Поледняя лекция Епишкиной
.pdfОценка влияния аппаратных, программно-аппаратных и программных средств сети
(системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований осуществляется разработчиком СКЗИ совместно со специализированной организацией.
Результаты тематических исследований и оценки влияния аппаратных, программноаппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований, а также опытные образцы СКЗИ и аппаратные, программно-аппаратные и программные средства, необходимые для штатного функционирования СКЗИ, передаются в ФСБ России для проведения экспертизы.
Аппаратные, программно-аппаратные и программные средства, необходимые для штатного функционирования СКЗИ, и опытные образцы СКЗИ для проведения тематических исследований и экспертизы передаются специализированной организации и ФСБ России на время выполнения указанных исследований.
Дальнейшее использование указанных опытных образцов СКЗИ и аппаратных, программно-
аппаратных и программных средств определяется заказчиком СКЗИ.
Порядок производства СКЗИ. Производство СКЗИ осуществляется в соответствии с техническими условиями, согласованными с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ.
Утверждение акта о завершении корректировки РКД на СКЗИ
Доработка опытных образцов по результатам испытаний штатного функционирования СКЗИ
Оценка соответствия опытных образцов СКЗИ требованиям по безопасности информации
Принятие решения о производстве СКЗИ
Производство СКЗИ осуществляется в соответствии с:
Техническими условиями, согласованными с ФСБ и специализированной организацией
Конструкцией и технологией изготовления опытных образцов СКЗИ
|
|
|
|
да |
Согласование с ФСБ и |
||
Изменения в конструкции |
специализированной |
||
организацией |
|||
СКЗИ? |
|||
|
|
||
|
|
|
|
нет
Производство ключевых документов
СКЗИ изготавливаются в полном соответствии с конструкцией и технологией изготовления опытных образцов СКЗИ, прошедших испытания на функционирование опытного образца СКЗИ в штатных режимах и имеющих положительное заключение экспертизы тематических исследований СКЗИ.
Производство ключевых документов с использованием внешней системы изготовления осуществляется с использованием программно-аппаратных средств, созданных разработчиком ключевых документов, в соответствии с технической, конструкторско-технологической и эксплуатационной документацией при наличии положительного заключения ФСБ России о соответствии изготавливаемых с использованием данной системы ключевых документов заданным требованиям по безопасности информации.
Порядок реализации (распространения) СКЗИ. Реализация (распространение) СКЗИ и
(или) рабочей конструкторской документации (РКД) на них осуществляется юридическим лицом или индивидуальным предпринимателем, имеющим право на осуществление данного вида деятельности, связанного с шифровальными (криптографическими) средствами.
Юридическое лицо или индивидуальный предприниматель
СКЗИ + РКД на СКЗИ
Правила пользования СКЗИ
Юридическое лицо – Пользователь СКЗИ разработчик и (или)
изготовитель СКЗИ
Порядок эксплуатации СКЗИ. СКЗИ эксплуатируются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ.
Правила пользования |
Контроль за соблюдение правил |
СКЗИ |
пользования СКЗИ |
СКЗИ |
Контрольные тематические |
|
исследования |
Поэкземплярный |
|
учет |
|
В случае планирования размещения СКЗИ в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, технические средства, входящие в состав СКЗИ, должны быть подвергнуты проверкам по выявлению устройств, предназначенных для негласного получения информации.
СКЗИ, находящиеся в эксплуатации, должны подвергаться контрольным тематическим исследованиям, конкретные сроки проведения которых определяются заказчиком СКЗИ по согласованию с разработчиком СКЗИ, специализированной организацией и ФСБ России
Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, а также условий производства ключевых документов, осуществляется в соответствии с требованиями Федерального закона от 8 августа 2001 года № 134-
ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)».
Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется:
а) обладателем, пользователем (потребителем) защищаемой информации, установившим режим защиты информации с применением СКЗИ;
б) собственником (владельцем) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ;
в) ФСБ России в рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-
телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи.
Контроль за соблюдением условий производства ключевых документов, указанных в технической, конструкторско-технологической и эксплуатационной документации к внешней системе изготовления ключей, осуществляется изготовителем ключевых документов, а также ФСБ России в рамках контроля за организацией и функционированием криптографической и инженернотехнической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи.
С целью оценки обоснованности и достаточности мер, принятых для защиты информации конфиденциального характера, обладатель, пользователь (потребитель) данной информации, установивший режим ее защиты с применением СКЗИ, а также собственник (владелец) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ, вправе обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования СКЗИ.
Инструкция об организации и обеспечении безопасности хранения,
обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом,
не содержащей сведений, составляющих государственную тайну
Инструкция принята приказом ФАПСИ от 13 июня 2001 года № 152.
Настоящая Инструкция определяет единый на территории Российской Федерации порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством РФ обязательной ЗИ с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (конфиденциальной информации).
