Криптографическая защита персональных данных

Предлагаем к прочтению статью. Если вы не найдете ответа по теме "Криптографическая защита персональных данных" или захотите актуализировать данные на 2020 год, то задавайте вопросы дежурному специалисту.

Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

Приказ ФСБ России от 10 июля 2014 г. N 378
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»* приказываю

утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

Зарегистрировано в Минюсте РФ 18 августа 2014 г.

Регистрационный N 33620

* Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716, N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. 1), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. 1), ст. 4038.

Оператор персональных данных при их обработке должен принимать необходимые меры по обеспечению их безопасности. Это касается и обработки данных в информационных системах с использованием средств криптографической защиты информации (СКЗИ).

Определен комплекс мер по обеспечению безопасности персональных данных при указанной обработке. Он включает набор организационных и технических мероприятий по защите персональных данных для каждого из четырех уровней защищенности.

Во всех случаях требуется обеспечить сохранность носителей персональных данных; исключить неконтролируемое проникновение или пребывание в помещениях, где размещена информационная система, посторонних лиц. Также следует определить список лиц, которым необходим доступ к персональным данным для выполнения ими служебных (трудовых) обязанностей.

Для нейтрализации актуальных угроз нужно использовать средства защиты информации, прошедшие процедуру оценки соответствия.

Для каждого уровня защищенности персональных данных предусмотрено применение СКЗИ соответствующего класса.

Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

Зарегистрировано в Минюсте РФ 18 августа 2014 г.

Регистрационный N 33620

Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования

Текст приказа опубликован в «Российской газете» от 17 сентября 2014 г. N 211

Источник: http://base.garant.ru/70727118/

Криптографическая защита персональных данных

Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну . (Далее)

Настоящее Положение определяет порядок лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), осуществляемой юридическими лицами и индивидуальными предпринимателями . (Далее)

Принят Государственной Думой 25 марта 2011 года
Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами. (в ред. Федерального закона от 05.04.2013 N 60-ФЗ). . (Далее)

В соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи» приказываю утвердить Требования к форме квалифицированного сертификата ключа проверки электронной подписи (прилагаются) . (Далее)

Настоящий документ описывает правила формирования аккредитованными УЦ квалифицированных сертификатов ключей проверки электронной подписи, которые могут использоваться в государственных информационных системах.

В соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи» приказываю утвердить:
Требования к средствам электронной подписи (приложение N 1);
Требования к средствам удостоверяющего центра (приложение N 2).
(Далее)

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» 1 приказываю: утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности. (Далее)

Читайте так же:  Исковое о защите деловой репутации образец

В соответствии с Федеральным законом от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации»*, Законом Российской Федерации от 19 февраля 1993 г. N 4524-1 «О федеральных органах правительственной связи и информации»** и Положением о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99), утвержденным приказом ФАПСИ от 23 сентября 1999 г. N 158, зарегистрированным Министерством юстиции Российской Федерации 28 декабря 1999 г., регистрационный N 2029***, с целью определения порядка организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну приказываю: (Далее)

УТВЕРЖДЕНЫ
руководством 8 Центра ФСБ России
от 31 марта 2015 года N 149/7/2/6-432
Настоящие методические рекомендации предназначены для федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, органов государственных внебюджетных фондов, иных государственных органов (далее — органы власти) которые, в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее — Закон), в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее — ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (далее — НПА). (Далее)

Источник: http://www.cryptocom.ru/law/

Криптографическая защита персональных данных

Закон «О персональных данных» требует от операторов или третьих лиц, имеющих доступ к персональным данным, обеспечения конфиденциальности информации. Распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания недопустимо. Изначально в законе присутствовало требование об обязательном использовании шифровальных (криптографических) средств для защиты персональных данных. Хотя это требование позднее было отменено (Федеральный закон от 27 декабря 2009 г. N 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»), но в ряде случаев невозможно обеспечить надежную защиту персональных данных без использования средств шифрования. В частности, когда речь идет о передаче персональных данных по информационным каналам передачи данных, то шифрование становится одним из главных способов защиты.

