Die Verwendung von zertifizierten skzi - die Sicht des FSB. Zertifizierte Mittel zum Schutz kryptografischer Informationen (CI)
Gewährleistung der Geheimhaltung (Vertraulichkeit) von Informationen. 2.
Gewährleistung der Integrität von Informationen. 3.
Authentifizierung von Informationen (Dokumenten). Um diese Probleme zu lösen, ist es notwendig, das Folgende zu implementieren
Prozesse: 1.
Implementierung der eigentlichen Informationssicherheitsfunktionen, einschließlich:
Verschlüsselung/Entschlüsselung; Erstellung/Verifizierung von EDS; Erstellen/Testen von Scheineinsätzen. 2.
Überwachung des Zustands und Verwaltung der Funktionsweise der KPI-Mittel (im System):
Statuskontrolle: Erkennung und Registrierung von Fällen von Verletzungen der Funktionsfähigkeit von KPI-Mitteln, Versuchen von unbefugtem Zugriff, Fällen von Schlüsselkompromittierung;
Betriebsmanagement: Ergreifen von Maßnahmen im Falle der aufgeführten Abweichungen von der normalen Funktionsweise der KPI-Mittel. 3.
Durchführung der Instandhaltung von KZI-Anlagen: Durchführung eines Schlüsselmanagements;
Durchführung von Verfahren im Zusammenhang mit dem Anschluss neuer Netzteilnehmer und / oder dem Ausschluss von ausgeschiedenen Teilnehmern; Beseitigung festgestellter Mängel des CIPF; Inbetriebnahme neuer Versionen der CIPF-Software;
Modernisierung und Ersatz der technischen Mittel des CIPF durch fortschrittlichere und / oder Ersatz von Mitteln, deren Ressourcen erschöpft sind.
Die Schlüsselverwaltung ist eine der wichtigsten Funktionen des kryptografischen Informationsschutzes und besteht in der Implementierung der folgenden Hauptfunktionen:
Schlüsselgenerierung: definiert einen Mechanismus zur Generierung von Schlüsseln oder Schlüsselpaaren mit Garantie ihrer kryptografischen Eigenschaften;
Schlüsselverteilung: definiert den Mechanismus, durch den Schlüssel zuverlässig und sicher an Abonnenten geliefert werden;
Schlüsselaufbewahrung: definiert den Mechanismus, mit dem Schlüssel sicher und sicher für die zukünftige Verwendung gespeichert werden;
Schlüsselwiederherstellung: definiert den Mechanismus zur Wiederherstellung eines der Schlüssel (Ersatz durch einen neuen Schlüssel);
Schlüsselvernichtung: definiert den Mechanismus, durch den veraltete Schlüssel sicher vernichtet werden;
Schlüsselarchiv: Ein Mechanismus, mit dem Schlüssel für eine spätere notariell beglaubigte Wiederherstellung in Konfliktsituationen sicher gespeichert werden können.
Im Allgemeinen ist es für die Implementierung der aufgeführten Funktionen des kryptografischen Informationsschutzes erforderlich, ein System des kryptografischen Informationsschutzes zu schaffen, das die tatsächlichen Mittel von CSI, Wartungspersonal, Räumlichkeiten, Büroausstattung, verschiedener Dokumentation (technisch, regulatorisch), usw.
Wie bereits erwähnt, ist es notwendig, zertifizierte KPI-Mittel zu verwenden, um Garantien für den Informationsschutz zu erhalten.
Am weitesten verbreitet ist derzeit die Frage des Schutzes vertraulicher Informationen. Um dieses Problem zu lösen, wurde unter der Schirmherrschaft von FAPSI ein funktional vollständiger Satz zum kryptografischen Schutz vertraulicher Informationen entwickelt, mit dem die aufgeführten Aufgaben zum Schutz von Informationen für eine Vielzahl von Anwendungen und Nutzungsbedingungen gelöst werden können.
Dieser Komplex basiert auf den kryptografischen Kernen „Verba“ (System asymmetrischer Schlüssel) und „Verba-O“ (System symmetrischer Schlüssel). Diese Kryptokerne bieten Datenverschlüsselungsverfahren gemäß den Anforderungen von GOST 28147-89 „Informationsverarbeitungssysteme.
Kryptografischer Schutz" und digitale Signatur gemäß den Anforderungen von GOST R34.10-94 "Informationstechnologie. Kryptographischer Schutz von Informationen. Verfahren zur Entwicklung und Verifizierung einer elektronischen digitalen Signatur basierend auf einem asymmetrischen kryptographischen Algorithmus.
Die im CIPF-Komplex enthaltenen Tools ermöglichen Ihnen den Schutz elektronischer Dokumente und Informationsflüsse durch zertifizierte Verschlüsselungs- und elektronische Signaturmechanismen in fast allen modernen Informationstechnologien, einschließlich der folgenden: Verwendung von CIPF im Offline-Modus;
sicherer Informationsaustausch im Offline-Modus; sicherer Informationsaustausch im Online-Modus; geschützt heterogen, d.h. gemischter Informationsaustausch.
Um systemische Probleme bei der Verwendung kryptografischer Informationsschutzwerkzeuge zu lösen, wurde unter der Leitung von D. A. Starovoitov die komplexe kryptografische Informationsschutztechnologie Vityaz entwickelt, die den kryptografischen Datenschutz in allen Teilen des Systems gleichzeitig gewährleistet: nicht nur in Kommunikationskanälen und Systemknoten, aber auch direkt an Benutzerarbeitsplätzen bei der Erstellung eines Dokuments, wenn das Dokument selbst geschützt ist. Darüber hinaus wird im Rahmen der allgemeinen Vityaz-Technologie eine vereinfachte, leicht zugängliche Technologie zum Einbetten von lizenzierten CIPFs in verschiedene Anwendungssysteme für Benutzer bereitgestellt, was den Einsatz dieser CIPFs sehr breit macht.
Nachfolgend finden Sie eine Beschreibung der Mittel und Methoden des Schutzes für jeden der aufgeführten Modi.
Verwendung von CIPF offline.
