Методические рекомендации по обеспечению с помощью криптосредств icon

Методические рекомендации по обеспечению с помощью криптосредств




НазваниеМетодические рекомендации по обеспечению с помощью криптосредств
страница1/6
Дата конвертации14.02.2013
Размер431.33 Kb.
ТипМетодические рекомендации
источник
  1   2   3   4   5   6



УТВЕРЖДЕНЫ

руководством 8 Центра

ФСБ России

21 февраля 2008 года

№ 149/54-144



МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

по обеспечению с помощью криптосредств
безопасности персональных данных при их обработке
в информационных системах персональных данных
с использованием средств автоматизации




Введение 3

1 Основные термины и их определения 4

2 Основные положения 12

3 Методология формирования модели угроз 15

3.1 Общие принципы 15

3.2 Методология формирования модели угроз верхнего уровня 17

^ Определение условий создания и использования персональных данных 17

Описание форм представления персональных данных 17

Описание информации, сопутствующей процессам создания и использования персональных данных 18

Определение характеристик безопасности 19

^ 3.3 Методология формирования детализированной модели угроз 21

3.4 Методология формирования модели нарушителя 24

Этапы разработки, производства, хранения, транспортировки, ввода в эксплуатацию технических и программных средств криптосредства и СФК 24

Этап эксплуатации технических и программных средств криптосредства и СФК 25

^ Описание нарушителей (субъектов атак) 26

Предположения об имеющейся у нарушителя информации об объектах атак 27

Предположения об имеющихся у нарушителя средствах атак 29

Описание каналов атак 30

^ Определение типа нарушителя 31

4 Уровень криптографической защиты персональных данных, уровни специальной защиты от утечки по каналам побочных излучений и наводок и уровни защиты от несанкционированного доступа. 32

^ 5 Требования к контролю встраивания криптосредства 33



  1. Введение


Настоящие Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (далее – Методические рекомендации) разработаны в соответствии с п. 2 постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Методические рекомендации предназначены для операторов и разработчиков информационных систем персональных данных и охватывают вопросы защиты персональных данных с помощью криптосредств.

Методическими рекомендациями необходимо руководствоваться в случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств (за исключением случая, когда оператором является физическое лицо, использующее персональные данные исключительно для личных и семейных нужд), а также при обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России. В частности, Методическими рекомендациями необходимо руководствоваться в следующих случаях:

  • при обеспечении с использованием криптосредств безопасности персональных данных при их обработке в государственных информационных системах персональных данных (часть 5 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»);

  • при использовании криптосредств для обеспечения персональных данных в случаях, предусмотренных п. 3 Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).

Настоящие Методические рекомендации не распространяются на информационные системы персональных данных, в которых:

  • персональные данные обрабатываются без использования средств автоматизации;

  • обрабатываются персональные данные, отнесенные в установленном порядке к сведениям, составляющим государственную тайну;

  • технические средства частично или целиком находятся за пределами Российской Федерации.
  1. ^

    Основные термины и их определения


В настоящих Методических рекомендациях и при взаимодействии с лицензиатами ФСБ России, являющимися разработчиками криптосредств, разработчиками информационных систем персональных данных, в которых используются криптосредства, или специализированными организациями, проводящими тематические исследования криптосредств, используются следующие основные термины.

^ Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций1.

^ Автоматизированная система в защищенном исполнении (АСЗИ) – автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и (или) иных нормативных документов по защите информации2.

Атака – целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.

Безопасность  состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз3.

^ Безопасность объекта  состояние защищенности объекта от внешних и внутренних угроз.

Примечание

Данное определение распространяется на любой реальный объект, в качестве которого могут выступать технические средства, программные средства, информация, информационные технологии, информационные системы, информационно-телекоммуникационные сети, здания, сооружения и т.д.

^ Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи4.

^ Встраивание криптосредства – процесс подключения криптосредства к техническим и программным средствам, совместно с которыми предполагается его штатное функционирование, за исключением процесса инсталляции.

^ Документированные (декларированные) возможности ПО (ТС) – функциональные возможности ПО (ТС), описанные в документации на ПО (ТС).

Доступ к информации – возможность получения информации и ее использования5.

^ Жизненно важные интересы – совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства6.

^ Защищаемая информация – информация, для которой обладателем информации определены характеристики ее безопасности.

Инсталляция – установка программного продукта на компьютер. Инсталляция обычно выполняется под управлением инсталлятора – программы, которая приводит состав и структуру устанавливаемого программного изделия в соответствие с конфигурацией компьютера, а также настраивает программные параметры согласно типу имеющейся операционной системы, классам решаемых задач и режимам работы. Таким образом, инсталляция делает программный продукт пригодным для использования в данной вычислительной системе и готовым решать определенный класс задач в определенном режиме работы7.

Информация – сведения (сообщения, данные) независимо от формы их представления8.

^ Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств9.

^ Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств10.

^ Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов11.

^ Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники12.

^ Информационно-телекоммуникационная сеть общего пользования –информационно-телекоммуникационная сеть, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.

^ Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц13.

^ Канал атаки – среда переноса от субъекта к объекту атаки (а, возможно, и от объекта к субъекту атаки) действий, осуществляемых при проведении атаки.

Контролируемая зона – пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств.

Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения14.

^ Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя15.

^ Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания16.

^ Криптографически опасная информация (КОИ) – информация о состояниях криптосредства, знание которой нарушителем позволит ему строить алгоритмы определения ключевой информации (или ее части) или алгоритмы бесключевого чтения.

Криптосредство – шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну17.

^ Модель нарушителя – предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности».

^ Модель угроз – перечень возможных угроз.

Нарушитель (субъект атаки) – лицо (или инициируемый им процесс), проводящее (проводящий) атаку.