Согласно Постановлению 781: «В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации». Проведение таких тематических исследований относится к компетенции ФСБ. Таким образом, использование несертифицированных ФСБ средств криптографической защиты персональных данных противоречит законодательству РФ.

Использование средств криптографической защиты информации часто строится на базе криптосервиспровайдера (CSP) – программного модуля, осуществляющего криптографические преобразования в системах и обеспечивающего доступ к данным преобразованиям из пользовательских приложений. Данная технология разработана корпорацией Microsoft и ее применение ограничено в основном информационными системами, построенными на базе продуктов этой корпорации. В частности, такие популярные пользовательские приложения, как Mozilla Firefox и Thunderbird не поддерживают эту технологию.

Компания «Криптоком» предлагает использовать для обеспечения конфиденциальности информации свой сертифицированный продукт «МагПро КриптоПакет» в исполнении «КриптоТуннель»», основанный на альтернативной технологии. Основным назначением исполнения «КриптоТуннель» является защита соединений по протоколу HTTP, терминального доступа по протоколу RDP, доступа к почтовому серверу и т.п.

Использование «КриптоТуннеля» значительно облегчает применение средств шифрования для защиты данных. В отличие от использования CSP, клиентская часть «КриптоТуннеля» не требует установки и длительной настройки на местах пользователей и позволяет работать непосредственно со съемного носителя (например, USB-Flash) на любом компьютере без необходимости получения прав системного администратора.

Программный продукт «МагПро КриптоПакет» в исполнении «КриптоТуннель» достаточно универсален и позволяет использовать для установки защищенного web-соединения любой браузер (Internet Explorer, Mozilla FireFox, Google Chrome, Opera, Safari Apple и другие), а для RDP-соединений – любую версию RDP-клиента из состава Windows.

Использование «КриптоТуннеля» не ограничивается только операционными системами Microsoft, а охватывает практически весь спектр операционных систем (Windows, семейство Linux, а также FreeBSD и Sun Solaris).

Таким образом, «МагПро КриптоПакет» в исполнении «КриптоТуннель» обладает следующими преимуществами:

  • простота использования:
    • не требует установки на пользовательских местах;
    • не требует специального обучения пользователей;
    • минимизирует количество возможных ошибок пользователя;
  • мобильность:
    • позволяет работать непосредственно со съемного носителя (например, USB-Flash) на любом компьютере;
    • позволяет использовать любой Интернет-браузер для защищенного web-соединения;
    • не привязан к специфике операционной системы (кросс-платформенное решение);
  • безопасность:
    • защита от атак «человек посередине» (шифрование трафика и аутентификация сервера);
    • аутентификация клиента.
  • Программный комплекс «МагПро КриптоПакет» сертифицирован ФСБ как средство криптографической защиты информации (СКЗИ) по классам КС1 и КС2.

    В состав СКЗИ «МагПро КриптоПакет» в исполнении «КриптоТуннель»» входит инструмент автоматического создания всех необходимых ключей и сертификатов, что позволяет в ряде случаев отказаться от услуг внешнего удостоверяющего центра (УЦ) и от разворачивания полноценного внутреннего УЦ.

    Еще одной разработкой компании «Криптоком» является исполнение OpenVPN-ГОСТ, которое позволяет строить виртуальные частные сети и тем самым защищать информацию при передаче по каналам связи в информационных системах любой сложности. .

    Читайте так же:  Характеристика судебной экспертизы

    Внедрение OpenVPN-ГОСТ подразумевает наличие серверной и клиентской частей, а также организацию PKI (инфраструктуры открытых ключей) для обслуживания участников файлового обмена. Генерация всех необходимых ключевых файлов для сервера и клиента также осуществляется средствами, входащими в состав программного комплекса, услуги стороннего Удостоверяющего Центра не требуются.

    Источник: http://www.cryptocom.ru/solutions/personaldata

    Защита конфиденциальной информации в организации

    ГК «Интегрус» предлагает услуги по защите конфиденциальных данных, коммерческой информации и ноу-хау разработок для предприятий. Для каждой компании, имеющей доступ в Интернет, использующую информационные системы для своей работы, разрабатывается пакет собственных нормативных документов, ИТ-решений, обеспечивающих безопасность на всех уровнях.

