Где взять серийный номер ключевого документа — Форум по вопросам информационной безопасности
Где взять серийный номер ключевого документа — Форум по вопросам информационной безопасности
Страницы: 1 2 >
Добрый день. Кто-нибудь может разъяснить, что считать номером серии ключевого документа?
Некоторые утверждают, что это номер сертификата. Но судя из определения, ключевой документ — физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости — контрольную, служебную и технологическую информацию. Таким образом ключевой документ — это материальная вещь, не электронный файл. Т.е. уже исходя из этого, это не номер сертификата.
В рекомендациях по учету, уничтожению и отчетности по СКЗИ (Для клиентов органов Федерального казначейства) предлагалось брать данный номер из КриптоПро, при просмотре свойств контейнера с ключом, из поля «Имя ключевого контейнера». Но здесь есть свои загвоздки, во-первых данное имя можно изменить, во-вторых, в последнее время там стал генерироваться не рандомный набор символов, а определенный формат цифр (ГГ.ММ.ДД). Поэтому интересует, может есть какой-то другой номер, который будет таким же особенным, как номер сертификата?
Вы правы, ключевой документ — это физический носитель. Для подписей федерального казначейства это любые usb носители, таблетки touch memory и даже дискеты.
Согласно пункту 3.4 утвержденного регламента УЦ ФК (приложение 1 к приказу)
3.4. Создание и выдача сертификата осуществляется при условии наличия у Заявителя:
.
— на ключевом носителе имеется маркировка с учетным номером, присвоенным Заявителем
Из чего можно сделать вывод, что вы сами присваиваете учетный номер вашему ключевому носителю.
Где его взять уже ваше дело, можете придумать, а можете посмотреть в свойствах устройства..
Выходит здесь подойдет обычный инвентарный номер, проставленный на носителе?
Выходит так!
Из моей практики: беру флэшку. На флэшку клею наклейку с названием организации, номером эп по журналу, ф.и.о. пользователя, название системы для которой предназанчена эп. Получаю эп. Заканчиваю регистрацию в журнале. А именно: записываю имя ключевого контейнера из крипто про, записываю серийный (заводской) номер флэшки на которой записана эп. Также (чтобы все было в одном месте) записываю номер сертификата со сроками его действия. Ну и заполняю все остальные оставшиеся графы. Всё.
Форма журнала и раньше условной была, а после утраты актуальности Типовых требований
http://www.fsb.ru/fsb/science/single.htm%21id%3D10437725%40fsbResearchart.html
как хотите так и лепите
«. беру флэшку. На флэшку клею наклейку с названием организации, номером эп по журналу, ф.и.о. пользователя, название системы для которой предназанчена эп. «
Спасибо Вам от лица потенциальных злоумышленников!
Таня | 87067
Дак флэшка эта, должна храниться не на столе среди бумаг, а в местах, исключающих несанкционированный доступ к ней, а точнее в сейфе, желательно в отдельной ячейке. Поработал — убрал. Это есть в нашей инструкции, с которой пользователи знакомятся под роспись. Ну и в инструктаже естественно об этом говорю.
Номера экземпляров криптографические номера ключевых документов что это
Добрый день. Подскажите,в журнале учета СКЗИ есть поле номер ключа, что указывать для ключей КриптоПРО?
Фамилию или номер контейнера?
#2
Оставлено
:
21 ноября 2019 г. 8:08:46(UTC)
Статус: Активный участник
Зарегистрирован: 31.01.2017(UTC)
Сообщений: 219
Откуда: Санкт-Петербург
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
О каких ключах Крипто Про идет речь? Номер лицензии или ЭП?
Цена свободы — вечная бдительность!
#3
Оставлено
:
21 ноября 2019 г. 10:11:42(UTC)
Зарегистрирован: 02.04.2012(UTC)
Сообщений: 17
Сказал(а) «Спасибо»: 1 раз
#4
Оставлено
:
21 ноября 2019 г. 11:18:26(UTC)
Статус: Активный участник
Зарегистрирован: 31.01.2017(UTC)
Сообщений: 219
Откуда: Санкт-Петербург
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
Приказ Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции…»
п. 26 Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования.
ну т.е. указывается номер носителя.
если нормальный носитель — серийный номер носителя, рутокена или е-токена, если флешка — серийник флешки, но тут сложно, надо лезть каждый раз. так то проще рутокен использовать.
кстати, если попросить, то производители рутокенов присылают экселевский файлик с номерами рутокенов, их можно внести в табличку, распечатать журнал, его прошить и сшить.
Цена свободы — вечная бдительность!
#5
Оставлено
:
21 ноября 2019 г. 15:40:32(UTC)
Зарегистрирован: 02.04.2012(UTC)
Сообщений: 17
Сказал(а) «Спасибо»: 1 раз
У нас своя форма журнала СКЗИ, где есть графы серия ключа и номер ключа.В связи с этим и вопрос, где посмотреть серию и номер ключа для ключей КриптоПро,полученных для работы с сайтом закупок.
#6
Оставлено
:
21 ноября 2019 г. 16:02:59(UTC)
Статус: Активный участник
Зарегистрирован: 31.01.2017(UTC)
Сообщений: 219
Откуда: Санкт-Петербург
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
У нас своя форма журнала СКЗИ, где есть графы серия ключа и номер ключа.В связи с этим и вопрос, где посмотреть серию и номер ключа для ключей КриптоПро,полученных для работы с сайтом закупок.
