Памятка по правилам использования средств криптографической защиты информации (скзи) - umotnas.ru o_O
Главная
Поиск по ключевым словам:
страница 1
Похожие работы
Название работы Кол-во страниц Размер
6 описание системы криптографической защиты информации скзи «Континент»... 5 805.22kb.
Система сертификации средств криптографической защиты информации... 1 122.45kb.
Требования фсб (фапси) по обеспечению безопасности информации при... 1 27.37kb.
«Основы криптографической защиты информации» 1 175.58kb.
Дайте понятие защите информации 1 77.26kb.
Семинар для it-специалистов, специалистов компьютерной безопасности... 1 12.22kb.
Замена ключей криптографической защиты 1 34.08kb.
1. Принципы криптографической защиты информации 2 458.66kb.
Защиты средств вычислительной техники и автоматизированных систем... 1 82.59kb.
Введение в криптографию 5 1241.53kb.
Правовое регулирование защиты информации 1 64.2kb.
Законом от 27 декабря 2002 г. №184-фз «О техническом регулировании» 2 905.03kb.
Викторина для любознательных: «Занимательная биология» 1 9.92kb.

Памятка по правилам использования средств криптографической защиты информации (скзи) - страница №1/1



Памятка по правилам использования средств криптографической защиты информации (СКЗИ)

СКЗИ "Бикрипт-КСБ-С" представляет средство защиты конфиденциальной информации, удовлетворяющее классу КС1 в вариантах исполнения 1,2,4; в вариантах исполнения 3,5, отличающихся использованием сертифицированного средства защиты от несанкционированного доступа (НСД), указанного в формуляре, и при условии обязательного опечатывания системного блока ПЭВМ - классу КС2.

Средством СКЗИ "Бикрипт-КСБ-С" не допускается защищать информацию, составляющую государственную тайну.

При встраивании СКЗИ в программные продукты и использовании автономных программных модулей СКЗИ необходимо следовать требованиям нормативных документов, входящих в состав СКЗИ.

Операционные системы

СКЗИ "Бикрипт-КСБ-С" предназначено для встраивания в программные продукты, работающие под управлением операционных систем Windows 98SE/2000/XP/NT 4.0/2003 Server/Vista (в вариантах исполнения 1, 2, 3) и Linux (ядра 2.4 и 2.6) (в вариантах исполнения 4, 5). Центр генерации и распределения ключей Банка функционирует под управлением ОС MS DOS версии 6.22.

Реализуемые алгоритмы

Алгоритм зашифрования/расшифрования данных и вычисления имитовставки реализован в соответствии с требованиями ГОСТ 28147 89 "Системы обработки информации. Защита криптографическая".

Алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11 94 "Информационная технология. Криптографическая защита информации. Функция хэширования".

Алгоритмы формирования и проверки ЭЦП реализованы в соответствии с требованиями ГОСТ Р 34.10 2001 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи "

Требования к ПЭВМ

Программное обеспечение со встроенными криптобиблиотеками СКЗИ должно функционировать на ПЭВМ, оснащенной процессором не ниже Intel 486, НЖМД емкостью не меньше 256 Мб, ОЗУ емкостью не меньше 64 Мб, АПМДЗ, указанном в формуляре (в вариантах исполнения 3, 5).

Съемные ключевые носители

К съемным ключевым носителям относятся: устройство "Touch Memory" DS1993 – DS1996; НГМД (3.5", 1.44 Mb); устройство VPN-Key (КД 11443195.4024-015, КД 11443195.4024-022); устройство USB FlashDrive.

Хранение ключевых носителей

Личные ключевые носители пользователей рекомендуется хранить в сейфе. Пользователь несет персональную ответственность за хранение личных ключевых носителей.

При наличии в организации, эксплуатирующей СКЗИ, администратора безопасности и централизованном хранении ключевых носителей, администратор безопасности организации несет персональную ответственность за хранение личных ключевых носителей пользователей. Личные ключевые носители администратора безопасности должны храниться в его личном сейфе.

Сроки действия ключей

Ключи ЭЦП действительны в течение 1 года и 3 месяцев.

Уничтожение ключевой информации на ключевых носителях

Ключевые носители с ключевой информацией, срок действия которой истек, должны быть уничтожены. Ключевые носители подлежат физическому уничтожению.

Компрометация ключей

Под компрометацией ключевой информации понимается разглашение информации, утрата или временная потеря ключевого носителя, копирование информации, а также несанкционированный доступ к ней.