    Конфиденциальная информация (данные) – это такая информация, доступ к которой ограничен согласно требованиям законодательства или нормами организации (предприятия). Требуют применения мер защиты следующие виды конфиденциальных данных:

    • личные – касающиеся частной жизни граждан, в том числе персональные данные (ПНд), за исключением сведений, подлежащих распространению в СМИ;
    • служебные – то, что можно отнести к категории служебной тайны;
    • судебные – любые сведения о судьях, должностных лицах контролирующих и правоохранительных органов, потерпевших, свидетелей, участников уголовного судопроизводства, а также любая информация из личных дел осужденных, о принудительном исполнении судебных актов;
    • коммерческие – это коммерческая тайна, плюс сведения об изобретениях, полезных моделях, промышленных образцах до официальной публикации информации по ним предприятием (ноу-хау, технологии производства, секреты разработки и т.д.);
    • профессиональные – врачебная, нотариальная, адвокатская тайна, тайна телефонных переговоров, почтовых сообщений, переписки, телеграфных и иных видов сообщений.

    В своей работе мы обычно имеем дело с защитой служебной, коммерческой, профессиональной и личной конфиденциальной информации. Защита данных и сведений в организации строится на трех уровнях:

    • ограничение несанкционированного доступа (с целью модификации, изменения, уничтожения, копирования, распространения и прочих неправомерных действий):
        • замки, двери, решетки на окнах, сигнализация и т.д. – любые средства, ограничивающие физический доступ к носителям информации;
        • генераторы шума, сетевые фильтры и другие устройства, перекрывающие или обнаруживающие каналы утечки информации.
    • разграничение доступа для сотрудников (персонала) организации клиента;
    • реализация прав доступа для работников предприятия.

    Защита конфиденциальных данных предполагает проработку таких решений для ИТ-инфраструктуры, чтобы иметь возможность:

    • своевременного обнаружения фактов несанкционированного доступа к информации;
    • снижения уязвимости технических средств обработки и хранения информации;
    • оперативного восстановления поврежденной, модифицированной информации;
    • предупреждения о последствиях несанкционированного доступа к конфиденциальным данным.

    В отношении личной конфиденциальной информации, персональных данных, нами также осуществляется контроль размещения баз данных на территории России.

    Средства защиты конфиденциальной информации

    Все средства и мероприятия, нацеленные на защиту конфиденциальной информации, базируются на трех уровнях:

    Организация защиты конфиденциальных данных

    Организационные мероприятия по защите конфиденциальной информации начинаются с разработки регламента работы пользователей с информационной системой и информацией в ней. Правила доступа разрабатываются нашими специалистами совместно с руководством предприятия, службой безопасности.

    Уровни правовой и организационной защиты данных являются неформальными средствами защиты информации. Кроме административных (организационных) регламентов и законодательных (правовых) норм сюда можно отнести и морально-этические правила. Наша задача на административном уровне – пресечь, сделать невозможными повреждения или утечки данных вследствие нерадивости, халатности или небрежности персонала.

    Решение поставленной задачи достигается за счет комплекса административных и технических мероприятий:

    • разграничение и реализация прав доступа к конфиденциальным сведениям;
    • защита переговорных комнат, кабинетов руководства от прослушки;
    • оформление службы запросов на доступ к информационным ресурсам (внутренним и внешним);
    • получение и обучение работы с электронными цифровыми подписями (ЭЦП).

    Техническая защита конфиденциальных сведений

    Физический, аппаратный, программный и криптографический уровни обеспечения защиты конфиденциальных данных относятся к формальным средствам. Это софт и «железо».

    Физический способ предполагает поддержание работы механизмов, являющихся препятствием для доступа к данным вне информационных каналов: замки, видеокамеры, датчики движения/излучения и т.п. Это оборудование действует независимо от информационных систем, но ограничивает доступ к носителям информации.