камрадесса, форма Вашего журнала м.б. любой, тогда надо спросить того, кто его придумал. требуемая форма журнала установлена приказом ФАПСИ №152, вот так написано про серийный номер носителя. т.е. когда Вы ЭП записываете на носитель, его номер вносится в журнал. будь то рутокен или флешка или еще что.
самого понятия «ключ Крипто про» — не существует, ибо крипто про — это программа, с помощью которой обрабатывается ЭП. у самой ЭП внутри есть номер, но он не заносится в журнал.
поэтому пишите серийник носителя.
если у Вас нет серийника носителя, что странно, а подпись скопирована сразу в реестр компьютера, то можно написать серийный или инвентарный номер данного компа.
ключевое в данной мере — четко определить и однозначно идентифицировать носитель, на котором учтена ЭП.
пы.сы. крайне советую завести журнал по форме приказа №152, он всяко понадобится.
Цена свободы — вечная бдительность!
#7
Оставлено
:
22 ноября 2019 г. 7:49:53(UTC)
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,598
Откуда: Иркутская область
Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 388 раз в 363 постах
Что-то странное с формулировкой «Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования». Понятно, что для копии ключевого контейнера указывается серийный номер носителя/инвентарный номер компьютера (иногда даже советуют в примечаниях писать внешние «приметы» флешки), но формулировка звучит как-то дико. Сделали допустим 10 копий одного контейнера на одном компьютере, а строчка только одна из-за того что жесткий диск-носитель один?
#8
Оставлено
:
22 ноября 2019 г. 8:11:19(UTC)
Статус: Активный участник
Зарегистрирован: 31.01.2017(UTC)
Сообщений: 219
Откуда: Санкт-Петербург
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
Что-то странное с формулировкой «Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования». Понятно, что для копии ключевого контейнера указывается серийный номер носителя/инвентарный номер компьютера (иногда даже советуют в примечаниях писать внешние «приметы» флешки), но формулировка звучит как-то дико. Сделали допустим 10 копий одного контейнера на одном компьютере, а строчка только одна из-за того что жесткий диск-носитель один?
Не-а. Тут ключевое, что учет «поэкземплярный». Т.е. если ты делаешь 10 экземпляров одного СКЗИ, то учитываешь каждый, т.е. будет 10 строчек, м.б. похожих, но не одинаковых, чтобы отличать. Например, учетка или имя контейнера. В чем и есть смысл журнала.
Цена свободы — вечная бдительность!
Аудит СКЗИ и криптоключей
С точки зрения информационной безопасности криптографические ключи являются критически важными данными. Если раньше, чтобы обокрасть компанию, злоумышленникам приходилось проникать на ее территорию, вскрывать помещения и сейфы, то теперь достаточно похитить токен с криптографическим ключом и сделать перевод через систему Интернет Клиент-Банк. Фундаментом обеспечения безопасности с помощью систем криптографической защиты информации (СКЗИ) является поддержание конфиденциальности криптографических ключей.
А как обеспечить конфиденциальность того, о существования чего вы не догадываетесь? Чтобы убрать токен с ключом в сейф, надо знать о существовании токена и сейфа. Как это не парадоксально звучит, очень мало компаний обладают представлением о точном количестве ключевых документов, которыми они пользуются. Это может происходить по целому ряду причин, например, недооценка угроз информационной безопасности, отсутствие налаженных бизнес-процессов, недостаточная квалификация персонала в вопросах безопасности и т.д. Вспоминают про данную задачу обычно уже после инцидентов, таких как например этот.
В данной статье будет описан первый шаг на пути совершенствования защиты информации с помощью криптосредств, а если точнее, то рассмотрим один из подходов к проведению аудита СКЗИ и криптоключей. Повествование будет вестись от лица специалиста по информационной безопасности, при этом будем считать, что работы проводятся с нуля.
Термины и определения
В начале статьи, дабы не пугать неподготовленного читателя сложными определениями, мы широко использовали термины криптографический ключ или криптоключ, теперь настало время усовершенствовать наш понятийный аппарат и привести его в соответствие действующему законодательству. Это очень важный шаг, поскольку он позволит эффективно структурировать информацию, полученную по результатам аудита.
- Криптографический ключ (криптоключ) — совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе (определение из «розовой инструкции – Приказа ФАПСИ № 152 от от 13 июня 2001 г., далее по тексту – ФАПСИ 152).
- Ключевая информация — специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока [ФАПСИ 152].
Понять принципиальное отличие между криптоключем и ключевой информации можно на следующем примере. При организации HTTPS, генерируются ключевая пара открытый и закрытый ключ, а из открытого ключа и дополнительной информации получается сертификат. Так вот, в данной схеме совокупность сертификата и закрытого ключа образуют ключевую информацию, а каждый из них по отдельности является криптоключом. Тут можно руководствоваться следующим простым правилом – конечные пользователи при работе с СКЗИ используют ключевую информацию, а криптоключи обычно используют СКЗИ внутри себя. В тоже время важно понимать, что ключевая информация может состоять из одного криптоключа. - Ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах. (определение из Постановления Правительства № 313 от от 16 апреля 2012 г. , далее по тексту – ПП-313)
Простым языком, ключевой документ — это ключевая информация, записанная на носителе. При анализе ключевой информации и ключевых документов следует выделить, что эксплуатируется (то есть используется для криптографических преобразований – шифрование, электронная подпись и т.д.) ключевая информация, а передаются работникам ключевые документы ее содержащие. - Средства криптографической защиты информации (СКЗИ) – средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов, ключевые документы, аппаратные шифровальные (криптографические) средства, программно-аппаратные шифровальные (криптографические) средства. [ПП-313]
При анализе данного определения можно обнаружить в нем наличие термина ключевые документы. Термин дан в Постановлении Правительства и менять его мы не имеем права. В тоже время дальнейшее описание будет вестись из расчета что к СКЗИ будут относится только средства осуществления криптографических преобразований). Данный подход позволит упростить проведение аудита, но в тоже время не будет сказываться на его качестве, поскольку ключевые документы мы все равно все учтем, но в своем разделе и своими методами.