Beim autonomen Arbeiten mit CIPF können die folgenden Arten des Schutzes kryptografischer Informationen implementiert werden: Erstellung eines geschützten Dokuments; Dateischutz;
Erstellen eines sicheren Dateisystems; Erstellen eines sicheren logischen Laufwerks. Auf Wunsch des Benutzers können die folgenden Arten des kryptografischen Schutzes von Dokumenten (Dateien) implementiert werden:
Verschlüsselung eines Dokuments (einer Datei), die seinen Inhalt sowohl bei der Speicherung eines Dokuments (einer Datei) als auch bei der Übermittlung über Kommunikationskanäle oder per Kurier unzugänglich macht;
Entwicklung eines Insert-Imitators, der Kontrolle über die Integrität des Dokuments (Datei) bietet;
die Bildung eines EDS, das die Kontrolle der Integrität des Dokuments (der Datei) und die Authentifizierung der Person gewährleistet, die das Dokument (die Datei) unterzeichnet hat.
Dadurch wird aus dem geschützten Dokument (Datei) eine verschlüsselte Datei, die ggf. ein EDS enthält. Die digitale Signatur kann je nach Organisation des Inauch durch eine vom signierten Dokument getrennte Datei repräsentiert werden. Ferner kann diese Datei auf eine Diskette oder ein anderes Medium ausgegeben werden, um per Kurier geliefert zu werden, oder durch jede verfügbare E-Mail, beispielsweise über das Internet, gesendet werden.
Dementsprechend werden beim Empfang einer verschlüsselten Datei per E-Mail oder auf einem bestimmten Medium die durchgeführten kryptografischen Schutzaktionen in umgekehrter Reihenfolge durchgeführt (Entschlüsselung, Überprüfung der imitierten Einfügung, Überprüfung der digitalen Signatur).
Die folgenden zertifizierten Tools können verwendet werden, um autonom mit CIPF zu arbeiten:
Texteditor „Lexicon-Verba“, implementiert auf Basis von CIPF „Verba-O“ und CIPF „Verba“;
CIPF-Softwarekomplex „Autonomous Workplace“, implementiert auf Basis von CIPF „Verba“ und „Verba-O“ für Windows 95/98/NT;
kryptographischer Plattentreiber PTS "DiskGuard".
Geschützte Textverarbeitung "Lexicon-Verba".
Das Lexicon-Verba-System ist ein voll ausgestatteter Texteditor mit Unterstützung für Dokumentenverschlüsselung und elektronische digitale Signatur. Zum Schutz von Dokumenten werden die kryptografischen Systeme Verba und Verba-O verwendet. Die Einzigartigkeit dieses Produkts liegt darin, dass die Funktionen der Verschlüsselung und der Textsignierung einfach in die Funktionen eines modernen Texteditors aufgenommen werden. Das Verschlüsseln und Signieren des Dokuments wird in diesem Fall von speziellen Prozessen zu einfachen Standardaktionen bei der Arbeit mit einem Dokument.
Gleichzeitig sieht das Lexicon-Verba-System wie ein normaler Texteditor aus. Zu den Textformatierungsoptionen gehören die vollständige Anpassung von Dokumentschriftarten und -absätzen; Tabellen und Listen; Fußzeilen, Fußnoten, Seitenleisten; die Verwendung von Stilen und vielen weiteren Funktionen eines Texteditors, der modernen Anforderungen gerecht wird. "Lexicon-Verba" ermöglicht das Erstellen und Bearbeiten von Dokumenten in den Formaten Lexicon, RTF, MS Word 6/95/97, MS Write.
Selbstständiger Arbeitsplatz.
Das CIPF „Autonomous Workplace“ ist auf Basis des CIPF „Verba“ und „Verba-O“ für Windows 95/98/NT implementiert und ermöglicht dem Benutzer die Ausführung der folgenden Funktionen im interaktiven Modus:
Verschlüsselung / Entschlüsselung von Dateien auf Schlüsseln; Verschlüsselung / Entschlüsselung von Dateien mit einem Passwort; Anbringen/Entfernen/Verifizieren elektronischer digitaler Signaturen (EDS) unter Akten;
verschlüsselte Dateien überprüfen;
EDS-Anbringung + Verschlüsselung (in einem Arbeitsgang) von Dateien; Entschlüsselung + Entfernung von EDS (in einer Aktion) unter Dateien;
Hash-Datei-Berechnung.
CIPF „Autonomous Workplace“ ist ratsam für die tägliche Arbeit von Mitarbeitern, die Folgendes bereitstellen müssen:
Übertragung vertraulicher Informationen in elektronischer Form per Kurier oder Kurier;
Versenden vertraulicher Informationen über ein öffentliches Netz, einschließlich Internet;
Schutz vor unbefugtem Zugriff auf vertrauliche Informationen auf Personalcomputern von Mitarbeitern.
Waleri Konjawski
Wissenschaftlicher Betreuer des VNIIPVTI,
Wissenschaftlicher Berater OKB SAPR
Jede Operation mit einer Zufallszahl ergibt eine Zufallszahl. Eine zufällige Sequenz, die dem Klartext hinzugefügt wird, ergibt einen zufälligen Kryptotext. Je besser die Gamma-Qualität, desto geringer die Chance, den Kryptotext zu entziffern. Wenn das Gamma wirklich zufällig ist, kann der Kryptotext nicht entschlüsselt werden.
Vernam-Chiffre
Mittel zum Schutz kryptografischer Informationen (CIPF) können in Mittel zur Verschlüsselung und Mittel zur elektronischen Signatur (SES) unterteilt werden.
Es war nicht sehr praktisch und ziemlich teuer, die Reichweite in Form von riesigen Rollen Lochstreifen zu übertragen. Daher gab es manchmal Probleme mit der Wiederverwendung und folglich mit dem Durchsickern wichtiger Informationen.
Um keine Lochstreifenspulen über teure Kanäle zu übertragen, entwickelten sie Möglichkeiten, aus einem zufälligen, aber kurzen Schlüssel einen langen Farbraum zu generieren. Damals war es einfacher, einen kurzen Zufallsschlüssel zu übertragen als einen langen.
Zertifiziert CIPF
Mit dem Aufkommen moderner Speichermedien hat sich die Situation dramatisch geändert, und jetzt ist es kein Problem, Gigabyte Gamma zu produzieren und zu übertragen - wenn nur die DFS gut wäre. Software-Pseudo-Random-Sequence-Generatoren (PSP) können hier nur aus Verzweiflung verwendet werden, dass es keinen guten physikalischen Generator gibt.
Kryptographische Standards definieren Abfolgen von Operationen, die es ermöglichen, auf der Grundlage eines guten Schlüssels sicher verschlüsselten Klartext zu erhalten. Gleichzeitig müssen die Tasten noch auf gute Sensoren gestellt werden.