    Аппаратными средствами безопасности считаются все приборы, монтируемые в телекоммуникационных или информационных системах: спецкомпьютеры, серверы и сети организации, система контроля работников, шумовые генераторы, любое оборудование, перекрывающее возможные каналы утечек и обнаруживающее «дыры» и т.д.

    Программные средства представляет комплексное решение, предназначенное для обеспечения безопасной работы (пример – DLP и SIEM системы, блокирующие возможную утечку данных и анализирующие реальные сигналы тревоги от устройств и приложений сетевого характера):

    • DLP (Data Leak Prevention, предотвращение утечки данных) – средства для пресечения утечки данных, модификации информации, перенаправления информационных потоков;
    • SIEM (Security Information and Event Management, управление событиями и информационной безопасностью) – анализ в режиме реального времени сигналов об угрозах, ведение журнала данных, создание отчетов. SIEM представлены приложениями, приборами, программным обеспечением.

    Криптографическая (математическая) защита позволяет безопасно обмениваться данными в глобальной либо корпоративной сетях. Математические преобразованные, шифрованные каналы считаются оптимально защищенными. Но стопроцентной защиты никто гарантировать не может!

    Криптография (шифрование) данных считается одним из самых надежных способов – технология сохраняет саму информацию, а не только доступ к ней. Средства шифрования обеспечивают защиту физических и виртуальных носителей информации, файлов и каталогов (папок), целых серверов.

    Средства криптографической защиты конфиденциальной информации требуют внедрения программно-аппаратного комплекса:

    • с использованием криптопровайдеров (программных компонентов шифрования);
    • организацией VPN;
    • применением средств формирования, контроля и использования ЭЦП.

    При внедрении систем шифрования данных следует заранее продумать их совместимость с иными системами (включая внешние).

    Видео (кликните для воспроизведения).

    Техническая защита конфиденциальной информации в организации требует проведения аттестации – набора организационных и иных мероприятий, достаточных для безопасной работы с конфиденциальными данными. Аттестация базируется на требованиях и рекомендациях ФСТЭК, применяется для защищаемых помещений и автоматизированных систем.

    Читайте так же:  Установление юридического факта ошибка в фамилии

    Отсутствие или недостаточное внимание к одной из составляющих защиты конфиденциальной информации на предприятии может закончиться тем, что внутренние данные окажутся достоянием мошенников. Обеспечивая информационную безопасность, необходимо всегда использовать комплексные меры, учитывающие множественность способов защиты.

    Источник: http://integrus.ru/blog/it-decisions/zashhita-konfidentsialnoj-informatsii-v-organizatsii.html

    Криптографическая защита персональных данных

    сентября 2019 года в Ярославле состоялось Межрегиональное совещание директоров территориальных ФОМС Центрального Федерального округа, в котором приняли участие в том числе эксперты КриптоПро.

    Одним из наиболее интересных на наш взгляд выступлений было выступление представителя УФСБ России по Ярославской области, в рамках которого представитель регулятора поделился некоторыми особенностями и результатами проверок поднадзорных организаций в части обращения средств криптографической защиты информации (далее — СКЗИ), используемых для защиты персональных данных (далее — ПДн). Дальше приведем основные тезисы этого выступления.

    При проверках ФСБ России грубыми нарушениями считаются следующие:

    • Для защиты передаваемых по каналам связи ПДн используются несертифицированные ФСБ России СКЗИ или сертифицированные, но с сертификатами с истекшими сроками действия;
    • Не определены уровни защищенности информационных систем ПДн и классы защиты СКЗИ по приказу ФСБ.

    Извещение о проверке направляется со стороны ФСБ России за три дня до самой проверки, т.к. почти внезапная проверка является более эффективной.