Методика аудита и ожидаемые результаты
Основными особенностями предлагаемой в данной статье методике аудита являются постулаты о том, что:
- ни один работник компании не может точно ответить на вопросы, задаваемые в ходе аудита;
- существующие источники данных (перечни, реестры и др.) не точны или слабо структурированы.
Приведем основные зависимости, которые нам в этом помогут:
- Если есть СКЗИ, то есть и ключевая информация.
- Если есть электронный документооборот (в том числе с контрагентами и регуляторами), то скорее всего в нем применяется электронная подпись и как следствие СКЗИ и ключевая информация.
- Электронный документооборот в данном контексте следует понимать широко, то есть к нему будут относится, как непосредственный обмен юридически значимыми электронными документами, так и сдача отчетности, и работа в платежных или торговых системах и так далее. Перечень и формы электронного документооборота определяются бизнес-процессами компании, а также действующим законодательством.
- Если работник задействован в электронном документообороте, то скорее всего у него есть ключевые документы.
- При организации электронного документооборота с контрагентами обычно выпускаются организационно-распорядительные документы (приказы) о назначении ответственных лиц.
- Если информация передается через сеть Интернет (или другие общественные сети), то скорее всего она шифруется. В первую очередь это касается VPN и различных систем удаленного доступа.
- Если в сетевом трафике обнаружены протоколы, передающие трафик в зашифрованном виде, то применяются СКЗИ и ключевая информация.
- Если производились расчеты с контрагентами, занимающимися: поставками средств защиты информации, телекоммуникационных устройств, оказанием услуг по передаче отёчности, услуг удостоверяющих центров, то при данном взаимодействии могли приобретаться СКЗИ или ключевые документы.
- Ключевые документы могут быть как на отчуждаемых носителях (дискетах, флешках, токенах, …), так и записаны внутрь компьютеров и аппаратных СКЗИ.
- При использовании средств виртуализации, ключевые документы могут храниться как внутри виртуальных машин, так и монтироваться к виртуальным машинам с помощью гипервизора.
- Аппаратные СКЗИ могут устанавливаться в серверных и быть недоступны для анализа по сети.
- Некоторые системы электронного документооборота могут находится в неактивном или малоактивном виде, но в тоже время содержать активную ключевую информацию и СКЗИ.
- Внутренняя нормативная и организационно-распорядительная документация может содержать сведения о системах электронного документооборота, СКЗИ и ключевых документов.
- опрашивать работников;
- проводить анализ документации компании, включая внутренние нормативные и распорядительные документы, а также исходящие платежные поручения;
- проводить визуальный анализ серверных комнат и коммуникационных шкафов;
- проводить технических анализ содержимого автоматизированных рабочих мест (АРМ), серверов и средств виртуализации.
Перечень СКЗИ:
По каждому элементу перечня фиксируем следующие данные:
- Модель СКЗИ. Например, СКЗИ Крипто CSP 3.9, или OpenSSL 1.0.1
- Идентификатор экземпляра СКЗИ. Например, серийный, лицензионный (или регистрационный по ПКЗ-2005) номер СКЗИ
- Сведения о сертификате ФСБ России на СКЗИ, включая номер и даты начала и окончания сроков действия.
- Сведения о месте эксплуатации СКЗИ. Например, имя компьютера на которое установлено программное СКЗИ, или наименование технических средств или помещения где установлены аппаратные СКЗИ.
- Управлять уязвимостями в СКЗИ, то есть быстро их обнаруживать и исправлять.
- Отслеживать сроки действия сертификатов на СКЗИ, а также проверять используется ли сертифицированное СКЗИ в соответствии с правилами, установленными документацией или нет.
- Планировать затраты на СКЗИ, зная сколько уже находится в эксплуатации и сколько еще есть сводных средств.
- Формировать регламентную отчетность.
По каждому элементу перечня фиксируем следующие данные:
- Наименование или идентификатор ключевой информации. Например, «Ключ квалифицированной ЭП. Серийный номер сертификата 31:2D:AF», при этом идентификатор следует подбирать таким образом, чтобы по нему можно было найти ключ. Например, удостоверяющие центры, когда посылают уведомления обычно идентифицируют ключи по номерам сертификатов.
- Центр управления ключевой системой (ЦУКС), выпустивший данную ключевую информацию. Это может быть организация выпустившая ключ, например, удостоверяющий центр.
- Физическое лицо, на имя которого выпущена ключевая информация. Эту информацию можно извлечь из полей CN сертификатов X.509
- Формат ключевой информации. Например, СКЗИ КриптоПРО, СКЗИ Верба-OW, X.509 и т.д (или другими словами для использования с какими СКЗИ предназначена данная ключевая информация).