Область применения. Данным порядком рекомендуется руководствоваться также при организации и обеспечении безопасности хранения обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты не подлежащей обязательной защите конфиденциальной информации, доступ к которой ограничивается в
соответствии с законодательством РФ или по решению обладателя конфиденциальной информации
(за исключением информации содержащей сведения, к которым в соответствии с законодательством РФ не может быть ограничен доступ).
Настоящая Инструкция не регламентирует порядка организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации в учреждениях РФ за границей.
Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты, о чем письменно уведомляет ФАПСИ. Органом криптографической защиты может быть организация,
структурное подразделение организации - лицензиата ФАПСИ, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо.
Допускается возложение функций органа криптографической защиты на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства. Количество органов криптографической защиты и их численность устанавливает лицензиат ФАПСИ.
Функции органа криптографической защиты:
1. Проверка готовности обладателей конфиденциальной информации к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров используемых СКЗИ, номеров аппаратных, программных и аппаратно-
программных средств, где установлены или к которым подключены СКЗИ, с указанием также номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства,
включая СКЗИ, и результатов проверки функционирования СКЗИ).
2.Разработка мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам.
3.Обучение лиц, использующих СКЗИ, правилам работы с ними.
4.Поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним.
5.Учет обслуживаемых обладателей конфиденциальной информации, а также физических лиц, непосредственно допущенных к работе с СКЗИ.
6.Подача заявок в ФАПСИ или лицензиату, имеющему лицензию ФАПСИ на деятельность по изготовлению ключевых документов для СКЗИ, на изготовление ключевых документов или исходной ключевой информации. Изготовление из исходной ключевой информации ключевых документов, их распределение, рассылку и учет.
7.Контроль за соблюдением условий использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ, сертификатом ФАПСИ и настоящей Инструкцией.
8.Расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению уровня защиты конфиденциальной информации,
разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
9. Разработка схемы организации криптографической защиты конфиденциальной информации (с указанием наименования и размещения нижестоящих органов криптографической защиты, если таковые имеются, обладателей конфиденциальной информации, реквизитов договоров на оказание услуг по криптографической защите конфиденциальной информации, а
также с указанием типов применяемых СКЗИ и ключевых документов к ним, видов защищаемой информации, используемых совместно с СКЗИ технических средств связи, прикладного и общесистемного программного обеспечения и средств вычислительной техники). Указанную схему утверждает лицензиат ФАПСИ.
Ключевые документы для СКЗИ или исходная ключевая информация для выработки ключевых документов изготавливаются ФАПСИ на договорной основе или лицами, имеющими лицензию ФАПСИ на деятельность по изготовлению ключевых документов для СКЗИ.
Изготовлять ключевые документы из исходной ключевой информации могут координирующий орган криптографической защиты (при его наличии), органы криптографической защиты или непосредственно обладатели конфиденциальной информации, применяя штатные СКЗИ, если такая возможность предусмотрена эксплуатационной и технической документацией к СКЗИ.
При определении обязанностей сотрудников органов криптографической защиты лицензиаты ФАПСИ должны учитывать, что безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации обеспечивается:
1.Соблюдением сотрудниками органов криптографической защиты режима конфиденциальности при обращении со сведениями, которые им доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых СКЗИ и ключевых документах к ним.
2.Точным выполнением сотрудниками органов криптографической защиты требований к обеспечению безопасности конфиденциальной информации.
3.Надежным хранением сотрудниками органов криптографической защиты СКЗИ,
эксплуатационной и технической документации к ним, ключевых документов, носителей конфиденциальной информации.
4.Своевременным выявлением сотрудниками органов криптографической защиты попыток посторонних лиц получить сведения о защищаемой конфиденциальной информации, об используемых СКЗИ или ключевых документах к ним.
5.Немедленным принятием сотрудниками органов криптографической защиты мер по предупреждению разглашения защищаемых сведений конфиденциального характера, а также возможной утечки таких сведений при выявлении фактов утраты или недостачи СКЗИ, ключевых документов к ним, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов
(металлических шкафов), личных печатей и т.п.
Пользователи СКЗИ обязаны:
1.Не разглашать конфиденциальную информацию, к которой они допущены, рубежи ее защиты, в том числе сведения о криптографических ключах.
2.Соблюдать требования к обеспечению безопасности конфиденциальной информации с использованием СКЗИ.
3.Сообщать в орган криптографической защиты о ставших им известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним.
4.Сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным настоящей Инструкцией, при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ.
5.Немедленно уведомлять орган криптографической защиты о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей
ио других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.