    В последнее время наблюдается тенденция сокращения операторами ПДн финансовых расходов и кадровых ресурсов по информационной безопасности для защиты ПДн. Поэтому регулятором были внесены соответствующие изменения в подходы к проверкам. Если раньше при проверках в ответ на выявленные и зафиксированные в предписании нарушения со стороны проверяемой организации звучали жалобы на то, что на устранение нарушений нет денег и что в лучшем случае они будут заложены в бюджет на следующий год, то теперь же ситуация кардинально изменилась — отсутствие денег больше не повод для неисправления выявленных нарушений. На устранение выявленных нарушений ФСБ России в настоящее время дает три месяца стандартно, в исключительных случаях — шесть месяцев. За неисправление нарушений вовремя положены штрафы. Приостановка деятельности формально также возможна, но регулятором не практикуется.

    Перечень типовых нарушений, обычно выявляемых регулятором в ходе проверок:

    Павел Луцик
    директор по продажам и развитию бизнеса
    ООО «КРИПТО-ПРО»

    Источник: http://www.cryptopro.ru/blog/2019/09/16/o-tipovykh-narusheniyakh-vyyavlyaemykh-fsb-rossii-pri-proverkakh-operatorov-personal

    Криптографическая защита персональных данных

    Кто владеет информацией, тот владеет миром.

    В современном мире информация является ценным товаром, пропажа которого может привести к непоправимым последствиям. Ведущие шифровальщики разрабатывают такие методы защиты, которые бы обеспечили ее целостность и конфиденциальность.

    Сохранение данных от посторонних лиц путем их преобразования существует уже несколько тысячелетий. Современная письменность возникла из криптографической системы. Философы Древней Греции, Древней Индии и Древнего Египта вели труды, активно используя различные шифры. В те времена криптографией владели только образованные люди, поэтому книги, документы и другая информация были недоступнынеграмотным слоям населения.

    В настоящее время работы шифрования, кодирования или иного преобразования информации выполняют специальные программы, которые входят в операционные системы, веб-браузеры, электронную почту и т.д. Специалисты компьютерной безопасности считают криптографические методы защиты данных одними из самых надежных, поэтому государственные учреждения и частные компании могут использовать их от возможных киберпосягательств.

    Благодаря сложным математическим методам преобразования информации, которая ежедневно передается по телефонному разговору или по глобальной сети, она становится совершенно непонятной для посторонних лиц.

    Криптографические программы защищают конфиденциальные данные от нежелательного прочтения и копирования, подделки, нарушения целостности или уничтожения информации и много другого.

    Высокая эффективность обусловлена способом защиты, так как кодируются данные, а не путь к ним. Злоумышленник, похитивший такой тип сведений, не сможет получить доступа без предъявления ключа криптограммы и обратного преобразования.

    В истории уже есть ряд примеров, когда хакерам удавалась взломать защиту крупных компаний. Но использование криптографических методов не позволило злоумышленникам воспользоваться важными сведениями в корыстных целях.

    Зашифрованные данные можно без опаски передавать по электронной почте, хранить их как в «облачных», так и на дисковых носителях. Их используют в Интернет-коммерции (виртуальные магазины, платежные системы, онлайн-аукционы и т д.), в создании«умных» электроизмерителей и для защиты военных радиокоммуникаций.

    Применение электронных способов шифровки особенно актуально для тех коммерческих организаций, которым нельзя допустить взлом базы данных клиентов. Это приведет не только к огромным убыткам, но и потери имиджа перед общественностью.

    Криптосистемы могут обеспечивать аутентичность пользователя, то есть его подлинность, к примеру, электронная подпись. Для государственных структур шифрование данных является вопросом национальной безопасности.

    Сложные вычислительные процессы шифруют данные, дробя их на 128-, 192- либо 256-битные ключи. Распознать их в сети невозможно, потому что внешне онипредставлены в виде набора закодированных символов.

    Разгадать такую информацию можно только с помощью ключа, который формирует выбор преобразования и порядок его выполнения. Важный компонент криптографического метода защиты представляет собой порядок символов.