Компрометация закрытого ключа ЭЦП пользователя и ключа шифрования

При компрометации ключей ЭЦП или шифрования предусматривается следующий порядок действий:

1. о факте компрометации немедленно ставится в известность служба безопасности банка;

2. производится генерация новых ключей ЭЦП для данного пользователя и замена старого открытого ключа ЭЦП указанного пользователя на новый в справочниках открытых ключей банка;

3. скомпрометированный конфиденциальный ключ ЭЦП в носителе уничтожается путем физического уничтожения ключевого носителя или записи на носитель нового конфиденциального ключа ЭЦП данного пользователя;

Рекомендации по размещению технических средств с СКЗИ



При размещении технических средств с СКЗИ, следует руководствоваться следующими рекомендациями:

  1. Должны быть приняты меры по исключению несанкционированного доступа в помещения, в которых установлены технические средства СКЗИ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в этих помещениях.

  2. Рекомендуется не использовать в помещении, где размещены рабочие места с установленным СКЗИ, радиотелефоны и другую радиоаппаратуру.

  3. Должны выполняться требования политики безопасности, принятой в организации в области размещения технических средств, обрабатывающих конфиденциальную информацию.

Требования к программному и аппаратному обеспечению

  1. На технических средствах, оснащенных СКЗИ "Бикрипт-КСБ-С", должно использоваться только лицензионное программное обеспечение фирм-производителей, либо ПО, сертифицированное ФСБ. Указанное ПО не должно содержать средств разработки и отладки приложений, а также содержать в себе возможностей, позволяющих оказывать воздействие на функционирование СКЗИ. В случае технологических потребностей организации, эксплуатирующей СКЗИ, в использовании иного программного обеспечения, его применение должно быть санкционировано. В любом случае ПО не должно содержать в себе возможностей, позволяющих:

      • модифицировать содержимое произвольных областей памяти;

      • модифицировать собственный код и код других подпрограмм;

      • модифицировать память, выделенную для других подпрограмм;

      • передавать управление в область собственных данных и данных других подпрограмм;

      • несанкционированно модифицировать файлы, содержащие исполняемые коды при их хранении на жестком диске;

      • использовать недокументированные фирмами-разработчиками функции.

  1. На ПЭВМ одновременно может быть установлена только одна разрешенная (п. 1.1.) ОС.

  2. В BIOS ПЭВМ определяются установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске: отключается возможность загрузки с гибкого диска, привода CD-ROM и прочие нестандартные виды загрузки ОС, включая сетевую загрузку. Не применяются ПЭВМ с BIOS, исключающим возможность отключения сетевой загрузки ОС.

  3. Средствами BIOS должна быть исключена возможность отключения пользователями PCI устройств при использовании ПАК защиты от НСД, устанавливаемых в PCI разъем.

  4. Вход в BIOS ПЭВМ должен быть защищен паролем. Пароль для входа в BIOS должен быть известен только администратору и быть отличным от пароля администратора для входа в ОС.

  5. Средствами BIOS должна быть исключена возможность работы на ПЭВМ, если во время его начальной загрузки не проходят встроенные тесты.

  6. Программные модули СКЗИ (прикладного ПО со встроенным СКЗИ) должны быть доступны только по чтению/запуску (в атрибутах файлов запрещена запись и модификация).

  7. Должно быть проведено опечатывание системного блока с установленным СКЗИ, исключающее возможность несанкционированного изменения аппаратной части рабочей станции.

  8. При эксплуатации АПМДЗ в составе СКЗИ, должны выполняться требования, изложенные в нормативных документах, входящих в состав АПМДЗ, указанного в формуляре..

Организационные меры защиты информации от несанкционированного доступа (НСД)

При использовании СКЗИ "Бикрипт-КСБ-С" следует принять следующие организационные меры:


  1. Право доступа к рабочим местам с установленным ПО СКЗИ "Бикрипт-КСБ-С" должно предоставляться только лицам, ознакомленным с правилами пользования и изучившим эксплуатационную документацию на программное обеспечение, имеющее в своем составе СКЗИ "Бикрипт-КСБ-С".

  2. Запретить осуществление несанкционированного копирования ключевых носителей.

  3. Запретить передачу ключевых носителей лицам, к ним не допущенным.

  4. Запретить использование ключевых носителей в режимах, не предусмотренных правилами пользования СКЗИ "Бикрипт-КСБ-С", либо использовать ключевые носители на посторонних ПЭВМ.

  5. Запретить запись на ключевые носители посторонней информации.

  6. Запретить оставлять без контроля вычислительные средства, на которых эксплуатируется СКЗИ "Бикрипт-КСБ-С" после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение парольной заставки.