Der Regulator gibt die Regeln vor, Prüflabore prüfen, ob die Anforderungen an Operationen, Schlüssel und die Beeinflussungsfreiheit dieser Prozesse durch andere Prozesse erfüllt sind – so sehen zertifizierte kryptographische Informationsschutzwerkzeuge aus.
Verschlüsselung und elektronische Signatur
Gamma muss die folgenden Eigenschaften haben:
- wirklich zufällig sein, das heißt, durch physikalische, analoge und nicht digitale Prozesse gebildet;
- der Größe des angegebenen Klartextes entsprechen oder diese überschreiten;
- nur einmal auf jede Nachricht angewendet und dann verworfen.
Eine solche Chiffre wird als Vernam-Chiffre bezeichnet und ist die einzige Chiffre mit absoluter kryptografischer Stärke. Seine Stärke muss man heute nicht beweisen, wie es K. Shannon bereits 1945 getan hat. Die große Länge des Gammas, seine Entstehung auf Basis physikalischer Prozesse und die garantierte Zerstörung – das sind die Voraussetzungen für die Stärke der Chiffre.
Die Verschlüsselung ist notwendig, um sicherzustellen, dass nur diejenigen Zugriff auf die Informationen haben, die auf die Informationen zugreifen können. EP wird verwendet, um den Willen einer Person festzulegen. Und wenn das CIPF kryptografische Transformationen in einer verifizierten Umgebung korrekt durchführen muss, dann reicht das für eine elektronische Signatur nicht aus. Es müssen alle Maßnahmen ergriffen werden, um dies zu gewährleisten freier Wille einer Person. Darauf zielt FZ-63 ab, weshalb eine seiner wichtigsten Anforderungen die Anforderung an die korrekte Visualisierung des Dokuments ist, das die Person unterzeichnet. So kommen im Gegensatz zum CIPF für qualifizierte SES Prüfungen von Visualisierungstools hinzu. Natürlich werden auch alle notwendigen Prüfungen kryptografischer Algorithmen durchgeführt.
Bei der Analyse des einen oder anderen ES-Schemas stellt sich normalerweise die Frage wie folgt: "Ist es möglich, schnell zwei verschiedene (sinnvolle) Nachrichten mit demselben ES aufzugreifen?" Die Antwort hier ist normalerweise negativ. Wird eine gute Hash-Funktion verwendet, für die kein effizienter Kollisionsmechanismus gefunden wurde, ist ein solcher Angriff fast immer zum Scheitern verurteilt. Mikhail Gruntovich (siehe S. 48) stellte die Frage anders: "Ist es möglich, bei zwei Nachrichten die Signaturschlüssel so zu wählen, dass die ES übereinstimmen?". Und es stellte sich als sehr einfach heraus!
Gruntovich-Angriff
Die konkreten Bedingungen für die Durchführung dieses Angriffs betrachten wir (in stark vereinfachter Form) am Beispiel einer Signatur nach dem ElGamal-Schema. Der Glaube an die Stabilität dieses Schemas basiert auf der (hypothetischen) Komplexität des Problems des diskreten Logarithmus, aber es ist nicht das Problem der diskreten Mathematik, das hier angegriffen wird.
CIPF muss Hardware sein. Sie müssen einen physischen RNG der erforderlichen Qualität enthalten und sicherstellen, dass nicht nur der Signaturschlüssel, sondern auch andere kryptografische Elemente, die die Stärke der Algorithmen beeinflussen, nicht extrahiert werden.
Führen wir die folgende Notation ein:
- H ist eine kryptographische Hash-Funktion;
Zn ist eine Menge von Zahlen (0,1, …, n - 1), n ist eine natürliche Zahl;
a (mod p) ist der Rest der Division einer ganzen Zahl a durch eine natürliche Zahl p.
Für das ElGamal-Signaturgenerierungsschema:
- eine Primzahl p mit ausreichender Kapazität ist festgelegt und g ist ein primitives Element mod p;
- der private Schlüssel der Signatur ist eine beliebige Zahl x aus Zp.
Berechnung der Nachrichtensignatur m:
- der Hash-Code h = H(m) wird berechnet;
- eine zufällige Zahl k wird teilerfremd mit p - 1: 1 gewählt< k < p - 1;
- r = g k (mod p) wird berechnet;
- s = k – 1 (h – xr) (mod p – 1) wird berechnet;
- die Signatur ist das Paar c = (r, s).
Schauen wir uns nun an, was ein Angreifer tun muss, um einen Angriff zu implementieren. Es sollte Hash-Codes generieren:
- h 1 \u003d H (m 1), h 2 \u003d H (m 2)
und übereinstimmende Signaturen mit derselben Zufallszahl k:
- s = k –1 (h 1 – x 1 r)(mod p – 1) und
s \u003d k -1 (h 2 - x 2 r) (mod p - 1).
Und das bedeutet:
h 1 - x 1 r (mod p - 1) = h 2 - x 2 r (mod p - 1).
Einige Funktionen, auf die Sie bei der Verwendung von SKZI achten sollten.
1. Wenn die Dokumentation für das CIPF angibt, in welchem Betriebssystem es verwendet werden kann, dann ist es notwendig, es in diesem System zu verwenden. Andernfalls müssen Sie, selbst wenn das CIPF funktioniert, immer noch nachforschen, ob es richtig ist, das bekannte CIPF in die neue Umgebung einzubetten. Dies ist (relativ) nicht schwierig für Hardware-CIPF, aber ziemlich schwierig für Software.
2. Wenn das Hardware-Kryptographie-Informationsschutzsystem keinen verifizierten DSC hat und es keine bewährten Selbsttest-Tools gibt (andernfalls kann es nicht in kryptographischen Informationsschutz-Tools sein, die auf universellen Chipkarten-Mikroschaltungen hergestellt werden), dann achten Sie auf die Dokumente zur Einbettung und Betrieb. Da irgendwo Entropie hinzugefügt werden muss und Tests durchgeführt werden müssen, kann sich herausstellen, dass dieses CIPF für eine sehr kurze Zeit, beispielsweise zwei oder drei Tage, autonom verwendet werden kann. Dies ist nicht immer bequem.
3. Wenn Ihnen ein Token angeboten wird und es heißt, dass es nach der Klasse KS2 und höher zertifiziert ist, glauben Sie es nicht. Höchstwahrscheinlich gibt es in der Dokumentation eine Anforderung, dieses Token in einer Umgebung zu verwenden, die durch ein elektronisches Schloss geschützt ist. Ohne dies ist die Klasse nicht höher als CC1.