    В настоящее время существует два основных типа кодирования данных систем:

    1. Приватный ключ – секретный код, который позволяет симметрично шифровать данные отправителя и получателя. Главное условие эффективной работы – доступ к ключу должны иметь только две стороны, чтобы избежать утечки данных. Такой способ шифрования может оказаться слишком долгим, если к обмену подключается группа лиц.
    2. Большинство пользователей предпочитают систему открытых ключей. Она имеет два отдельных кода: публичный доступен для кодирования данных несколькими людьми, а частный служит только для декодирования. Такой тип ключа можно опубликовать на веб-странице или поместить в легкодоступное хранилище.
    Читайте так же:  Какие документы нужны для судебного приказа

    В настоящее время ведущие производители программного обеспечения предлагают криптографический софт.

    Одной из самых популярных является программа RSA (аббревиатура образована от трех фамилий Rivest, Shamir и Adleman). Данный алгоритм принадлежит к системе открытых ключей, которая кодирует информацию при помощи больших целых чисел. Софт уже внедрен во многие известные программные продукты. Кроме того, его можно скачать на официальном сайте компании-разработчика.

    Программа SecureSocketsLayer (SSL) в основном эксплуатируется теми компаниями, которые используют электронные платежи по виртуальным заказам. Также в зоне применения находятся: Secure Electronic Transactions (SET), и Data Encryption Standard (DES) и ряд других.

    Smart-карта – универсальная криптограмма

    Многие эксперты считают, что будущееза электронной картой такого типа, потому что она имеет интегрирующую систему с возможностью хранить и обрабатывать данные.

    Smart-карты могут существенно повысить портативность и универсальность их использования. С увеличением возможностей криптографической системы в скором будущем такие электронные носители можно будет применять во многих сферах. Пластиковую карту можно будет использовать не только в качестве оплаты различных покупок, но и в качестве электронной подписи, проездного билета и т. п.

    Помимо денежных средств на бесконтактных носителях есть возможность хранить не только денежные накопления, но и цифровые изображения.

    Квантовая криптография

    Новым направлением в эволюции информационной защиты является квантовые методы криптографии. Они позволяют создать суперохрану цифровой информации от взлома. В 1970 году ученый Стефан Вейснер предложил использовать квантовые объекты от несанкционированного доступа. Через 10 лет исследователи Беннет и Брассард развили идею коллеги, предложив применять современные технологии для передачи тайного ключа.

    В чем же преимущество квантового канала связи? Дело в том, что попытка перехвата сведений приводит к различным помехам. Таким образом, два лица могут спокойно обмениваться секретной информацией без боязни быть подслушанными. Тоже самое касается передачи текстовой информации.

    Такой способ приобретает особое звучание в работе правоохранительных органов, дипломатических структур, службе безопасности компании и т. д.

    Специальная техника

    Также на зарубежном и отечественном рынке выпускаются различное техническое оборудование и наборы профессиональной аппаратуры кодирования и шифрования телефонных и видеопереговоров, деловой переписки, дипломатической миссии и т. д., которые защищают государственную и коммерческую информацию.

    К ним относятся скремблеры, маскираторы и другие устройства, которые ограждают телефонное, компьютерное оборудование от прослушивания.

    Но такие устройства имеют высокую стоимость, поэтому доступны только крупным концернам. Большинство предприятий предпочитает применять криптографическое программное обеспечение, которые по функционалу не уступает специализированным приборам.

    Многие компании считают криптографические методы слишком затратными и опасными способами хранения информации из-за существующей возможности потерять ключ-дешифровщик. Но все это связано лишь со стереотипами. Ни один человек не откажет себе в возможности купить хороший автомобиль, испытывая страх потерять от него ключ. В современном мире уже давно успешно существуют дубликаты, о месте хранения которых знает только владелец авто.

    Управление ключами шифрования действительно сложная задача в облачных сервисах, но вполне решаема. Компании нежелательно отдавать коды провайдеру, который контролирует ресурс в «облаке». Доступ к ключам должен быть только у владельца под постоянным контролем. Хотя зашифрованная информация может вполне храниться в облачных сервисах. Как уже было сказано выше, такие данные нельзя прочитать без кодируемого первоисточника.

    Кроме того, ведущие производители программного обеспечения создают системы криптографической защиты, которая не требует от специалиста знаний в области программирования. Дополнительных затрат для обучения не понадобится. Благодаря высокоуровневому интерфейсу софт удобен в работе, как системному администратору, так и обычному пользователю.

