Измерение эффективности информационной безопасности
Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ (СОИБ). СОИБ представляет собой совокупность аппаратно-программных, технических и организационных защитных мер (ЗМ), функционирующих под управлением СМИБ и процессов осознания ИБ, инициирующих и поддерживающих деятельность по менеджменту ИБ.
Желание иметь СОИБ, адекватную целям ИБ организации по обеспечению доступности, целостности и конфиденциальности информационных активов, приводит к стремлению совершенствовать СОИБ. Совершенствование, улучшение СОИБ возможно при условии знания состояний характеристик и параметров используемых ЗМ, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам. Понять эти аспекты СОИБ можно только по результатам оценки ИБ организации, полученной с помощью модели оценки ИБ на основании свидетельств оценки, критериев оценки и с учетом контекста оценки.
Критерии оценки — это все то, что позволяет установить значения оценки для объекта оценки. В качестве критериев оценки ИБ могут использоваться требования ИБ, процедуры ИБ, сочетание требований и процедур ИБ, уровень инвестиций, затрат на ИБ.
К свидетельствам оценки ИБ относятся записи, изложение фактов или любая информация, которая имеет отношение к критериям оценки ИБ и может быть проверена. Такими свидетельствами оценки ИБ могут быть доказательства выполняемой и выполненной деятельности по обеспечению ИБ в виде отчетных, нормативных, распорядительных документов, результатов опросов, наблюдений.
Контекст оценки ИБ объединяет цели и назначение оценки ИБ, вид оценки (независимая оценка, самооценка), объект и области оценки ИБ, ограничения оценки и роли.
Модель оценки ИБ определяет сферу оценки, отражающую контекст оценки ИБ в рамках критерия оценки ИБ, отображение и преобразование оценки в параметры объекта оценки, а также устанавливает показатели, обеспечивающие оценку ИБ в сфере оценки.
Наряду с важнейшим назначением оценки ИБ — создание информационной потребности для совершенствования ИБ, возможны и другие цели проведения оценки ИБ такие, как:
— определение степени соответствия установленным критериям отдельных областей обеспечения ИБ, процессов обеспечения ИБ, защитных мер;
— выявление влияния критических элементов (факторов) и их сочетания на ИБ организации;
— сравнение зрелости различных процессов обеспечения ИБ и сравнение степени соответствия различных защитных мер установленным требованиям.
В результате проведения оценки ИБ должна быть сформирована оценка степени соответствия СОИБ эталону, в качестве которого могут быть приняты (в совокупности и отдельно):
— требования законодательства Российской Федерации в области ИБ;
— отраслевые требования по обеспечению ИБ;
— требования нормативных, методических и организационно-распорядительных документов по обеспечению ИБ;
— требования национальных и международных стандартов в области ИБ.
48. Использование электронной подписи и развертывание PKI на основе Удостоверяющего центра КриптоПроЭлектронная цифровая подпись является реквизитом электронного документа, который защищает документ от подделки, и получается в результате криптографического преобразования данных с применением закрытого ключа ЭЦП.
ЗАКОН ВЫДЕЛЯЕТ ТРИ ВИДА ЭЛЕКТРОННОЙ ПОДПИСИ:
· простая подпись — необходима для подтверждения того, что документ был отправлен определенным лицом;
· усиленная неквалифицированная подпись — указывает на лицо, которое отправило документ и подтверждает отсутствие изменений в документе после его подписания;
· усиленная квалифицированная подпись — во многом аналогична усиленной неквалифицированной ЭЦП, но выдается исключительно в специализированных центрах (с аккредитацией Минкомсвязи).
Инфраструктура управления открытыми ключами (PKI - public key infrustructure) - это современная система управления криптографической защитой, в том числе и в агрессивной среде, например Интернет. Задачей PKI является определение политики выпуска цифровых сертификатов, выдача их и аннулирование, хранение информации, необходимой для последующей проверки правильности сертификатов.
Процесс развертывания PKI состоит из нескольких этапов, каждый из которых должен сопровождаться соответствующим документированием и проверками:
Предварительный этап
Проектирование.
Создание прототипа.
Пилотный проект.
Внедрение.
Каждый из этапов создания PKI дает результат в виде явно оформленного "продукта", позволяющего убедиться в законченности и общем продвижении процесса.
Компания КриптоПро создана в 2000 году и в настоящее время занимает лидирующее положение по распространению средств криптографической защиты информации и электронной цифровой подписи.
Основное направление деятельности компании - разработка средств криптографической защиты информации и развитие Инфраструктуры Открытых Ключей (Public Key Infrastructure) на основе использования международных рекомендаций и российских криптографических алгоритмов.
Компания выдала более 4 000 000 лицензий на использование СКЗИ КриптоПро CSP и свыше 800 лицензий на использование удостоверяющего центра КриптоПро УЦ, которые применяются различными государственными и коммерческими организациями в системах электронного документооборота, а также востребованы при построении глобальных общегосударственных информационных систем.