Wie Sie sehen können, stimmen die Signaturen überein, wenn Sie die Schlüssel x 1 und x 2 so wählen, dass die obige Bedingung erfüllt ist, obwohl die signierten Nachrichten unterschiedlich sind! Beachten Sie, dass zur Berechnung von x 2 aus einem bekannten x 1 die erforderlichen Berechnungen im Vergleich zum Problem des subexponentiellen diskreten Logarithmus minimal sind.
Allerdings ist nicht alles so gruselig. Tatsache ist, dass die erhaltenen Ergebnisse die in keiner Weise diskreditieren kryptographische Stärke von EP. Sie zeigen das Potenzial für Schwachstellen falsche Anwendung EP-Mechanismen.
Dieses Beispiel demonstriert deutlich die Schwachstellen, die entstehen, wenn das CIPF falsch implementiert wird. Der beschriebene Angriff ist möglich, wenn der Benutzer seinen Signaturschlüssel kennt und eine Zufallszahl herausfinden kann.
Es gibt einen radikalen Weg, mit Angriffen dieser Art umzugehen – dafür brauchen Sie nur ein Gerät, in dem:
- ein Signaturschlüssel wird generiert;
- der Signaturprüfschlüssel wird berechnet;
- der öffentliche Schlüssel wird exportiert, auch zur Zertifizierung in einer Zertifizierungsstelle;
- der Signaturschlüssel wird nur geräteintern zum Generieren der EU verwendet, ein Export ist nicht möglich! In jüngerer Zeit wurden solche Vorrichtungen als nicht entfernbare Schlüsselvorrichtungen bezeichnet;
- Die Zufallszahl erscheint niemals in der Computerumgebung, sie wird generiert und zerstört, nachdem sie im Gerät angewendet wurde.
Von hier aus ist klar, dass die zuverlässigere Option EPS und CIPF ist, die in Form von Geräten hergestellt werden. In diesem Fall kann die ausreichende Qualität des RNG und die Zuverlässigkeit der Speicherung des Signaturschlüssels sichergestellt werden.
Verschlüsselung
Lassen Sie uns nun zur Verschlüsselung zurückkehren und darüber sprechen, wann und warum sie sowohl von natürlichen als auch von juristischen Personen verwendet werden sollte.
Lassen Sie uns zunächst die Hauptarten der Verschlüsselung herausgreifen, und zwar Abonnent und Kanal. Wie aus den Namen hervorgeht, verschlüsselt der Teilnehmer bei der Teilnehmerverschlüsselung zunächst die Informationen (Datei, Dokument) und überträgt sie dann in geschlossener Form an den Kanal. Bei der Kanalverschlüsselung wird der Kanal selbst durch kryptografische Verfahren geschützt, und der Teilnehmer muss sich nicht um das Verschlüsseln von Informationen kümmern, bevor sie über den Kanal übertragen werden. Wenn der Kanal eine Punkt-zu-Punkt-Verbindung ist, werden Kanalverwürfler verwendet. Wenn der Kanal keine Kabel sind, sondern eine aktive Struktur wie das Internet, dann muss nicht alles verschlüsselt werden, sondern nur Daten. Adressen dürfen nicht verfälscht werden, sonst kommen die Pakete einfach nicht beim Adressaten an. Hier kommen virtuelle private Netzwerke (VPNs) ins Spiel. Die bekanntesten Protokolle sind IPsec und SSL. Fast alle VPNs auf dem Markt implementieren eines dieser Protokolle.
VPN
Um sich bewusst für das eine oder andere Tool zu entscheiden, müssen Sie verstehen, wie sie sich unterscheiden und auf welche Schwierigkeiten Sie beim Betrieb dieser Tools stoßen werden. Hier sind die Mindestanforderungen, die Sie beachten sollten:
- Der kryptografische Schutz von Kanälen sollte verwendet werden, wenn die Gefahr besteht, dass die von Ihnen übertragenen Daten für den Eindringling so interessant sind, dass er dem Kanal beitritt und beginnt, Ihren gesamten Austausch zu "lauschen". Natürlich müssen Sie mit dem Schützen von Kanälen beginnen, nachdem das interne Netzwerk zuverlässig geschützt ist, da ein Insider normalerweise billiger ist als ein Angriff auf einen Kanal. 1 beide Protokolle - diese Protokolle sind nicht für die Interaktion mit Clients, sondern mit Netzwerken konzipiert, daher sind sie schwer zu konfigurieren. Daher sind Netzwerksicherheitskontrollen kritisch und sollten zuerst ausgewählt werden;
- Im TCP/IP-Protokollstapel arbeitet IPsec auf der IP-Schicht, während SSL auf der TCP-Schicht arbeitet. Das heißt, wenn IPsec Schutz eher auf Systemebene bietet, dann SSL - auf Anwendungsebene. Da IPsec viel "niedriger" arbeitet, "kapselt" es damit eine viel größere Anzahl von Protokollen im Schutzbereich ein als SSL, was natürlich besser ist;
- Wenn Sie ein VPN betreiben, ist Ihr Hauptanliegen die Schlüsselverwaltung. Schlüssel müssen zeitnah ausgegeben, geändert, kurzum verwaltet werden. Jedes CIPF hat sein eigenes Schlüsselerzeugungs- und Verwaltungssystem. Wenn Sie bereits ein Schlüsselsystem im Einsatz haben, verwenden Sie es weiterhin. Starten Sie keinen "Zoo" - es ist schwierig, auch nur ein System oder sogar mehrere zu warten - eine fast unerträgliche Aufgabe;
- Wenn Ihre Aufgabe darin besteht, die Aktivität vieler im Weltraum verteilter Informationsobjekte sicherzustellen, verwenden Sie VPN. Dies gilt nur für solche Objekte, zwischen denen ein intensiver Informationsaustausch durch geschützte Daten stattfindet, die für den Eindringling möglicherweise so interessant sind, dass er bereit ist, die Kanäle zu "lauschen". Wenn nicht alles so läuft, versuchen Sie, sich auf den Schutz kryptografischer Informationen von Abonnenten zu beschränken.
Abonnent CIPF
Sie sind nicht durch (durch Standards definierte) Algorithmen gekennzeichnet, sondern durch Dienstprogramme, die die Verwendung dieser CIPFs ermöglichen, und durch die Bedingungen, die erfüllt werden müssen. Es ist wünschenswert, dass die Verwendung dieser Tools bequem war.
Und vor allem - denken Sie an die ausreichende Schutzausrüstung. Es besteht keine Notwendigkeit, teure CIPF zu verwenden, wo Sie darauf verzichten können.