    Таким образом, для эффективной работы криптографических алгоритмов всегда необходимо надежное хранилище резервных копий и ключей, а также отсутствие страха работать с персональной «шифровальной машиной».

    Источник: http://www.inf74.ru/safety/ofitsialno/kriptograficheskaya-zashhita-personalnyih-dannyih/

    Новогодний сюрприз ФСБ России: обновление стандартов криптографии

    С 1 января 2016 года в России начнут действовать новые национальные криптографические стандарты: ГОСТ Р 34.12-2015 «Информационная технология.

    Криптографическая защита информации. Блочные шифры» и ГОСТ Р 34.13-2015 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров», разработанные Центром защиты информации и специальной связи ФСБ России с участием Открытого акционерного общества «Информационные технологии и коммуникационные системы» (ОАО «ИнфоТеКС»).

    Блочный шифр является важным криптографическим механизмом, который может использоваться как самостоятельный криптографический алгоритм, так и входить в состав других криптографических алгоритмов и протоколов для защиты данных, передаваемых по сетям засекреченной связи или в информационно-телекоммуникационной сети интернет. Учитывая, что алгоритм криптографического преобразования ГОСТ 28147-89 хорошо зарекомендовал себя в программной и аппаратной реализации, и по своим свойствам он не накладывает ограничения на степень конфиденциальности защищаемой информации, признано целесообразным включить в новый криптографический стандарт ГОСТ Р 34.12-2015 «Информационная технология. Криптографическая защита информации. Блочные шифры» описание этого шифра с размером блока 64 бит с зафиксированными блоками нелинейной подстановки (шифр «Магма»). Фиксация блоков нелинейной подстановки сделает алгоритм, описанный в стандарте, более унифицированным и поможет исключить использование «слабых» блоков нелинейной подстановки.

    В стандарт также включен новый блочный шифр (шифр «Кузнечик») типа «подстановочно-перестановочная сеть» с размером блока 128 бит. Данный тип шифров является хорошо изученным и относительно простым с точки зрения криптографического анализа и обоснования требуемых свойств. Ожидается, что блочный шифр с длиной блока 128 бит будет устойчив ко всем известным на сегодняшний день атакам на блочные шифры. Режимы работы n-битного блочного шифра (режим простой замены, режим гаммирования, режим гаммирования с обратной связью по выходу, режим гаммирования с обратной связью по шифртексту, режим простой замены с зацеплением и режим выработки иммитовставки) выведены в отдельный национальный стандарт ГОСТ Р 34.13-2015 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров», что соответствует принятой международной практике, говорится в сообщении на сайте ОАО «ИнфоТеКС».

    Читайте так же:  Раздел имущества после мирового соглашения

    А Банк России готовит изменения требований к информационным технологиям, используемым в национально значимых платежных системах. Согласно новым требованиям, с 2018 года операторы платежных систем должны будут защищать свою информацию исключительно российскими средствами. По мнению экспертов, это не сулит им ничего хорошего, пишет портал Banki.Ru. 25 июля 2014 года Банк России выпустил указание № 3342-У, в котором были изложены требования к информационным технологиям, которые обязан применять оператор услуг платежной инфраструктуры, если хочет, чтобы его платежная система признавалась национально значимой.

    Если оператор считает, что соответствие этим требованиям для него слишком обременительно, его система не признается национально значимой и облагается существенным обеспечительным депозитом. Под требования Банка России попадают крупные системы денежных переводов (Contact, UNIStream, БЭСТ, «Лидер» и т. д.), также национально значимой считается Национальная система платежных карт (НСПК).

    Фактически требования из указания № 3342-У сводятся к тому, что четверть программного обеспечения, используемого оператором, должна быть разработана российскими организациями, платежные карты должны соответствовать отечественным ГОСТам, изготавливаться на территории России, а криптографический модуль в этих картах должен иметь сертификат ФСБ России и (или) иметь сертификаты соответствия стандартам безопасности не менее двух иностранных платежных систем. В мае 2015 года Банк России разослал участникам рынка проект изменений к № 3342-У, в которых некоторые требования были ужесточены. Так, оператор национально значимой платежной системы должен использовать полностью российские средства защиты информации, как программные, так и аппаратные.