Сервис электронной подписи ООО «КРИПТО-ПРО» (СЭП).
При этом хранение ключей электронной подписи и реализация криптографических операций осуществляются централизованно в защищенной информационной системе ООО «КРИПТО-ПРО» на базе ПАК «КриптоПро DSS» и ПАКМ «КриптоПро HSM» и не требуют установки дополнительных средств криптографической защиты информации на рабочих местах пользователей.
Также посредством ПО «КриптоПро DSS Lite» возможен вариант хранения ключа электронной подписи и выполнения операций с его использованием на рабочем месте пользователя. Для этого операторам Удостоверяющих центров ООО «КРИПТО-ПРО» достаточно получить право создания для своих пользователей сертификатов, включающих лицензию на использование ПО «КриптоПро DSS Lite». Клиенты Удостоверяющих центров ООО «КРИПТО-ПРО» при заказе сертификата дополнительно указывают приобретение клиентской лицензии на использование ПО «КриптоПро DSS Lite».
2. Назначение сервиса
Сервис электронной подписи ООО «КРИПТО-ПРО» (СЭП) предназначен для централизованного:
Создания и хранения ключей электронной подписи Пользователей Удостоверяющего центра.
Создания и проверки электронной подписи электронных документов различного формата криптографических сообщений.
Взаимодействия Операторов и Пользователей с Удостоверяющим центром для получения и управления сертификатами ключей проверки электронной подписи.
3. Поддерживаемые форматы и стандарты
Электронная подпись создается с использованием криптографических алгоритмов в соответствии с ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи», ГОСТ Р 34.11-94 «Информационная технология. Криптографическая защита информации. Функция хэширования».
Для создания и хранения ключей электронной подписи Пользователей Удостоверяющего центра, создания электронной подписи электронных документов в составе Сервиса электронной подписи используется средство электронной подписи ПАКМ «КриптоПро HSM», сертифицированное по классу защиты КВ2 от потенциального нарушителя, обладающего возможностями внутреннего администратора.
Для проверки электронной подписи электронных документов используется сертифицированное средство электронной подписи СКЗИ «КриптоПро CSP».
5. Предоставление доступа к сервису
Доступ к Сервису электронной подписи осуществляется круглосуточно в режиме 24х7 по каналам связи посредством Веб-интерфейса, предоставляемого Удостоверяющим центром, или Прикладного интерфейса, используемого для подключения Информационных систем Уполномоченной организации.
7. Защита информации
Защита от несанкционированного доступа ключей электронной подписи пользователей осуществляется с использованием сертифицированного средства криптографической защиты информации ПАКМ «КриптоПро HSM».
Основное направление деятельности компании ‑ разработка средств криптографической защиты информации и развитие Инфраструктуры Открытых Ключей (Public Key Infrastructure) на основе использования международных рекомендаций и российских криптографических алгоритмов. Продукты компании широко используется различными государственными и коммерческими организациями в системах электронного документооборота, сдачи налоговой и бухгалтерской отчетности, системами исполнения бюджета, городского заказа и интегрированы в прикладные системы ведущих российских ИТ производителей.
Централизованная схема обслуживания
Централизованная схема регистрации и управления ключами пользователей обеспечивает наиболее строгую политику идентификации пользователей, являющихся владельцами сертификатов открытых ключей.
При использовании централизованной схемы обслуживания в Удостоверяющем центре регистрация и изготовление сертификатов ключей подписей осуществляется при личном прибытии пользователя (либо его уполномоченного представителя, действующего на основании соответствующей доверенности) в Удостоверяющий центр. Генерация ключей подписей осуществляется в Удостоверяющем центре на предоставляемый пользователем ключевой носитель.
Распределенная схема обслуживания
Данная схема обслуживания удобна для организаций, пользователи которых территориально удаленны от Удостоверяющего центра (например, в разных субъектах Российской федерации).
При использовании распределенной схемы обслуживания в Удостоверяющем центре регистрация и изготовление сертификатов ключей подписей осуществляется без личного прибытия пользователя в Удостоверяющий центр и производится на основании заявлений, поступающих в Удостоверяющий центр посредством специализированного программного обеспечения Удостоверяющего центра, электронной почты, почтовой либо курьерской связи.
Распределенная схема обслуживания с Оператором Удостоверяющего Центра
Данная схема обслуживания удобна для организаций, являющихся владельцами информационных систем, использующих электронную цифровую подпись.
Распределенная схема с оператором основывается на предоставлении Удостоверяющим центром обслуживающейся организации - Оператору Удостоверяющего Центра полномочий по регистрации пользователей и принятию решений по управлению (изготовлению, отзыву, приостановлению/возобновлению действия) сертификатов ключей подписей. Управление сертификатами ключей подписей осуществляется с использованием специализированного программного обеспечения, предоставляемого Удостоверяющим центром.