Und noch etwas: Es gibt CIPF und SEP, die alle Anforderungen erfüllen, die wir besprochen haben. Bis Klasse KV2. Ich nenne sie nicht nur, damit der Artikel nicht zur Werbung wird.
Literatur
- Konyavsky V.A. Computerkriminalität. T.II. -M., 2008.
- Jaschtschenko V.V. Einführung in die Kryptographie. Neue mathematische Disziplinen. -M., 2001.
Kommentieren...
Alexey, guten Tag!
In der Antwort des 8. Zentrums wird nichts über die Notwendigkeit angegeben, zertifizierte kryptografische Informationsschutzwerkzeuge zu verwenden. Aber es gibt "Methodische Empfehlungen ...", die von der Leitung des 8. Zentrums des FSB Russlands vom 31. März 2015 Nr. 149/7/2/6-432 genehmigt wurden, in denen es im zweiten einen solchen Absatz gibt Teil:
Um die Sicherheit personenbezogener Daten während ihrer Verarbeitung in ISPD zu gewährleisten, sollten CIPF verwendet werden, die das Konformitätsbewertungsverfahren in der vorgeschriebenen Weise bestanden haben. Die Liste der vom FSB Russlands zertifizierten CIPF wird auf der offiziellen Website des Zentrums für Lizenzierung, Zertifizierung und Schutz von Staatsgeheimnissen des FSB Russlands (www.clsz.fsb.ru) veröffentlicht. Es wird empfohlen, zusätzliche Informationen über spezifische Informationssicherheitstools direkt von den Entwicklern oder Herstellern dieser Tools und gegebenenfalls von spezialisierten Organisationen zu erhalten, die Fallstudien zu diesen Tools durchgeführt haben;
Warum ist dies keine Voraussetzung für die Verwendung von zertifiziertem CIPF?
Es gibt eine Anordnung des FSB Russlands vom 10. Juli 2014 Nr. 378, in der in Absatz 5 Unterabsatz "d" heißt: "Die Verwendung von Informationssicherheitsinstrumenten, die das Verfahren zur Bewertung der Einhaltung der Anforderungen der Gesetzgebung bestanden haben der Russischen Föderation auf dem Gebiet der Informationssicherheit, falls der Einsatz solcher Tools erforderlich ist, um aktuelle Bedrohungen zu neutralisieren."
Etwas verwirrend ist dies, "wenn der Einsatz solcher Mittel notwendig ist, um tatsächliche Bedrohungen zu neutralisieren". Aber all diese Notwendigkeiten sollten im Eindringlingsmodell beschrieben werden.
Aber auch in diesem Fall wird in Abschnitt 3 der „Methodenempfehlungen ...“ von 2015 darauf hingewiesen, dass „bei der Verwendung von Kommunikationskanälen (Leitungen), von denen es unmöglich ist, die darüber übertragenen geschützten Informationen abzufangen und (oder ), in denen es unmöglich ist, unbefugte Handlungen an diesen Informationen vorzunehmen, muss in der allgemeinen Beschreibung der Informationssysteme Folgendes angegeben werden:
- Beschreibung von Methoden und Mitteln zum Schutz dieser Kanäle vor unbefugtem Zugriff darauf;
- Schlussfolgerungen auf der Grundlage der Ergebnisse von Studien zur Sicherheit dieser Kommunikationskanäle (Leitungen) vor unbefugtem Zugriff auf die über sie übertragenen geschützten Informationen durch eine Organisation, die zur Durchführung solcher Studien berechtigt ist, unter Bezugnahme auf das Dokument, das diese Schlussfolgerungen enthält.
Ich mache das alles wofür - ja, es besteht keine Notwendigkeit, kryptografischen Informationsschutz immer und überall zu verwenden und gleichzeitig die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Aber dazu ist es notwendig, ein Modell des Übertreters zu bilden, wo all dies beschrieben und bewiesen wird. Sie haben über zwei Fälle geschrieben, in denen Sie sie verwenden müssen. Aber die Tatsache, dass Sie, um die Sicherheit der Verarbeitung von PD über offene Kommunikationskanäle zu gewährleisten, oder wenn die Verarbeitung dieser PD über die Grenzen der kontrollierten Zone hinausgeht, nicht zertifizierte kryptografische Informationsschutzwerkzeuge verwenden können, ist nicht so einfach. Und es kann vorkommen, dass es einfacher ist, zertifizierte Tools zum Schutz kryptografischer Informationen zu verwenden und alle Anforderungen während ihres Betriebs und ihrer Speicherung einzuhalten, als nicht zertifizierte Mittel zu verwenden und sich mit der Regulierungsbehörde zu streiten, die sich angesichts einer solchen Situation sehr bemühen wird, zu stochern seine Nase.
unbekannte Kommentare...Der Fall, wenn der Einsatz solcher Mittel erforderlich ist, um aktuelle Bedrohungen zu neutralisieren: die Anforderung des Beschlusses des FSTEC von Russland Nr. 17 vom 11. Februar 2013 (Anforderungen an staatliche und kommunale ISPDs),
Klausel 11. Um den Schutz der im Informationssystem enthaltenen Informationen zu gewährleisten, werden Informationssicherheitstools verwendet, die die Konformitätsbewertung in Form einer obligatorischen Zertifizierung für die Einhaltung der Infogemäß Artikel 5 des Bundesgesetzes Nr. 184-FZ bestanden haben vom 27. Dezember 2002 „Zur technischen Regulierung“.
Alexey Lukatsky kommentiert...Proximo: Empfehlungen des FSB sind illegitim. Die Verordnung 378 ist legitim, muss aber im Zusammenhang mit allen Rechtsvorschriften betrachtet werden, und sie besagt, dass die Einzelheiten der Konformitätsbewertung von der Regierung oder dem Präsidenten festgelegt werden. Weder die eine noch die andere solche NPA hat t nicht veröffentlicht
Alexey Lukatsky kommentiert...Anton: Im Staat ist die Zertifizierungspflicht gesetzlich verankert, die 17. Verordnung wiederholt sie einfach. Und wir sprechen über PDN
unbekannte Kommentare...Alexey Lukatsky: Nein. FSB-Empfehlungen sind illegitim "Wie illegitim? Ich spreche über das Dokument vom 19.05.2015 Nr. %40fsbResearchart.html), aber nicht über das Dokument vom 21. Februar 2008 Nr. 149/54- 144.
