Что показывают в конце фильма ужасов z? и как вообще понимать финал?
Когда Элизабет понимает, что Зи собирается убить её сына (как и мужа), она заключает сделку с монстром: обещает стать его женой, если тот отпустит ребёнка. Зи отпускает Джошуа и Бет приходится оставить его на время с сестрой. А самой вернуться в родительский дом.
Далее нам показывают, как Элизабет пытается жить с монстром, которого видит только она. Смысл в том, что если верить показанному — Зи не особо умён, уровень развития у него как у ребёнка. Но ребёнка крайне злобного, очень сильного и практически всемогущего.
Элизабет пытается последовать совету психиатра и пробует перестать верить в Зи, потому что монстр существует исключительно благодаря её воображению. Но ничего не выходит и она всё-таки становится женой Z после карикатурной брачной церемонии. Затем она умудряется обмануть воображаемого друга, чтобы позвонить сестре и узнать о том, как живёт её сын. Но Джошуа не хочет разговарить с матерью и обвиняет её в том, что она отняла у него друга.
Следом выясняется, что Зи гораздо хитрее, чем думала Бет — он вырвался из дома. И с невероятной скоростью добрался до ребёнка. Затем Зи отводит Джошуа играть на железной дороге, по которой мчится поезд. И пока сестра пытается спасти ребёнка, а в дом пытаются войти полицейские и доктор, Бет решает последовать совету психиатра.
Суть в том, что Элизабет уверена: единственный способ покончить с Зи — раз и навсегда перестать в него верить. И в итоге она решает покончить с собой — и вешается в комнате на вентиляторе.
Дайте определение понятию «система зи». перечислите структурные уровни государственной системы зи. — киберпедия
Система ЗИ — совокупность органов и/или исполнителей, используемая ими техника ЗИ, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по ЗИ (ГОСТ Р 50922-2006 «Защита информации. Термины и определения»).
Основными органами и исполнителями системы ЗИ в организации являются:
руководитель организации и/или его заместитель, отвечающий за вопросы ЗИ;
постоянно действующая техническая комиссия по защите государственной тайны и экспертная комиссия; подразделение (штатный специалист) по ЗИ.
Основные направления ЗИ
Противодействие иностранным техническим разведкам (ПД ИТР) – деятельность, направленная на исключение или затруднение получения иностранными техническими разведкам разведывательной информации
Техническая защита информации (ТЗИ) – деятельность, направленная на ограничение или исключение возможностей по получению, уничтожению или блокированию защищаемой информации с применением технических средств и осуществляемая организационными, программными и техническими (некриптографическими) мерами ЗИ от ее утечки по техническим каналам, несанкционированного доступа к ней и специальных воздействий на нее.
Деятельность государственной системы защиты информации осуществляется на :
Федеральный уровень Межрегиональный уровень (федеральный округ) Региональный уровень (субъект Российской Федерации) Ведомственный (отраслевой) уровень Объектовый уровень
8. Какие объекты подлежат категорированию по требованиям обеспечения ЗИ. Какие организации относятся к объектам третьей категории.
В соответствии с пунктом 41 Положения о государственной системе ЗИ в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам, утвержденном постановлением Совета Министров – Правительства Российской Федерации от 15 сентября 1993 г. № 912-51 (Положения о ГСЗИ) по требованиям обеспечения ЗИ объекты органов управления и промышленные объекты делятся на 3 категории: первая, вторая и третья.
Категорирование эксплуатируемых объектов осуществляется федеральными органами исполнительной власти в отношении объектов подведомственных организаций и объектов организаций, в отношении которых органы власти осуществляют единую государственную политику.
К объектам третьей категории относятся организации, в которых необходимо выполнить комплекс организационных и технических мероприятий по обеспечению ЗИ, циркулирующей в технических средствах (системах и средствах информатизации и связи).
Категорированию подлежат организации, обрабатывающие информацию ограниченного доступа. Существует 3 категории объектов:
1) Объекты на которых обрабатывается информация ограниченного доступа, деятельность которых подлежит легендированию.
2) Помимо объектов информатизации есть секретные материальные образцы (образцы вооружений и т.п.).
3) Объекты, где информация обрабатывается непосредственно на самом объекте.
9. Назовите основные нормативные правовые акты, предусматривающие необходимость наличия в организациях подразделений (специалистов) по ЗИ.
1)«Положение о государственной системе ЗИ в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам»,Утв.Постановлением Совета Министров – Правительства РФ от 15 сентября 1993 г.№ 912-51 (п.14 и 18)
2)Постановление Правительства РФ от 01.11.2022 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (п.14).
3)Пр.ФСТЭК России от11.02.2022№17«Об утверждении требований к ЗИ, не составляющей государственную тайну, содержащейся в государственных информационных системах».