- Назначение ключевой информации. Например, «Участие в торгах на площадке Сбербанк АСТ», «Квалифицированная электронная подпись для сдачи отчетности» и т.д. С точки зрения техники, в данном поле можно фиксировать органичения зафиксированные полях extended key usage и др сертификатов X.509.
- Начало и окончание сроков действия ключевой информации.
- Порядок перевыпуска ключевой информации. То есть знания о том, что нужно делать и как, при перевыпуске ключевой информации. По крайней мере желательно фиксировать контакты должностных лиц ЦУКС, выпустившего ключевую информацию.
- Перечень информационных систем, сервисов или бизнес-процессов в рамках которых используется ключевая информация. Например, «Система дистанционного банковского обслуживания Интернет Клиент-Банк».
- Отслеживать сроки действия ключевой информации.
- В случае необходимости быстро перевыпускать ключевую информацию. Это может понадобится как при плановом, так при внеплановом перевыпуске.
- Блокировать использование ключевой информации, при увольнении работника на которого она выпущена.
- Расследовать инциденты информационной безопасности, отвечая на вопросы: «У кого были ключи для совершения платежей?» и др.
По каждому элементу перечня фиксируем следующие данные:
- Ключевая информация, содержащаяся в ключевом документе.
- Носитель ключевой информации, на который записана ключевая информация.
- Лицо, ответственное за сохранность ключевого документа и конфиденциальность содержащейся в нем ключевой информации.
- Перевыпускать ключевую информацию в случаях: увольнения работников, обладающих ключевыми документами, а также при компрометации носителей.
- Обеспечивать конфиденциальность ключевой информации, путем инвентаризации носителей ее содержащих.
План аудита
Настало время рассмотреть практически особенности проведения аудита. Сделаем это на примере кредитно-финансовой организации или другими словами на примере банка. Данный пример выбран не случайно. Банки используют довольно большое число разношерстных систем криптографической защиты, которые задействованы в гигантском количестве бизнес-процессов, да и к тому же практически все банки являются Лицензиатами ФСБ России по криптографии. Далее в статье будет представлен план аудита СКЗИ и криптоключей, применительно к Банку. В тоже время данный план может быть взят за основу при проведении аудита практически любой компании. Для удобство восприятия план разбит на этапы, которые в свою очередь свернуты в сполйеры.
Этап 1. Сбор данных с инфраструктурных подразделений компании
| № | Действие | Ожидаемый результат и его использование |
| Источник – все работники компании | ||
| 1 | Делаем рассылку по корпоративной почте всем работниками компании с просьбой сообщить в службу информационной безопасности обо всех используемых ими криптографических ключах | Получаем электронные письма, на базе которых формируем перечень ключевой информации и перечень ключевых документов |
| Источник – Руководитель Службы информационных технологий | ||
| 1 | Запрашиваем перечень ключевой информации и ключевых документов | С некоторой вероятностью Служба ИТ ведет подобные документы, будем использовать их для формирования и уточнения перечней ключевой информации, ключевых документов и СКЗИ |
| 2 | Запрашиваем перечень СКЗИ | |
| 3 | Запрашиваем реестр ПО, установленного на серверах и рабочих станциях | В данном реестре ищем программные СКЗИ и их компоненты. Например, КриптоПРО CSP, Верба-OW, Signal-COM CSP, Сигнатура, PGP, ruToken, eToken, КритоАРМ и др. На базе этих данных формируем перечень СКЗИ. |
| 4 | Запрашиваем перечень работников (вероятно техническая поддержка), помогающих пользователям по использованию СКЗИ и перевыпуску ключевой информации. | Запрашиваем у данных лиц аналогичную информацию, что и у системных администраторов |
| Источник – системные администраторы Службы информационных технологий | ||
| 1 | Запрашиваем перечень отечественных криптошлюзов (VIPNET, Континент, S-terra и др.) | В случаях, когда в компании не реализованы регулярные бизнес процессы управления ИТ и ИБ, подобные вопросы могут помочь вспомнить системным администраторам о существовании того или иного устройства или ПО. Используем данную информацию для получения перечня СКЗИ. |
| 2 | Запрашиваем перечень отечественных программных СКЗИ (СКЗИ МагПро КриптоПакет, VIPNET CSP, CryptonDisk, SecretDisk, …) | |
| 3 | Запрашиваем перечень маршрутизаторов, реализующих VPN для: а) связи офисов компании; б) взаимодействия с контрагентами и партнерами. |
|
| 4 | Запрашиваем перечень информационных сервисов, опубликованных в Интернет (доступных из Интернет). Они могу включать: а) корпоративную электронную почту; б) системы обмена мгновенными сообщениями; в) корпоративные web-сайты; г) сервисы для обмена информации с партнерами и контрагентами (extranet); д) системы дистанционного банковского обслуживания (если компания – Банк); е) системы удаленного доступа в сеть компании. Для проверки полноты предоставленных сведений сверяем их с перечнем правил Portforwarding пограничных межсетевых экранов. |
Анализируя полученную информацию с высокой вероятностью можно встретить использование СКЗИ и криптоключей. Используем полученные данные для формирования перечня СКЗИ и ключевой информации. |
| 5 | Запрашиваем перечень информационных систем, используемых для сдачи отчетности (Такском, Контур и т. д.) | В данных системах используются ключи квалифицированной электронной подписи и СКЗИ. Через данный перечень формируем перечень СКЗИ, перечень ключевой информации, а также узнаем работников, пользующихся этими системами для формирования перечня ключевых документов. |
