Лекции / Epishkina_Naromativnoe_regulirovanie_v_oblasti_zashchity_informatsii_2021
.pdfМИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ЯДЕРНЫЙ УНИВЕРСИТЕТ «МИФИ»
Международный научно-методический центр
А. В. Епишкина, С. В. Запечников
НОРМАТИВНОЕ РЕГУЛИРОВАНИЕ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
Конспект лекций
Москва 2021
МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ЯДЕРНЫЙ УНИВЕРСИТЕТ «МИФИ»
А.В. Епишкина, С.В. Запечников
НОРМАТИВНОЕ РЕГУЛИРОВАНИЕ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
Конспект лекций
Учебное пособие
Москва 2021
УДК 004.056.5 (075.8) ББК 32.973.26-018.2я7 Е 67
Епишкина А.В., Запечников С.В. Нормативное регулирование в области защиты информации: Конспект лекций. Учебное пособие [Электронный ресурс]. М.: НИЯУ МИФИ, 2021. – 116 с.
Настоящее учебное пособие содержит лекционный материал, необходимый студентам как будущим сотрудникам различных организаций, сталкивающимся в производственной деятельности с обеспечением информационной безопасности и особенно разработкой и применением средств криптографической защиты информации.
Доступный, но строгий с научной точки зрения язык изложения, а также большое количество наглядных материалов позволят слушателям освоить принципы разработки и использования средств криптографической защиты информации, особенности практического применения электронной подписи и организации защиты персональных данных.
Предназначено для студентов, изучающих информационную безопасность в том или ином объеме в различных учебных заведениях, а также для преподавателей смежных направлений.
Подготовлено в рамках Проекта по созданию и развитию Международного научно-методического центра НИЯУ МИФИ.
Рецензент: канд. техн. наук, доц. кафедры безопасности информационных систем ФГАО УВО
«Самарский национальный исследовательский университет имени академика С.П. Королева» М.Е. Бурлаков
Рекомендовано к изданию кафедрой криптологии и кибербезопасности (№ 42) НИЯУ МИФИ
ISBN 978-5-7262-2807-5 |
© Национальный исследовательский |
|
ядерный университет «МИФИ», 2021 |
|
© А.В. Епишкина, С.В. Запечников, 2021 |
|
2 |
Содержание |
|
Обозначения и сокращения................................................................... |
6 |
Введение ................................................................................................. |
7 |
Лекция 1. Стандарты, регламентирующие вопросы |
|
защиты информации в России............................................ |
8 |
1.1. Перечень основных стандартов.................................................... |
8 |
1.2.Основные понятия, используемые в нормативных документах, регламентирующих
вопросы информационной безопасности................................... |
11 |
Лекция 2. Защита информации |
|
от несанкционированного доступа................................... |
15 |
2.1. Факторы, воздействующие на защищаемую информацию...... |
15 |
2.2. Защита средств вычислительной техники |
|
от несанкционированного доступа к информации.................... |
18 |
2.3. Испытания программных средств |
|
на наличие компьютерных вирусов............................................ |
23 |
Лекция 3. Применение средств криптографической защиты |
|
информации в открытых системах................................... |
28 |
3.1. Архитектура защиты информации |
|
при взаимодействии открытых систем....................................... |
28 |
3.2. Услуги защиты.............................................................................. |
29 |
3.3. Специальные механизмы защиты............................................... |
30 |
3.4. Реализация механизмов защиты в базовой |
|
эталонной модели......................................................................... |
31 |
3.5. Административное управление защитой................................... |
32 |
Лекция 4. Государственное регулирование разработки |
|
и производства криптографических средств................... |
35 |
4.1. Государственное регулирование вопросов безопасности |
|
информационных технологий..................................................... |
35 |
4.2. Основные документы, регламентирующие разработку |
|
и применение средств криптографической защиты |
|
информации.................................................................................. |
36 |
3
4.3. |
Положение о лицензировании..................................................... |
38 |
4.4. |
Положение ПКЗ-2005................................................................... |
40 |
4.5.Инструкция об организации и обеспечении безопасности информации с ограниченным доступом с использованием
средств криптографической защиты информации.................... |