Zu einem ähnlichen Thema hatte zuvor auch ein anderer Fachmann eine Anfrage an den FSB gestellt, und ihm wurde mitgeteilt, dass die „Methodology …“ und „Recommendations …“ des FSB von 2008 nicht verwendet werden sollten, wenn Sie über diese Dokumente sprechen . Aber auch diese Dokumente wurden nicht offiziell storniert. Und ob diese Dokumente legitim sind oder nicht, wird meiner Meinung nach von den Inspektoren des FSB bereits während der Inspektion entschieden.
Das Gesetz sagt, dass Sie PD schützen müssen. Verordnungen der Regierung, des FSB und des FSTEC legen genau fest, wie sie geschützt werden müssen. Die NPA des FSB sagt: „Zertifiziert verwenden. Wenn Sie keine Zertifizierung wünschen, weisen Sie nach, dass Sie sie verwenden können. Irgendwie so...
Alexey Lukatsky kommentiert...1. Jede Empfehlung ist eine Empfehlung, keine zwingende Anforderung.
2. Das Handbuch von 2015 hat nichts mit PD-Betreibern zu tun – es gilt für Staaten, die Bedrohungsmodelle für nachgeordnete Institutionen schreiben (vorbehaltlich Satz 1).
3. Der FSB ist nicht berechtigt, kommerzielle Betreiber von PD zu überprüfen, und für Regierungen lohnt sich das Problem der Verwendung von nicht zertifiziertem kryptografischem Informationsschutz nicht – sie sind verpflichtet, unabhängig vom Vorhandensein von PD zertifizierte Lösungen zu verwenden – dies sind die Anforderungen von FZ-149.
4. Statuten sagen, wie man sich schützt, und das ist in Ordnung. Sie können jedoch nicht die Form der Bewertung von Abhilfemaßnahmen bestimmen – dies kann nur von der NPA der Regierung oder dem Präsidenten vorgenommen werden. Hierzu ist FSB nicht befugt
Gemäß Verordnung 1119:
4. Die Auswahl der Infür das System zum Schutz personenbezogener Daten erfolgt durch den Betreiber in Übereinstimmung mit den vom Föderalen Sicherheitsdienst der Russischen Föderation und dem Föderalen Dienst für technische und Exportkontrolle gemäß Teil 4 erlassenen Rechtsakten von Artikel 19 des Bundesgesetzes "Über personenbezogene Daten".
13.j. Die Verwendung von Informationssicherheitstools, die das Verfahren zur Bewertung der Einhaltung der Anforderungen der Gesetzgebung der Russischen Föderation im Bereich der Informationssicherheit bestanden haben, wenn die Verwendung solcher Tools zur Neutralisierung aktueller Bedrohungen erforderlich ist.
Wie kann die Nichtrelevanz der Bedrohung bei der Übertragung von PD über die Kanäle des Telekommunikationsbetreibers begründet werden?
Diese. wenn nicht SKZI, dann anscheinend
- Terminalzugriff und Thin Clients, aber gleichzeitig Daten des Informationssicherheitssystems des Terminals
Der Zugang muss zertifiziert sein.
- Schutz der Kanäle durch den Telekom-Betreiber, Verantwortung beim Telekom-Betreiber (Provider).
Irrelevanz wird vom Betreiber bestimmt und er braucht dafür niemanden
Die Verwendung von kryptografischen Schutzmitteln (CIPF) ist ein sehr zweideutiges und schlüpfriges Thema. Der PD-Betreiber hat jedoch das Recht, im Falle tatsächlicher Bedrohungen CIPF anzuwenden, um Schutz zu gewährleisten. Aber es ist nicht immer klar, wie man von diesem Recht Gebrauch macht. Und jetzt macht der FSB das Leben einfacher, ein Dokument mit methodischen Empfehlungen, das sowohl für staatliche IS als auch für alle anderen PD-Betreiber gilt, wurde veröffentlicht. Schauen wir uns dieses Dokument genauer an.
Und so geschah es, das 8. Zentrum des FSB postete Beschreibung von Empfehlungen im Bereich der Entwicklung von Regulierungsrechtsakten zum Schutz von PD. Gleichzeitig wird empfohlen, dasselbe Dokument von ISPD-Betreibern bei der Entwicklung bestimmter Bedrohungsmodelle zu verwenden.
Was denkt der FSB also darüber, wie und wo CIPF anzuwenden ist?
Es ist wichtig genug, dass dieses Dokument nur auf der FSB-Website veröffentlicht wird,hat keine Anmeldungim Justizministerium uträgt keine UnterschriftUnd- das heißt, seine rechtliche Bedeutung und Verbindlichkeit bleibt innerhalb der Richtlinien. Es ist wichtig, sich daran zu erinnern.
Schauen wir hinein, die Präambel des Dokuments definiert diese Empfehlungen „für föderale Exekutivbehörden … andere staatliche Stellen … die … Rechtsvorschriften erlassen, die Bedrohungen für die Sicherheit personenbezogener Daten definieren, die bei der Verarbeitung personenbezogener Daten in Informationssystemen für personenbezogene Daten relevant sind (im Folgenden als ISPD bezeichnet) bei der Durchführung relevanter Aktivitäten betrieben". Diese. Auf staatliche Informationssysteme wird ausdrücklich verwiesen.
Gleichzeitig ist es jedoch auch ratsam, sich an diesen gleichen Normen zu orientieren, an der Entwicklung Private Bedrohungsmodelle Betreiber von Informationssystemen mit personenbezogenen Daten, die eine Entscheidung über die Verwendung von Mitteln getroffen haben kryptografischer Informationsschutz(im Folgenden CIPF genannt), um die Sicherheit personenbezogener Daten zu gewährleisten“. Diese. das Dokument wird in diesem Fall universell für alle Benutzer.
Wann ist es notwendig, SKZI zu verwenden?
Die Verwendung von CIPF zur Gewährleistung der Sicherheit personenbezogener Daten ist in den folgenden Fällen erforderlich:
- wenn personenbezogene Daten gemäß der Gesetzgebung der Russischen Föderation kryptografischem Schutz unterliegen;
- wenn es Bedrohungen im Informationssystem gibt, die nur mit Hilfe von CIPF neutralisiert werden können.
- Übertragung personenbezogener Daten über Kommunikationskanäle, die nicht vor dem Abhören der darüber übermittelten Informationen durch den Täter oder vor unbefugter Beeinflussung dieser Informationen geschützt sind (z. B. bei der Übertragung personenbezogener Daten über öffentliche Informations- und Telekommunikationsnetze);
- Speicherung personenbezogener Daten auf Datenträgern, deren unbefugter Zugriff durch den Verletzer nicht mit nicht kryptographischen Verfahren und Methoden ausgeschlossen werden kann.