| 6 | Запрашиваем перечень систем внутреннего электронного документооборота (Lotus, DIRECTUM, 1С: Документооборот и др.), а также перечень их пользователей. | В рамках внутренних систем электронного документооборота могут встретиться ключи электронной подписи. На основании полученной информации формируем перечень ключевой информации и перечень ключевых документов. |
| 7 | Запрашиваем перечень внутренних удостоверяющих центров. | Средства, используемые для организации удостоверяющих центров, фиксируем в перечне СКЗИ. В дальнейшем будем анализировать содержимое баз данных удостоверяющих центров для выявления ключевой информации. |
| 8 | Запрашиваем информацию об использовании технологий: IEEE 802.1x, WiFiWPA2 Enterprise и систем IP-видеонаблюдения | В случае использования данных технологий мы можем обнаружить в задействованных устройствах ключевые документы. |
| Источник – Руководитель кадровой службы | ||
| 1 | Просим описать процесс приема и увольнение работников. Фокусируемся на вопросе о том, кто забирает у увольняющихся работников ключевые документы | Анализируем документы (обходные листы) на предмет наличия в них информационных систем в которых могут использоваться СКЗИ. |
Этап 2. Сбор данных с бизнес-подразделений компании (на примере Банка)
| № | Действие | Ожидаемый результат и его использование |
| Источник – Руководитель служба расчетов (корреспондентских отношений) | ||
| 1 | Просим предоставить схему организации взаимодействия с платежной системой Банка России. В частности, это будет актуально для Банков, имеющих развитую филиальную сеть, при которой филиалы могут подключать в платежную систему ЦБ напрямую | На базе полученных данных определяем местоположение платежных шлюзов (АРМ КБР, УТА) и перечень задействованных пользователей. Полученную информацию используем для формирования перечня СКЗИ, ключевой информации и ключевых документов. |
| 2 | Запрашиваем перечень Банков, с которыми установлены прямые корреспондентские отношения, а также просим рассказать кто занимается осуществлением переводов и какие технические средства используются. | Аналогично, как для платежной системы Банка России |
| 3 | Запрашиваем перечень платежных систем, в которых участвует Банк (SWIFT, VISA, MasterCard, НСПК, и т.д), а также месторасположение терминалов для связи | Аналогично, как для платежной системы Банка России |
| Источник – Руководитель подразделения, отвечающего за предоставление дистанционных банковских услуг | ||
| 1 | Запрашиваем перечень систем дистанционного банковского обслуживания. | В указанных системах анализируем использование СКЗИ и ключевой информации. На основании полученных данных формируем перечень СКЗИ и ключевой информации и ключевых документов. |
| Источник – Руководитель подразделения, отвечающего за функционирование процессинга платежных карт | ||
| 1 | Запрашиваем реестр HSM | На базе полученной информации формируем перечень СКЗИ, ключевой информации и ключевых документов. |
| 2 | Запрашиваем реестр офицеров безопасности | |
| 4 | Запрашиваем информацию о компонентах LMK HSM | |
| 5 | Запрашиваем информацию об организации систем типа 3D-Secure и организации персонализации платежных карт | |
| Источник – Руководители подразделений, выполняющих функции казначейства и депозитария | ||
| 1 | Перечень банков, с которыми установлены корреспондентские отношения и которые участвую в межбанковском кредитовании. | Используем полученную информацию для уточнения ранее полученных данных от службы расчетов, а также фиксируем информацию о взаимодействии с биржами и депозитариями. На базе полученной информации формируем перечень СКЗИ и ключевой информации. |
| 2 | Перечень бирж и специализированных депозитариев с которыми работает Банк | |
| Источник – Руководители служб финансового мониторинга и подразделений ответственных за сдачу отчетности в Банк России | ||
| 1 | Запрашиваем информацию о том, как они отправляют сведения и получают сведения из ЦБ. Перечень задействованных лиц и технических средств. | Информационное взаимодействие с Банком России жестко регламентировано соответствующими документами, например, 2332-У, 321-И и многими другими, проверяем соответствие этим документам и формируем перечни СКЗИ, ключевой информации и ключевых документов. |
| Источник – Главный бухгалтер и работники бухгалтерии, занимающиеся оплатой счетов по внутрибанковским нуждам | ||
| 1 | Запрашиваем информацию, о том, как происходит подготовка и сдача отчетности в налоговые инспекции и Банк России | Уточняем ранее полученные сведения |
| 2 | Запрашиваем реестр платежных документов, для оплаты внутрибанковских нужд | В данном реестре будем искать документы где: 1) в качестве адресатов платежей указаны удостоверяющие центры, специализированные операторы связи, производители СКЗИ, поставщики телекоммуникационного оборудования. Наименования данных компаний можно получить из Реестра сертифицированных СКЗИ ФСБ России, перечня аккредитованных удостоверяющих центров Минкомсвязи и других источников. 2) в качестве расшифровки платежа присутствуют слова: «СКЗИ», «подпись», «токен», «ключевой», «БКИ» и т. д. |
| Источник – Руководители служб по работе с просроченной задолженностью и управления рисков | ||
| 1 | Запрашиваем перечень бюро кредитных историй и коллекторских агентств, с которыми работает Банк. | Совместно со службой ИТ анализируем полученные данные с целью выяснения организации электронного документооборота, на базе чего уточняем перечни СКЗИ, ключевой информации и ключевых документов. |
| Источник – Руководители служб документооборота, внутреннего контроля и внутреннего аудита | ||