В инструкции прописан порядок обращения с СКЗИ и криптографическими ключами, а
также мероприятия при компрометации ключей.
|
|
|
Сотрудник органа |
|
|
|
|
|
криптографической защиты |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Пользователь СКЗИ |
|
|
|
Техни- |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
ческие |
|
|
|
|
|
средства |
|
|
|
|
|
связи |
Шкаф индивидуального пользования |
|
|
|
|
|
|
|
||
|
Криптографический |
|
Электронный носитель |
|
|
|
|
многократного |
|
|
|
|
ключ |
|
|
|
|
|
|
(долговременного) |
|
|
|
|
|
|
|
|
|
|
|
|
использования |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Неиспользованные или |
|
|
выведенные из действия |
|
|
|
|
Поэкземплярный |
ключевые документы |
Орган |
учет |
|
криптографической |
|
|
защиты |
|
|
|
|
|
|
|
Уничтожение |
|
|
криптографических ключей |
Криптографический |
|
|
ключ |
Предназначенные для обеспечения безопасности хранения, обработки и передачи по каналам связи конфиденциальной информации СКЗИ, а также ключевые документы к ним не должны содержать сведений, составляющих государственную тайну.
В федеральных органах исполнительной власти ключевые документы, СКЗИ с введенными криптографическими ключами относятся к материальным носителям, содержащим служебную информацию ограниченного распространения. При этом должны выполняться требования настоящей Инструкции и иных документов, регламентирующих порядок обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти.
Иным обладателям конфиденциальной информации при обращении с ключевыми документами, СКЗИ с введенными криптографическими ключами необходимо руководствоваться настоящей инструкцией.
Для организации и обеспечения безопасности хранения, обработки и передачи по каналам связи конфиденциальной информации следует использовать СКЗИ, позволяющие реализовать принцип абонентского шифрования и предусматривающие запись криптографических ключей на электронные ключевые носители многократного (долговременного) использования (дискеты,
компакт-диски (CD-ROM), Data Key, Smart Card, Touch Memory и т.п.).
Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету по установленным формам в соответствии с требованиями Положения ПКЗ-99. При этом программные СКЗИ должны учитываться совместно
с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные СКЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие СКЗИ учитываются также совместно с соответствующими аппаратными средствами.
Неиспользованные или выведенные из действия ключевые документы подлежат возвращению в орган криптографической защиты или по его указанию должны быть уничтожены на месте.
Уничтожение криптографических ключей (исходной ключевой информации) может производиться путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптографических ключей (исходной ключевой информации)
без повреждения ключевого носителя (для обеспечения возможности его многократного использования).
Криптографические ключи (исходную ключевую информацию) стирают по технологии,
принятой для соответствующих ключевых носителей многократного использования (дискет,
компакт-дисков (CD-ROM), Data Key, Smart Card, Touch Memory и т.п.). Непосредственные действия по стиранию криптографических ключей (исходной ключевой информации), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптографических ключей (исходной ключевой информации).
Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптографических ключей (исходной ключевой информации).
Бумажные и прочие сгораемые ключевые носители, а также эксплуатационная и техническая документация к СКЗИ уничтожают путем сжигания или с помощью любых бумагорезательных машин.
СКЗИ уничтожают (утилизируют) в соответствии с требованиями Положения ПКЗ-99 по решению обладателя конфиденциальной информации, владеющего СКЗИ, и по согласованию с лицензиатом ФАПСИ.
Криптографические ключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптографические ключи необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической
документации к СКЗИ. О выводе криптографических ключей из действия сообщают в соответствующий орган криптографической защиты. В чрезвычайных случаях, когда отсутствуют криптографические ключи для замены скомпрометированных, допускается, по решению лицензиата ФАПСИ, использование скомпрометированных криптографических ключей. В этом случае период использования скомпрометированных криптографических ключей должен быть максимально коротким, а передаваемая информация как можно менее ценной.
О нарушениях, которые могут привести к компрометации криптографических ключей, их составных частей или передававшейся (хранящейся) с их использованием конфиденциальной информации, пользователи СКЗИ обязаны сообщать в соответствующий орган криптографической защиты. Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптографических ключей, если при этом исключалась возможность их копирования (чтения, размножения). В случаях недостачи, непредъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.
Мероприятия по розыску и локализации последствий компрометации конфиденциальной информации, передававшейся (хранящейся) с использованием СКЗИ, организует и осуществляет обладатель скомпрометированной конфиденциальной информации.
Порядок оповещения пользователей СКЗИ о предполагаемой компрометации криптографических ключей и их замене устанавливается соответствующим органом криптографической защиты или ФАПСИ.
Инструкция регламентирует требования по размещению, специальному оборудованию,
охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключев ые документы.
Контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации – государственный контроль осуществляют федеральные органы правительственной связи и информации. В ходе государственного контроля изучаются и оцениваются:
1.Организация безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации.
2.Достигнутый уровень криптографической защиты конфиденциальной информации.
3.Условия использования СКЗИ.
Органы криптографической защиты (координирующие органы криптографической защиты) должны обобщать результаты всех видов контроля, анализировать причины выявленных недостатков, разрабатывать меры по их профилактике, контролировать выполнение рекомендаций, содержащихся в актах проверок.