Und da kommen wir hin. Wenn der zweite Punkt auch ganz logisch ist, dann ist der erste nicht so offensichtlich. Tatsache ist, dass nach der aktuellen Fassung des Gesetzes „Über personenbezogene Daten“ Name, Nachname und Patronym sind bereits personenbezogene Daten. Dementsprechend fällt jede Korrespondenz oder Registrierung auf der Website (unter Berücksichtigung, wie viele Daten derzeit während der Registrierung erforderlich sind) formal unter diese Definition.
Aber wie sagt man so schön, es gibt keine Regeln ohne Ausnahmen. Am Ende des Dokuments befinden sich zwei Tabellen. Hier ist nur eine Zeile Anwendung Nr. 1.
Aktuelle Bedrohung:
1.1. Ausführen eines Angriffs innerhalb der kontrollierten Zone.
Abwesenheitsgrund (Liste etwas gekürzt):
- Mitarbeiter, die Benutzer von ISPD, aber keine Benutzer von CIPF sind, werden über die Arbeitsregeln in ISPD und die Verantwortung für die Nichteinhaltung der Regeln zur Gewährleistung der Informationssicherheit informiert;
- CIPF-Benutzer werden über die Regeln für die Arbeit in ISPD, die Regeln für die Arbeit mit CIPF und die Verantwortung für die Nichteinhaltung der Regeln zur Gewährleistung der Informationssicherheit informiert;
- die Räumlichkeiten, in denen sich das kryptografische Informationsschutzsystem befindet, mit Eingangstüren mit Schlössern ausgestattet sind, die sicherstellen, dass die Türen der Räumlichkeiten dauerhaft verschlossen sind und nur für den autorisierten Durchgang geöffnet werden;
- genehmigte die Regeln für den Zugang zu den Räumlichkeiten, in denen sich das CIPF befindet, während der Arbeitszeit und außerhalb der Arbeitszeit sowie in Notsituationen;
- eine Liste der Personen, die Zugang zu den Räumlichkeiten haben, in denen sich das CIPF befindet, genehmigt wurde;
- Differenzierung und Kontrolle des Benutzerzugriffs auf geschützte Ressourcen;
- Registrierung und Abrechnung von Benutzeraktionen mit PD;
auf Workstations und Servern, auf denen CIPF installiert ist:
zertifizierte Mittel zum Schutz von Informationen vor unbefugtem Zugriff verwendet werden;- Es werden zertifizierte Virenschutz-Tools verwendet.
Das heißt, wenn die Benutzer über die Regeln und Verantwortlichkeiten informiert sind und Schutzmaßnahmen angewendet werden, stellt sich heraus, dass es keinen Grund zur Sorge gibt.
- Um die Sicherheit personenbezogener Daten während ihrer Verarbeitung in ISPD zu gewährleisten, sollten kryptografische Informationsschutzwerkzeuge verwendet werden, die das Konformitätsbewertungsverfahren in der vorgeschriebenen Weise bestanden haben.
Zwar heißt es etwas weiter unten, dass eine Liste zertifizierter Tools zum Schutz kryptografischer Informationen auf der Website des TsLSZ FSB zu finden ist. Dass Konformitätsbewertung keine Zertifizierung ist, wurde immer wieder gesagt.
- in Ermangelung von CIPF-Konformitätsbewertungsverfahren, die gemäß dem festgelegten Verfahren bestanden wurden ... in der Phase eines vorläufigen Entwurfs oder Entwurfs (skizzentechnisches) Projekt der Entwickler des Informationssystems unter Beteiligung des Betreibers (befugte Person) und der vorgeschlagene CIPF-Entwickler erstellt eine Begründung für die Zweckmäßigkeit der Entwicklung eines neuen Typs von CIPF und bestimmt die Anforderungen an seine funktionellen Eigenschaften.
Es gefällt wirklich. Die Sache ist die Zertifizierung Der Prozess ist sehr lang - bis zu sechs Monate oder länger. Oft verwenden Kunden die neuesten Betriebssysteme, die von der zertifizierten Version nicht unterstützt werden. Gemäß diesem Dokument können Kunden Produkte verwenden, die sich im Zertifizierungsprozess befinden.
In dem Dokument heißt es:
Bei der Verwendung von Kommunikationskanälen (Leitungen), von denen es unmöglich ist, die über sie übertragenen geschützten Informationen abzufangen und (oder) in denen es unmöglich ist, unbefugte Aktionen mit diesen Informationen durchzuführen, ist dies in der allgemeinen Beschreibung von Informationssystemen erforderlich angeben:
- Beschreibung von Methoden und Mitteln zum Schutz dieser Kanäle vor unbefugtem Zugriff darauf;
- Schlussfolgerungen auf der Grundlage der Ergebnisse von Studien zur Sicherheit dieser Kommunikationskanäle (Leitungen) vor unbefugtem Zugriff auf geschützte Informationen, die von einer zur Durchführung solcher Studien berechtigten Organisation über sie übertragen werden, unter Bezugnahme auf das Dokument, das diese Schlussfolgerungen enthält.
Die Anforderungen an die Informationssicherheit bei der Gestaltung von Informationssystemen geben die Merkmale an, die die eingesetzten Mittel des Informationsschutzes charakterisieren. Sie werden durch verschiedene Regulierungsgesetze im Bereich der Informationssicherheit definiert, insbesondere durch den FSTEC und den FSB Russlands. Welche Sicherheitsklassen es gibt, Arten und Arten von Schutzwerkzeugen sowie wo Sie mehr darüber erfahren können, spiegelt sich im Artikel wider.
Einführung
Heute stehen die Fragen der Gewährleistung der Informationssicherheit im Mittelpunkt der Aufmerksamkeit, da Technologien, die überall ohne Informationssicherheit eingeführt werden, zu einer Quelle neuer ernsthafter Probleme werden.
Der russische FSB berichtet über den Ernst der Lage: Die Schadenssumme, die Cyberkriminelle über mehrere Jahre weltweit angerichtet haben, reichte von 300 Milliarden bis zu 1 Billion Dollar. Nach Angaben des Generalstaatsanwalts der Russischen Föderation hat sich allein im ersten Halbjahr 2017 die Zahl der Straftaten im Bereich der Hochtechnologien in Russland versechsfacht, die Gesamtschadenssumme überstieg 18 Millionen US-Dollar bei gezielten Angriffen im Industriesektor wurde 2017 weltweit festgestellt . Insbesondere in Russland betrug der Anstieg der Angriffszahlen im Vergleich zu 2016 22 %.