| 1 | Запрашиваем реестр внутренних организационно распорядительных документов (приказов). | В данных документах ищем документы, относящиеся к СКЗИ. Для этого анализируем наличие ключевых слов «безопасность», «ответственное лицо», «администратор», «электронная подпись», «ЭП», «ЭЦП», «ЭДО», «АСП», «СКЗИ» и их производных. После чего выявляем перечень работников Банка зафиксированных в этих документах. Проводим с работниками интервью на тему использования ими криптосредств. Полученную информацию отражаем в перечнях СКЗИ, ключевой информации и ключевых документов. |
| 2 | Запрашиваем перечни договоров с контрагентами | Стараемся выявить договора об электронном документообороте, а также договора с компаниями, занимающимися поставной средств защиты информации или оказывающими услуги в этой области, а также компаниями, предоставляющими услуги удостоверяющих центров и услуги сдачи отчетности через Интернет. |
| 3 | Анализируем технологию хранения документов дня в электронном виде | При реализации хранения документов дня в электронном виде обязательно применяются СКЗИ |
Этап 3. Технический аудит
| № | Действие | Ожидаемый результат и его использование |
| 1 | Проводим техническую инвентаризацию ПО установленного на компьютерах. Для этого используем: · аналитические возможности корпоративных систем антивирусной защиты (например, Антивирус Касперского умеет строить подобный реестр). · скрипты WMI для опроса компьютеров под управлением ОС Windows; · возможности пакетных менеджеров для опроса *nix систем; · специализированное ПО для инвентаризации. |
Среди установленного ПО ищем программные СКЗИ, драйвера для аппаратных СКЗИ и ключевых носителей. На базе полученной информации обновляем перечень СКЗИ. |
| 2 | Осуществляем поиск ключевых документов на серверах и рабочих станциях. Для этого · Logon-скриптами опрашиваем АРМ в домене на предмет наличия сертификатов с закрытыми ключами в профилях пользователей и профилях компьютера. · На всех компьютерах, файловых серверах, гипервизорах ищем файлы с расширениями: crt, cer, key, pfx, p12, pem, pse, jks и др. · На гипервизорах систем виртуализации ищем примонтированные дисководы и образы дискет. |
Очень часто ключевые документы представлены в виде файловых ключевых контейнеров, а также контейнерами, хранящимися в реестрах компьютеров, работающих под управлением ОС Windows. Найденные ключевые документы фиксируем в перечне ключевых документов, а содержащеюся в них ключевую информацию в перечне ключевой информации. |
| 3 | Анализируем содержание баз данных удостоверяющих центров | Базы данных удостоверяющих центров обычно содержат в себе данные о выпущенных этим центрами сертификатов. Полученную информацию заносим в перечень ключевой информации и перечень ключевых документов. |
| 4 | Проводим визуальный осмотр серверных комнат и коммутационных шкафов, ищем СКЗИ и аппаратные ключевые носители (токены, дисководы) | В некоторых случаях, невозможно провести инвентаризацию СКЗИ и ключевых документов по сети. Системы могут находится в изолированных сетевых сегментах, либо вообще не иметь сетевых подключений. Для этого проводим визуальный осмотр, в результатах которого должно быть установлены названия и назначение всего оборудования, представленного в серверных. Полученную информацию заносим в перечень СКЗИ и ключевых документов. |
| 5 | Проводим анализ сетевого трафика, с целью выявления информационных потоков, использующих шифрованный обмен | Шифрованные протоколы – HTTPS, SSH и др. позволят нам идентифицировать сетевые узлы на которых выполняются криптографические преобразования, и как следствие содержащие СКЗИ и ключевые документы. |
Заключение
В данной статье мы рассмотрели теорию и практику проведения аудита СКЗИ и криптоключей. Как вы убедились, процедура эта довольно сложная и трудоемкая, но если к ней грамотно подходить вполне осуществимая. Будем надеется данная статья вам поможет в реальной жизни. Спасибо за внимание, ждем ваших комментариев
- Информационная безопасность
- Криптография
Номера экземпляров криптографические ключевых документов
Криптографические номера ключевых документов являются важным инструментом в обеспечении безопасности информации. Они помогают идентифицировать и отслеживать различные экземпляры документов, устанавливая уникальные идентификаторы для каждого из них.
Определение номеров экземпляров является неотъемлемой частью процесса создания и управления ключевыми документами. Существует несколько методов определения номеров экземпляров, включая использование криптографических алгоритмов и специальных кодов.
Криптографические номера обычно включают в себя комбинацию букв, цифр и символов. Они могут быть сгенерированы с помощью специального программного обеспечения, которое использует сложные математические алгоритмы для создания уникальных идентификаторов. Криптографические номера также могут быть уникальными для каждого документа или могут быть связаны с определенной серией или типом документов.
Криптографические номера ключевых документов: обзор и важность
Одним из методов защиты таких документов является использование криптографических номеров. Криптографический номер представляет собой уникальную последовательность символов, которая присваивается ключевому документу. Этот номер используется для идентификации и проверки подлинности документа.
Криптографические номера ключевых документов обладают несколькими важными свойствами. Во-первых, они являются уникальными, что позволяет идентифицировать конкретный экземпляр документа среди множества других. Во-вторых, они не могут быть подделаны или изменены без нарушения целостности документа. Такой уровень защиты обеспечивается с использованием различных криптографических алгоритмов и методов.
