РФ Таможенный союз – это специальное соглашение государств об упразднении границ и таможенных пошлин между ними. Страны-участницы вводят единый таможенный тариф по отношению к другим государствам.

Сохранить?

Пропустить...

Введите код

Ok