  7. Права на запуск программного модуля со встроенными библиотеками СКЗИ и доступ к каталогам с сетевыми ключами и справочниками открытых ключей электронной цифровой подписи могут быть предоставлены только пользователям СКЗИ.

Организационно-технические меры защиты от НСД


Должен быть реализован следующий комплекс организационно-технических мер защиты от НСД:

  1. Перед началом процесса установки ПО со встроенными модулями СКЗИ либо автономных программных модулей СКЗИ должен осуществляться контроль целостности устанавливаемого ПО утилитой CheckHash.exe, входящей в состав СКЗИ.

  2. При каждом запуске ПЭВМ с установленным ПО СКЗИ должен осуществляться контроль целостности программного обеспечения, входящего в состав СКЗИ "Бикрипт-КСБ-С", самой ОС и всех исполняемых файлов, функционирующих совместно с СКЗИ. При использовании СКЗИ в вариантах исполнения 1,2,4, контроль должен осуществляться утилитой CheckHash.exe, входящей в состав СКЗИ, в вариантах исполнения 3,5 - средствами ПАК "Аккорд-АМДЗ".

  3. Периодически (не реже 1 раза в год) необходимо менять пароль на вход в BIOS.

  4. В случае обнаружения "посторонних" (не зарегистрированных) программ или нарушения целостности программного обеспечения работа должна быть прекращена.

  5. Пользователь должен запускать только те приложения, которые разрешены администратором.

  6. При использовании СКЗИ в варианте исполнения 1,2,4 средствами BIOS для пользователя должен быть установлен пароль входа в систему длиной не менее 6 символов, в варианте исполнения 3,5 – идентификация и аутентификация должны производиться средствами, указанном в формуляре. Пароль или идентификатор должен меняться не реже 1 раза в год.

  7. Длина пароля не должна быть менее 6 символов.

  8. Необходимо сконфигурировать операционную систему, в среде которой планируется использовать СКЗИ, и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:

  • Не использовать нестандартные, измененные или отладочные версии ОС.

  • Исключить возможность загрузки и использования ОС, отличной от предусмотренной штатной работой.

  • Исключить возможность удаленного управления, администрирования и модификации ОС и её настроек.

  • На ПЭВМ должна быть установлена только одна операционная система.

  • Правом установки и настройки ОС и СКЗИ должен обладать только администратор.

  • ОС должна быть настроена только для работы с СКЗИ. Все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т.п.).

  • Режимы безопасности, реализованные в ОС, должны быть настроены на максимальный уровень.

  • Всем пользователям и группам, зарегистрированным в ОС, необходимо назначить минимально возможные для нормальной работы права.

  • Необходимо предусмотреть меры, максимально ограничивающие доступ к следующим ресурсам системы (в соответствующих условиях возможно полное удаление ресурса или его неиспользуемой части):

    • системный реестр;

    • файлы и каталоги;

    • временные файлы;

    • журналы системы;

    • файлы подкачки;

    • кэшируемая информация (пароли и т.п.);

    • отладочная информация.

Кроме того, необходимо организовать затирание (по окончании сеанса работы СКЗИ) временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы СКЗИ. Если это не выполнимо, то ОС должна использоваться в однопользовательском режиме и на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям.

Примечание: Под однопользовательским режимом в данном случае подразумевается такой режим, при котором все пользователи данной рабочей станции имеют одинаковый комплект ключевой информации этой рабочей станции.

  • Должно быть исключено попадание в систему программ, позволяющих, пользуясь ошибками ОС, повышать предоставленные привилегии.

  • Необходимо регулярно устанавливать пакеты обновления безопасности ОС (Service Packs, Hot fix и т.п.), обновлять антивирусные базы, а так же исследовать информационные ресурсы по вопросам компьютерной безопасности с целью своевременной минимизации опасных последствий от возможного воздействия на ОС.

  • В случае подключения ПЭВМ с установленным СКЗИ к общедоступным сетям передачи данных, необходимо исключить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX), полученных из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов, загружаемых из сети.

  • При использовании СКЗИ на ПЭВМ, подключенных к общедоступным сетям связи, с целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например: установка межсетевых экранов, организация VPN сетей и т.п.). При этом предпочтение должно отдаваться средствам защиты, имеющим сертификат уполномоченного органа по сертификации.

  • Организовать и использовать систему аудита, организовать регулярный анализ результатов аудита.

  • Организовать и использовать комплекс мероприятий антивирусной защиты.

  • Исключить одновременную работу в ОС с работающим СКЗИ и загруженной ключевой информацией нескольких пользователей.