Использование криптографических номеров ключевых документов имеет важное значение для обеспечения безопасности информации. Это позволяет создать надежную систему контроля и учета документов, а также предотвратить несанкционированный доступ или подделку.
Виды криптографических номеров в ключевых документах
В ключевых документах криптографические номера используются для идентификации и контроля доступа к информации. Существует несколько видов криптографических номеров, каждый из которых имеет свою специфику и применение.
- Серийный номер – это уникальный номер, присвоенный каждому экземпляру ключевого документа. Серийные номера позволяют установить порядок изготовления и использования документов. Они часто используются для регистрации документов и контроля их распределения.
- Уникальный идентификатор – это уникальный код или номер, используемый для идентификации конкретного экземпляра ключевого документа. Уникальные идентификаторы могут быть использованы для отслеживания документов, контроля доступа к информации и обеспечения безопасности.
- Хеш-код – это числовое значение, полученное из исходных данных с помощью криптографической хеш-функции. Хеш-коды используются для проверки целостности информации и обеспечения ее неприкосновенности. Если хеш-код исходных данных не совпадает с сохраненным хеш-кодом, это указывает на возможные изменения или повреждения информации.
- Регистрационный номер – это номер, присвоенный организацией или учреждением при регистрации ключевого документа. Регистрационные номера позволяют проводить учет и контроль документов, а также определять их юридическую значимость и авторитет.
Выбор правильного вида криптографического номера зависит от конкретных требований и целей использования ключевого документа. Каждый вид номера имеет свои преимущества и ограничения, и его выбор должен основываться на анализе рисков и потребностей организации.
Процесс формирования криптографических номеров
Шаг 1: Создание уникальной последовательности символов
Первый шаг в процессе формирования криптографического номера — создание уникальной последовательности символов. Для этого обычно используется алгоритм хеширования, который преобразует информацию о документе в неповторимую строку символов. В результате получается набор символов фиксированной длины.
Шаг 2: Присваивание номера и дополнительной информации
Полученная уникальная последовательность символов затем присваивается в качестве номера документа. Вместе с этим номером можно добавить дополнительную информацию о документе, например, его тип, дату создания или автора. Это помогает дополнительно идентифицировать и классифицировать документы.
Процесс формирования криптографических номеров обеспечивает высокую степень безопасности и защиту информации. Криптографические номера позволяют легко управлять и отслеживать ключевые документы, а также контролировать их использование. Благодаря этому они широко применяются в различных сферах, включая финансовые организации, государственные учреждения и коммерческие предприятия.
Как определить криптографический номер экземпляра документа
Для определения криптографического номера экземпляра документа необходимо выполнить следующие шаги:
- Определить алгоритм хеширования, который будет использоваться для получения криптографического номера.
- Выбрать хешируемую информацию, которая будет использоваться в процессе генерации номера.
- Применить выбранный криптографический алгоритм к хешируемой информации и получить хэш-значение.
- Преобразовать хэш-значение в строку с определенным форматом и добавить дополнительные символы, включающие метаданные и контрольные суммы.
- Задать уникальный префикс или суффикс для криптографического номера, чтобы обеспечить его уникальность в рамках системы.
- Проверить полученный криптографический номер на соответствие заданным требованиям и стандартам.
Криптографические номера экземпляров документов играют важную роль при установлении контроля доступа и отслеживания истории изменений. Правильная реализация процесса определения и использования криптографических номеров позволяет обеспечить высокую безопасность и конфиденциальность информации.
| Преимущества криптографических номеров экземпляров документов: |
|---|
| Обеспечение безопасного обмена и хранения информации; |
| Предотвращение подделки и изменения данных; |
| Установление контроля доступа и управления правами пользователей; |
| Отслеживание истории изменений и установление ответственности. |
Возможные форматы криптографических номеров
В криптографии существуют различные форматы номеров для идентификации и организации ключевых документов. Каждый формат может использоваться в зависимости от требований конкретной системы или протокола.
- Случайно сгенерированные числа: этот формат используется для создания уникальных номеров ключевых документов путем генерации случайной последовательности символов. Такой формат обеспечивает высокую степень уникальности и безопасности номеров.
- Хеш-суммы: в этом формате номера ключевых документов создаются путем применения криптографической хеш-функции к содержимому документа. Такой подход позволяет быстро проверить целостность документа и обнаружить любые изменения в нем.
- Уникальные идентификаторы: в этом формате номера ключевых документов состоят из уникальных идентификаторов, которые могут быть присвоены вручную или автоматически системой. Такие номера обеспечивают простоту использования и возможность отслеживания документов.
Важно выбрать подходящий формат номеров ключевых документов, учитывая требования безопасности, уникальности и удобства использования в конкретной системе или протоколе.
Роли и обязанности оператора СКЗИ при работе с криптографическими номерами
Оператор системы криптографической защиты информации (СКЗИ) играет важную роль в обеспечении безопасности и конфиденциальности данных, особенно при работе с криптографическими номерами ключевых документов.
Определение и назначение криптографических номеров
Криптографические номера представляют собой уникальные идентификаторы, которые присваиваются ключевым документам в целях их идентификации и защиты от несанкционированного доступа. Они играют важную роль в процессе шифрования и дешифрования информации.
Оператор СКЗИ должен обладать эффективными навыками и знаниями для правильного определения и назначения криптографических номеров. Он должен быть внимательным и ответственным, так как ошибки при работе с номерами могут привести к возможности взлома системы или компрометации данных.