Informationstechnologien wurden als Waffe für militärpolitische, terroristische Zwecke, zur Einmischung in die inneren Angelegenheiten souveräner Staaten sowie zur Begehung anderer Verbrechen eingesetzt. Die Russische Föderation steht für die Schaffung eines internationalen Informationssicherheitssystems.
Auf dem Territorium der Russischen Föderation sind Eigentümer von Informationen und Betreiber von Informationssystemen verpflichtet, Versuche des unbefugten Zugriffs auf Informationen zu blockieren und den Sicherheitszustand der IT-Infrastruktur laufend zu überwachen. Gleichzeitig wird der Informationsschutz durch verschiedene, auch technische Maßnahmen gewährleistet.
Informationssicherheitstools oder Informationssicherheitstools bieten Informationsschutz in Informationssystemen, die im Wesentlichen eine Kombination aus in Datenbanken gespeicherten Informationen, Informationstechnologien, die ihre Verarbeitung gewährleisten, und technischen Mitteln sind.
Moderne Informationssysteme sind durch die Verwendung verschiedener Hard- und Softwareplattformen, die territoriale Verteilung von Komponenten sowie das Zusammenspiel mit offenen Datenübertragungsnetzen gekennzeichnet.
Wie können Informationen unter solchen Bedingungen geschützt werden? Entsprechende Anforderungen werden von autorisierten Stellen gestellt, insbesondere dem FSTEC und dem FSB von Russland. Im Rahmen des Artikels werden wir versuchen, die wichtigsten Ansätze zur Klassifizierung von Infounter Berücksichtigung der Anforderungen dieser Regulierungsbehörden widerzuspiegeln. Andere Möglichkeiten zur Beschreibung der Klassifizierung von Informationssicherheitseinrichtungen, die sich in den Regulierungsdokumenten russischer Behörden sowie ausländischer Organisationen und Behörden widerspiegeln, gehen über den Rahmen dieses Artikels hinaus und werden nicht weiter betrachtet.
Der Artikel kann für Anfänger auf dem Gebiet der Informationssicherheit als Quelle strukturierter Informationen zu den Methoden zur Klassifizierung von Informationen zur Informationssicherheit auf der Grundlage der Anforderungen des FSTEC von Russland (in größerem Umfang) und kurz des FSB von Russland nützlich sein .
Die Struktur, die das Verfahren bestimmt und die Maßnahmen zur Bereitstellung nicht kryptografischer Methoden der Informationssicherheit koordiniert, ist die FSTEC Russlands (früher die Staatliche Technische Kommission unter dem Präsidenten der Russischen Föderation, die Staatliche Technische Kommission).
Wenn der Leser das staatliche Register der zertifizierten Informationssicherheitswerkzeuge sehen musste, das vom FSTEC Russlands gebildet wurde, dann hat er sicherlich darauf geachtet, dass im beschreibenden Teil des Zwecks der InSätze wie „Klasse RD SVT“, „Abwesenheitsgrad von NDV“ usw. (Abbildung 1) .
Abbildung 1. Ein Fragment des Registers zertifizierter Informationssicherheitseinrichtungen
Klassifizierung von kryptografischen Mitteln zum Schutz von Informationen
Der FSB von Russland definiert die folgenden Klassen kryptografischer Informationssicherheitstools: KS1, KS2, KS3, KB und KA.
Zu den Hauptmerkmalen der SZI-Klasse KS1 gehört ihre Fähigkeit, Angriffen von außerhalb der kontrollierten Zone zu widerstehen. Dies impliziert, dass die Erstellung von Angriffsmethoden, ihre Vorbereitung und Implementierung ohne die Beteiligung von Spezialisten für die Entwicklung und Analyse kryptografischer Infoerfolgt. Es wird davon ausgegangen, dass Informationen über das System, in dem diese Informationssicherheitstools verwendet werden, aus offenen Quellen bezogen werden können.
Wenn ein kryptographisches IPS Angriffen widerstehen kann, die mittels Klasse CS1 blockiert werden, sowie innerhalb einer kontrollierten Zone durchgeführt werden, dann entspricht ein solches IPS der Klasse CS2. Gleichzeitig wird beispielsweise davon ausgegangen, dass während der Vorbereitung eines Angriffs Informationen über physikalische Maßnahmen zum Schutz von Informationssystemen, Bereitstellung einer kontrollierten Zone usw. verfügbar werden könnten.
Wenn es möglich ist, Angriffen bei Vorhandensein von physischem Zugriff auf Computerausrüstung mit installierten kryptografischen Informationssicherheitstools zu widerstehen, sagen sie, dass solche Tools der CS3-Klasse entsprechen.
Wenn eine kryptografische InAngriffen widersteht, an deren Erstellung Spezialisten an der Entwicklung und Analyse dieser Tools beteiligt waren, einschließlich Forschungszentren, konnten Laborstudien zu Schutztools durchgeführt werden, dann sprechen wir über die Einhaltung der KV-Klasse.
Wenn Spezialisten auf dem Gebiet der Nutzung von NDV von Systemsoftware an der Entwicklung von Angriffsmethoden beteiligt waren, die entsprechende Entwurfsdokumentation verfügbar war und Zugriff auf beliebige Hardwarekomponenten kryptografischer Infobestand, kann ein Schutz vor solchen Angriffen bereitgestellt werden der KA-Klasse.
Klassifizierung von Schutzmitteln für elektronische Signaturen
Elektronische Signaturmittel werden je nach Widerstandsfähigkeit gegen Angriffe üblicherweise mit den folgenden Klassen verglichen: KS1, KS2, KS3, KB1, KB2 und KA1. Diese Klassifizierung ähnelt der oben in Bezug auf kryptografisches IPS diskutierten.
Schlussfolgerungen
Der Artikel betrachtete einige Methoden zur Klassifizierung der Informationssicherheit in Russland, die auf dem Regulierungsrahmen der Regulierungsbehörden im Bereich des Informationsschutzes basieren. Die betrachteten Einstufungsmöglichkeiten sind nicht erschöpfend. Dennoch hoffen wir, dass die präsentierten zusammenfassenden Informationen einem unerfahrenen Spezialisten auf dem Gebiet der Informationssicherheit eine schnelle Navigation ermöglichen.