    По мнению опрошенных порталом экспертов, такие средства в стране разрабатываются, но заменить парк внедренных защитных средств — дело недешевое и небыстрое, но времени на это дают до 2018 года. Как рассказал порталу Банки.ру председатель правления UNIStream Кирилл Пальчун, «в настоящее время большинство банковских информационных систем используют стандартные средства управления доступом и регистрацией событий, являющиеся частью операционной системы. Эти средства имеют сертификаты ФСТЭК России. При этом самая распространенная операционная система — Windows от Microsoft. Согласно проекту изменений, вместо стандартных средств управления доступом операционных систем необходимо будет использовать российские аналоги. Естественно, это потребует определенных затрат с нашей стороны». По мнению Пальчуна, однозначно выиграет рынок производителей российских систем защиты информации, но это не будет стимулировать конкуренцию и, как следствие, дальнейшее развитие технологий.

    Более оптимистично смотрит на проект председатель совета директоров платежной системы «Лидер» Ольга Вилкул: «Для выполнения указания Банка России платежной системе „Лидер“ изменения не потребуются. Все технологии, используемые в работе процессинга, — это наши собственные разработки. Многие из них запатентованы в России. 40% сотрудников компании работают в сфере IT и занимаются постоянным совершенствованием процессинговой площадки системы». Правда, из этих слов следует, что «Лидер» также самостоятельно разрабатывает средства защиты информации, вместо того чтобы использовать продукты известных в отрасли производителей, как это обычно делается. Однако с позиции Банка России это вполне нормально: главное, чтобы имелись все подобающие сертификаты.

    В свою очередь, Национальный совет финансового рынка (НСФР) подготовил экспертное заключение на проект изменений в указание № 3342-У. В обсуждении участвовали эксперты из национально значимых платежных систем, которых эти изменения должны непосредственно затронуть. По их мнению, некоторые положения проекта требуют уточнений. Так, в пункте 1.4 указания № 3342-У, который гласит, что криптографический модуль, используемый платежной картой, должен иметь сертификат ФСБ и (или) сертификат безопасности двух или более иностранных платежных систем, Банк России собрался убрать слово «или». Как отмечают эксперты НСФР, если следовать букве нового варианта пункта 1.4, национально значимая платежная система обязана будет использовать карты, криптографический модуль которых должен быть сертифицирован одновременно как ФСБ, так и иностранными платежными системами.

    По мнению НСФР, это приведет к тому, что национально значимые платежные системы долгое время не смогут работать с картами международных платежных систем, а национальные платежные карты, наоборот, нельзя будет использовать в инфраструктуре МПС. И все потому, что получить сертификат ФСБ для иностранного криптографического модуля — тяжелая и долгая процедура, а сертифицировать отечественный модуль в международных системах будет еще сложнее.

    Новые требования Банка России могут создать еще одну проблему для отечественных платежных систем. Обязательное использование сертифицированного ФСБ России криптографического модуля российской разработки потребует модификации всех устройств, принимающих карты на территории нашей страны. Как полагают эксперты, отведенных на это 2,5 лет может не хватить, такая задача потребует не менее 5-7 лет. Масштаб финансовых затрат на подобное мероприятие оценить сложно.


    Неясен вопрос, кого коснутся новые требования. Проблема криптографического модуля актуальна для национально значимых платежных систем, использующих платежные карты, это УЭК, NCC и НСПК. При этом последней непризнание национально значимой не грозит — в соответствии с пунктом 14 статьи 22 161-ФЗ «О национальной платежной системе», НСПК признается национально значимой без всяких условий. Хочется верить, что в конечном итоге Банк России прислушается к экспертам и внесет в проект необходимые изменения.

    Автор: Марина Бродская

    Видео (кликните для воспроизведения).

    Источник: http://iecp.ru/articles/item/396898

    Криптографическая защита персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here