Обязанности оператора СКЗИ
Оператор СКЗИ имеет следующие обязанности:
- Определение номеров ключевых документов: Оператор СКЗИ должен определить и присвоить криптографический номер каждому ключевому документу. Он должен убедиться, что номера являются уникальными и соответствуют установленным требованиям безопасности.
- Управление и регистрация номеров: Оператор СКЗИ должен аккуратно вести учет и регистрацию всех присвоенных криптографических номеров. Он должен обеспечить сохранность номеров и предотвратить их утрату или несанкционированный доступ к ним.
- Передача и хранение ключевых документов: Оператор СКЗИ должен следить за безопасной передачей и хранением ключевых документов, содержащих криптографические номера. Он должен применять соответствующие меры защиты, включая шифрование и контроль доступа.
- Изменение и обновление номеров: Оператор СКЗИ должен вносить изменения в номера ключевых документов, если это необходимо. Например, при выявлении уязвимостей или утере документов. Он должен обеспечить своевременное обновление и распространение изменений.
Оператор СКЗИ выполняет важные обязанности по работе с криптографическими номерами. Его профессионализм и ответственность являются ключевыми факторами для обеспечения безопасности информации и защиты от угроз.
Возможные ошибки при определении номеров экземпляров
Определение номеров экземпляров криптографических ключевых документов может подвергаться различным ошибкам, которые могут привести к серьезным последствиям. Вот некоторые из возможных ошибок, которые следует учитывать:
1. Дублирование номеров экземпляров:
Может возникнуть ситуация, когда двум или более документам назначается один и тот же номер экземпляра, что приводит к путанице и неправильному идентифицированию документов.
2. Ошибки при нумерации:
Очень важно быть аккуратным при проставлении номеров экземпляров. Допущение даже небольшой ошибки может привести к некорректному определению документов, что может существенно затруднить их использование.
3. Неправильная привязка номеров к документам:
Если номера экземпляров не относятся к правильным документам, то такие номера окажутся бесполезными и не смогут использоваться для идентификации нужных ключевых документов.
4. Ошибки при копировании или записи номеров:
При копировании или записи номеров экземпляров может возникнуть ошибка, что также может привести к неправильной идентификации документов. Важно сверить номера перед использованием, чтобы убедиться в их точности.
Чтобы избежать подобных ошибок, рекомендуется использовать систему автоматического или компьютерного определения номеров экземпляров криптографических ключевых документов. Это позволит минимизировать возможность человеческого фактора и снизить вероятность ошибок.
Важность отслеживания криптографических номеров для обеспечения безопасности
Каждый документ, защищенный шифрованием, должен быть помечен криптографическим номером, который уникален для каждого экземпляра. При проверке документа на подлинность, можно сравнить его криптографический номер со значением, указанным в центральном реестре или другой базе данных.
Отслеживание криптографических номеров имеет ряд преимуществ. Во-первых, это позволяет обнаружить подделку или замену документа. Если криптографический номер не совпадает с данными в базе данных, это может указывать на возможную подделку.
Во-вторых, отслеживание криптографических номеров упрощает контроль и аудит документооборота. При наличии центральной базы данных можно легко определить, когда и кому был передан конкретный экземпляр документа, что особенно полезно для мониторинга и контроля важных документов.
Наконец, отслеживание криптографических номеров обеспечивает возможность быстро реагировать на потенциальные угрозы и нарушения безопасности. Если криптографический номер, который должен быть уникальным, появляется в другом документе, это может свидетельствовать о нарушении безопасности и требовать дополнительных проверок.
| Преимущества отслеживания криптографических номеров: |
|---|
| Обнаружение подделки или замены документа |
| Упрощение контроля и аудита документооборота |
| Быстрая реакция на потенциальные угрозы и нарушения безопасности |
Инструменты для автоматизации процесса определения номеров экземпляров
1. Базы данных номеров ключевых документов
Одним из самых распространенных инструментов является использование баз данных, специально созданных для хранения и управления номерами ключевых документов. Эти базы данных позволяют автоматически генерировать и присваивать номера экземплярам документов, а также проводить поиск по уже имеющимся номерам.
2. Системы учета и контроля документации
Для автоматизации процесса определения номеров экземпляров ключевых документов также могут использоваться специальные системы учета и контроля документации. Эти системы позволяют создавать электронные реестры документов, в которых отражаются номера экземпляров, а также другая сопутствующая информация.
3. Средства автоматической генерации номеров
Для ускорения и упрощения процесса определения номеров экземпляров ключевых документов могут быть использованы специальные средства автоматической генерации номеров. Эти средства позволяют создавать уникальные номера в соответствии с заданными правилами и шаблонами.
Использование инструментов для автоматизации процесса определения номеров экземпляров ключевых документов значительно повышает эффективность работы и позволяет сократить затраты времени и ресурсов. При выборе подходящих инструментов следует учитывать специфику работы организации и ее требования к безопасности и удобству использования.
Похожие записи:
- Анимация в музеях: новые грани и возможности
- Влияние людей в процессе общения: взаимосвязь и воздействие
- Доверенность на использование печати организации: образец и правила оформления.
- Игры на машине сбивать зомби
Свежие записи
- Японские воинские звания в армии: иерархия и описание
- Приснился секс в машине: что это значит и как его интерпретировать
- Управление коменданта охраны Министерства обороны Российской Федерации: руководство и задачи
- Как удалить криптоарм
- 47 лет какой год