- •2. Гост р 50922. Зи. Основные термины и определения.
- •3. Средства электронной подписи (эп)
- •4. Средства кодирования (ручные шифры)
- •5. Средства изготовления ключевых документов.
- •6.Ключевые документы (независимо от вида носителя)
- •3. Гост р 507 39
- •4. Специальные требования и рекомендации по технической защите конфиденциальной информации (стр-к)
- •Часть1. Базовая модель.
- •Часть 1. Базовая модель
- •Часть 2. Архитектура системы защиты.
Часть 1. Базовая модель
Часть 2. Архитектура системы защиты.
Стандарт:
общее описание услуг и соответствие механизмов защиты, которые могут быть обеспечены эталонной моделью.
Определяет позиции в рамках эталонной модели, в которых могут обеспечиватсья услуги и механизмы защиты.
Услуги защиты:
аутентифакация
управление доступом
конфиденциальность данных
целостность данных
безотказность (неотказуемость)
Специальные механизмы защиты:
шифрование
механизм электронной подписи
Функции административного управления механизмами защиты:
административное управление криптографическими ключами
генерация соответствующих криптографических ключей в соизмеримом с требуемым уровнем защиты интервалом времени
определение в соответствии с требованиями к управлению доступа логических объектов, которые должны получить копию каждого ключа
распределение ключей по запросам объектов в реальной открытой система
Административное управление шифрованием:
взаимосвязь с административным управлением ключей
установка криптографических параметров
криптографическая синхронизация
Административное управление ЭП:
взаимосвязь с адмиристративным управлением ключами
установление криптографических параметров и алгоритмов
использование специальных протоколов между связанными логическим объектами и, вожможно, третьей стороны.
Основные документы, регламентирующие разработку и примеренение СКЗИ
Положение о лицензировании, разработке, производстве шифровальных (криптографических) средств защиты, с использованием шифровальных (криптографических) средств защиты информации и телекоммуникационных систем.
(Положение о лицензировании)
Положение о разработке, производстве, реализации и эксплуатации шифровальных средств защиты информации (Положение ПКЗ-2005)
Инструкция о организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ с ограниченным доступом, не содержащие сведений, составляющих государственную тайну.
Типовые требования по организации и обеспечению функционирования шифровальных средств, в предназначенных для ЗИ, не содержащих сведений, составляющих гос. Тайну, в случае их испытания для обеспечения безопасности ПД при их обработке в ИС ПД (Типовые требования)
Методические рекомендации ФСБ России “По обеспечению с помощью криптографических средств безопасности ПД при их обработке в ИС Пдн с использованием средств автоматизации”
Требования к средствам ЭП и требования к средствам УЦ.
Описание каждого документа
Определяет порядок лицензирования разработки и производства СКЗИ, информационных и телекоммуникационных систем, выполняющих работы, оказывающие услуги в области ЗИ, технического обслуживания СКЗИ и информационных и телекоммуникационных систем. Кроме случая, когда техническое обслуживание осуществляется для собственных нужд юр. Лица или индивидуального предпринимателя, не распространяется на разработку и производство:
портативных или мобильных радиотелефонов гражданского назначения, не имеющих функии сквозного шифрования;
приемной аппаратуры радиовещания, коммерческого телевидения или иной аппаратуры коммерческого типа для вещания на ограниченную аудиторию без шифрованного цифрового сигнала, в котором шифрование ограничивается функциями управления видео или аудиоканалами.
Применяемых только для банковских и финансовых операций СКЗИ в составе банкоматов, криптографические возможности которых не могут блыть изменены пользователями.
СКЗИ независимое от их назначения, реализующие симметричные криптоалгоритмы, и обладающие максимальной длиной криптографического ключа менее 40 бит, а также реализующих ассиметричные криптоалгоритмы, с макс. длиной ключа не больше 128 бит.
Регулирует отношения, возникшие при разработке, производстве, реализации и эксплуатации СКЗИ с ограниченным доступом, не содержащие сведений, составляющих гос. Тайну, то есть информацию конфиденциального характера.
Необходимо руководствоваться:
информация конфиденциального характера подлежит защите в соответствии с законодательством РФ;
криптографическая защита реализуется в федеральных органах исполнительной власти, органах исполнительной власти субъектов РФ, то есть в государственных органах
реализуется при выполнении работы для государсвтенных нужд, то есть при выполнении государственных заказов.
Обязательность ЗИ возлагается законодательством РФ на лиц, имеющих доступ к этой информации, наделенных полномочиями по распоряжению сведениями. Находящимися в данной информации.
Обработка информации, обладателем которой являются государственные органы или организации, выполняющие государственный заказ, в случае принятия ими мер по охране её конфиденциальности путем использования СКЗИ
при обработке информации конфиденциального характера в государсвтенных органах или в случае выполнения государственного заказа, когда обладатель информации охраняет её конфиденциальность с использованием СКЗИ.