42 |
4.6. Типовые требования..................................................................... |
44 |
4.7. Методические рекомендации...................................................... |
44 |
Лекция 5. Разработка, производство и эксплуатация |
|
средств криптографической защиты информации ......... |
46 |
5.1. Порядок разработки средств |
|
криптографической защиты информации.................................. |
46 |
5.2. Порядок производства средств |
|
криптографической защиты информации.................................. |
50 |
5.3. Порядок распространения средств |
|
криптографической защиты информации.................................. |
52 |
5.4. Порядок эксплуатации средств |
|
криптографической защиты информации.................................. |
53 |
5.5.Особенности обеспечения безопасности хранения, обработки и передачи информации с использованием средств криптографической защиты
информации.................................................................................. |
59 |
Лекция 6. Лицензирование разработки и производства средств |
|
криптографической защиты информации ....................... |
61 |
6.1. Лицензируемая деятельность...................................................... |
61 |
6.2. Лицензионные требования.......................................................... |
62 |
6.3. Требования к сотрудникам соискателя лицензии..................... |
63 |
6.4. Процесс получения лицензии...................................................... |
63 |
Лекция 7. Особенности применения средств |
|
криптографической защиты информации |
|
для защиты персональных данных................................... |
66 |
7.1. Основы обработки персональных данных................................. |
66 |
7.2. Операторы персональных данных.............................................. |
67 |
7.3. Модель угроз безопасности персональных данных.................. |
69 |
7.4. Модель нарушителя при обработке персональных данных..... |
71 |
4
7.5. Уровни криптографическое защиты |
|
персональных данных.................................................................. |
72 |
7.6. Документация при применении криптографических средств |
|
для защиты персональных данных............................................. |
74 |
Лекция 8. Государственное регулирование |
|
использования электронной подписи............................... |
75 |
8.1. Основные документы, регламентирующие |
|
использование электронной подписи......................................... |
75 |
8.2. Общие вопросы использования электронной подписи............. |
77 |
8.3. Основные требования к средствам электронной подписи....... |
80 |
8.4. Общие вопросы функционирования |
|
удостоверяющего центра............................................................. |
86 |
8.5. Основные требования к средствам |
|
удостоверяющего центра............................................................. |
92 |
8.6. Придание юридической значимости |
|
электронному документу........................................................... |
109 |
Список литературы............................................................................ |
113 |
5
Обозначения и сокращения
В настоящем пособии применяются следующие обозначения и сокращения:
ИСПД |
– |
информационные системы персональных данных |
НИР |
– |
научно-исследовательская работа |
НСД |
– |
несанкционированный доступ |
ОКР |
– |
опытно-конструкторская работа |
РКД |
– |
рабочая конструкторская документация |
СВТ |
– |
средство вычислительной техники |
СКЗИ |
– |
средство криптографической защиты информации |
ТЗ |
– |
техническое задание |
ТТЗ |
– |
тактико-техническое задание |
УЦ |
– |
удостоверяющий центр |
ФСБ |
– |
Федеральная служба безопасности |
ФСТЭК – |
Федеральная служба по техническому |
|
|
|
и экспортному контролю |
ЭП |
– |
электронная подпись |
6
Введение
Учебное пособие посвящено нормативно-техническому регулированию разработки и применения средств защиты информации в России, отдельное внимание уделено вопросам, связанным с производством и эксплуатацией средств криптографической защиты информации (СКЗИ).
Разработчики любых механизмов защиты информации, которые имеют практическое воплощение, сталкиваются с огромным количеством нормативно-технических и методических документов, описывающих различные аспекты их жизненного цикла. Поэтому помимо знания теоретических основ, лежащих в основе функционирования средств защиты информации, специалисты по информационной безопасности должны знать важнейшие положения нормативных документов, относящихся к их области деятельности, чему и посвящен курс лекций, включенных в настоящее издание.