^ Негативные функциональные возможности – документированные и недокументированных возможности программных и аппаратных компонентов криптосредства и среды функционирования криптосредства, позволяющие:

  • модифицировать или искажать алгоритм работы криптосредств в процессе их использования;

  • модифицировать или искажать информационные или управляющие потоки и процессы, связанные с функционированием криптосредства;

  • получать доступ нарушителям к хранящейся в открытом виде ключевой, идентификационной и (или) аутентифицирующей информации, а также к защищаемой информации.

^ Недокументированные (недекларированные) возможности ПО (ТС) – функциональные возможности ПО (ТС), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение характеристик безопасности защищаемой информации18.

^ Носители сведений, составляющих государственную тайну, – материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов19.

Примечание

Так как по своей природе сведения, составляющие государственную тайну, не отличаются от всех остальных сведений, то приведенное определение можно корректно использовать для любых сведений.

Учитывая определение понятия «информация», термин «носитель информации» можно использовать в качестве синонима термину «носитель сведений».

^ Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных20.

^ Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам21.

^ Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных22.

^ Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности23.

^ Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров24.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных25.

^ Опубликованные возможности ПО или ТС – возможности, сведения о которых содержатся в общедоступных открытых источниках (технические и любые другие материалы разработчика ПО или ТС, монографии, публикации в СМИ, материалы конференций и других форумов, информация из сети Internet и т.д.).

^ Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация26.

Пользователь – лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования.

^ ПО – программное обеспечение.

Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом27.

^ Специальная защита – комплекс организационных и технических мероприятий, обеспечивающих защиту информации от утечки по каналам побочных излучений и наводок.

^ Среда функционирования криптосредства (СФК) – совокупность технических и программных средств, совместно с которыми предполагается штатное функционирование криптосредства и которые способны повлиять на выполнение предъявляемых к криптосредству требований.

^ Средство защиты информации – техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации28.

^ Средство вычислительной техники (СВТ) - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем29.

^ Трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства30.

^ ТС – техническое средство.

Угроза безопасности – совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства31.

^ Угроза безопасности объекта – возможное нарушение характеристики безопасности объекта.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных32.

^ Успешная атака – атака, достигшая своей цели.

Уровень криптографической защиты информации – совокупность требований, предъявляемых к криптосредству.

^ Характеристика безопасности объекта – требование к объекту, или к условиям его создания и существования, или к информации об объекте и условиях его создания и существования, выполнение которого необходимо для обеспечения защищенности жизненно важных интересов личности, общества или государства.

^ Шифровальные (криптографические) средства:

а) средства шифрования – аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;

б) средства имитозащиты – аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;

в) средства электронной цифровой подписи – аппаратные, программные и аппаратно–программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;

г) средства кодирования – средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);

е) ключевые документы (независимо от вида носителя ключевой информации)33.

  1   2   3   4   5   6



Похожие:

Методические рекомендации по обеспечению с помощью криптосредств iconМетодические рекомендации по обеспечению здоровым питанием учащихся образовательных учреждений
Настоящие методические рекомендации разработаны с целью обеспечения детей и подростков качественным и безопасным питанием, соответствующим...
Методические рекомендации по обеспечению с помощью криптосредств iconМетодические рекомендации по обеспечению санитарно-эпидемиологического благополучия и безопасности перевозок организованных групп детей автомобильным транспортом (утв.
...
Методические рекомендации по обеспечению с помощью криптосредств iconМетодические рекомендации по планированию и отчетности, был составлен план мер по полному обеспечению учебниками и учебными пособиями школьных библиотек оу песчанокопского района
В соответствии с письмом Министерства общего и профессионального образования, в котором даны методические рекомендации по планированию...
Методические рекомендации по обеспечению с помощью криптосредств iconДокументы
1. /Методические рекомендации Паводок 2013 г/Методические рекомендации.doc
2.
Методические рекомендации по обеспечению с помощью криптосредств iconМетодические рекомендации по совершенствованию работы по использованию часов школьного компонента
В основу программу положены материалы Е. Д. Горячевой «Некоторые проблемы управленческой деятельности отделов образования и руководителей...
Методические рекомендации по обеспечению с помощью криптосредств iconМетодические рекомендации формирования системы оплаты труда и стимулирования работников муниципальных общеобразовательных учреждений Ординского муниципального района
Настоящие Методические рекомендации разработаны на основе Трудового кодекса Российской Федерации, Закона Российской Федерации от...
Методические рекомендации по обеспечению с помощью криптосредств iconМетодические рекомендации по организации и деятельности территориального общественного самоуправления
Методические рекомендации по образованию организаций территориального общественного самоуправления (тос)
Методические рекомендации по обеспечению с помощью криптосредств iconКвалификации работников образования методические рекомендации учителям-предметникам на 2009/2010 учебный год
В первой части сборника представлены методические рекомендации учителям-предметникам по следующим образовательным областям: «Начальные...
Методические рекомендации по обеспечению с помощью криптосредств iconМетодические рекомендации по определению размера средств на оплату труда в договорных ценах и сметах на строительство и оплате труда работников строительно-монтажных и ремонтно-строительных организаций
Настоящие Методические рекомендации подготовлены в соответствии с решением коллегии Госстроя России от 24 февраля 1999 г, №5 «О ходе...
Методические рекомендации по обеспечению с помощью криптосредств iconПлан творческого отчета преподавателя
Методическая работа, рабочие программы, конспекты лекций, методические разработки, методические рекомендации, учебные пособия
Разместите кнопку на своём сайте:
Документы


База данных защищена авторским правом ©sov.opredelim.com 2000-2015
При копировании материала обязательно указание активной ссылки открытой для индексации.
обратиться к администрации
Документы

Разработка сайта — Веб студия Адаманов