В учебном пособии систематизируются действующие отечественные стандарты в области защиты информации, освещаются вопросы государственного регулирования разработки и применения СКЗИ в России, рассматриваются основные положения действующих нормативных документов, приводятся схемы, помогающие представить процессы проектирования, производства, распространения и эксплуатации СКЗИ. Описываются особенности защиты персональных данных с применением средств криптографической защиты информации. Затрагиваются вопросы государственного регулирования использования электронной подписи в России, анализируются различные аспекты создания удостоверяющих центров и обеспечения юридической значимости электронных документов.
7
Лекция 1. Стандарты, регламентирующие вопросы защиты информации в России
Ключевые слова: стандарт; нормативный документ; защита информации; информационная технология; объект информатизации; средство вычислительной техники; оценка безопасности информационных технологий; криптографическая защита информации; управление информационной безопасностью; средство криптографической защиты информации; персональные данные; электронная подпись; удостоверяющий центр.
Введение. В данной лекции будут обозначены стандарты, регулирующие вопросы информационной безопасности, часть из которых подробно освещается в последующих лекциях, отмечаются особенности российской нормативной базы по защите информации. Также дается большое количество определений терминов, используемых в дальнейшем, относящихся к предмету защиты информации, видам защиты информации, средствам криптографической защиты информации, обеспечению безопасности персональных данных и использованию электронной подписи.
1.1. Перечень основных стандартов
Рассматривая вопросы регулирования разработки и применения СКЗИ, нельзя не сказать о том, какие стандарты в области защиты информации существуют, и каково место среди них нормативных документов, посвященных непосредственно криптографическим методам. В стандартах, относящихся к области защиты информации, как правило, рассматриваются как концептуальные основы обеспечения информационной безопасности, так и некоторые технические аспекты. Одной из особенностей российской нормативной базы является то, что из-за остро стоящей проблемы обеспечения совместимости программно-аппаратных средств основой многих российских стандартов являются их зарубежные прототипы.
Перечень российских стандартов, регламентирующих вопросы информационной безопасности, приведен в табл. 1.1.
8
Таблица 1.1
Российские стандарты, регламентирующие вопросы информационной безопасности
Номер |
Название стандарта |
|
стандарта |
||
|
||
ГОСТ Р |
Защита информации. Основные термины и определения |
|
50922-2006 |
|
|
ГОСТ Р |
Средства вычислительной техники. Защита от несанкци- |
|
50739-95 |
онированного доступа к информации. Общие техниче- |
|
|
ские требования |
|
ГОСТ Р |
Защита информации. Объект информатизации. Факторы, |
|
51275-2006 |
воздействующие на информацию |
|
ГОСТ Р |
Информационная технология. Методы и средства обеспе- |
|
ИСО/МЭК |
чения безопасности. Критерии оценки безопасности ин- |
|
15408-1-2012 |
формационных технологий. Часть 1. Введение и общая |
|
|
модель |
|
ГОСТ Р |
Информационная технология. Методы и средства обеспе- |
|
ИСО/МЭК |
чения безопасности. Критерии оценки безопасности ин- |
|
15408-2-2013 |
формационных технологий. Часть 2. Функциональные |
|
|
компоненты безопасности |
|
ГОСТ Р |
Информационная технология. Методы и средства обеспе- |
|
ИСО/МЭК |
чения безопасности. Критерии оценки безопасности ин- |
|
15408-3-2013 |
формационных технологий. Часть 3. Компоненты дове- |
|
|
рия к безопасности |
|
ГОСТ Р ИСО |
Информационная технология. Взаимосвязь открытых |
|
7498-1-99 |
систем. Базовая эталонная модель. Часть 1. Базовая мо- |
|
|
дель |
|
ГОСТ Р ИСО |
Информационная технология. Взаимосвязь открытых |
|
7498-2-99 |
систем. Базовая эталонная модель. Часть 2. Архитектура |
|
|
защиты информации |
|
ГОСТ |
Информационная технология. Криптографическая защита |
|
Р.34.12-2015 |
информации. Блочные шифры |
|
ГОСТ |
Информационная технология. Криптографическая защита |
|
Р.34.13-2015 |
информации. Режимы работы блочных шифров |
|
ГОСТ Р |
Информационная технология. Криптографическая защита |
|
34.10-2012 |
информации. Процессы формирования и проверки элек- |
|
|
тронной цифровой подписи |
9