10. Каким документом определяется структура и содержание Руководства по ЗИ в организации. Каков порядок разработки, утверждения и согласования документа.
Руководство по ЗИ в организации разрабатывается с учетом положений Типовых требований к содержанию и порядку разработки руководства по ЗИ от иностранных технических разведок и от ее утечки по техническим каналам на объекте, одобренных решением Гостехкомиссии России от 3 октября 1995 г. № 42.
Настоящий документ устанавливает единые типовые требования к содержанию и порядку разработки Руководства по ЗИ от технических разведок и от ее утечки по техническим каналам на строящемся (реконструируемом), действующем (находящимся в эксплуатации) объекте. Под объектом защиты понимается имущественный комплекс: здания, сооружения, помещения и территория, на которой они размещены, а также расположенные в них технические средства и иное имущество, требующее защиты и принадлежащее государственным органам, государственным и коммерческим организациям (в том числе НИИ, КБ, опытный или серийный завод, испытательный центр, полигон, воинская часть и т. п. ) на праве собственности, оперативного управления или хозяйственного ведения.
В соответствии с требованиями Положения о государственной системе ЗИ в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденного постановлением Совета Министров Правительства Российской Федерации от 15 сентября 1993г. N 912-51. Руководство разрабатывается на каждом объекте, на котором предусматривается защита информации от технических разведок и от ее утечки по техническим каналам в ходе его строительства (реконструкции) и эксплуатации.
Руководство определяет содержание и порядок осуществления мероприятий по ЗИ, содержащей сведения, отнесенные в установленном порядке к государственной или служебной тайне, Мероприятия по ЗИ должны быть увязаны с мероприятиями по легендированию объектов и режиму секретности.
При разработке Руководства используются: концепция ЗИ от иностранной технической разведки (ИТР); модель иностранной технической разведки применительно к объекту защиты; нормы противодействия средствам иностранной технической разведки; нормы эффективности ЗИ, обрабатываемой техническими средствами; инструкции по ЗИ об образцах вооружения и военной техники, создаваемых или используемых на объекте; требования по ЗИ о создаваемых образцах В и ВТ и выполняемых работах, подлежащих защите от ИТР; инструкция по проектированию технических мероприятий защиты промышленных объектов от ИТР; проектная документация на строительство (реконструкцию) объекта в части мер ЗИ в ходе его эксплуатации, общий маскировочный замысел ЗИ для объектов первой категории; результаты анализа разведдоступности и аттестования объекта (первая, вторая, третья категории) или его составных частей на соответствие требованиям по ЗИ; методические и другие руководящие документы в области ЗИ. При разработке Руководства данные об осведомленности разведок в отношении конкретного объекта получают в соответствующем министерстве (ведомстве).
Руководство должно состоять из следующих разделов:
общие положения; охраняемые сведения об объекте; демаскирующие признаки объекта и технические каналы утечки информации; оценка возможностей технических разведок и других источников угроз безопасности информации (возможно спецтехника, используемая преступными группировками); организационные и технические мероприятия по ЗИ; оповещение о ведении разведки (раздел включается в состав Руководства при необходимости);
обязанности и права должностных лиц; планирование работ по ЗИ и контролю; контроль состояния ЗИ; аттестование рабочих мест; взаимодействие с другими предприятиями (учреждениями, организациями).
В зависимости от особенностей объекта допускается вводить и другие разделы.
После разработки Руководства производится его согласование с вышестоящей организацией, согласование с территориальным органом ФСБ и утверждение руководителем организации.
11. Каким документом определяются функции и права подразделения (специалиста) по ЗИ в органе власти и организации.
Положением о подразделении по ЗИ или должностной инструкцией (регламентом) специалиста по ИБ. Положение об администраторе ИБ разработано в соответствии со Стратегией обеспечения ИБ на объекте информатизации ФНС России, утвержденной приказом ФНС России от 31.12.2009 ММ-7-6/727@, Концепцией ИБ ФНС России, утвержденной приказом ФНС России от 13.01.2022 №ММВ-7-4/6@, «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», Руководством по организации ИБ на объектах информатизации Федеральной налоговой службы, утвержденным приказом ФНС России от 23.10.2007 № ММ-4-27/29дсп@, Положение об отделе безопасности и иными документами в области ИБ.
§
Администратор ИБ и его заместитель назначаются приказом руководителя . Администратор ИБ в пределах своих функциональных обязанностей обеспечивает безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники в автоматизированных системах. Администратор ИБ непосредственно подчиняется начальнику подразделения, в штате которого он состоит. Администратор ИБ обеспечивает правильность использования информационных ресурсов и нормальное функционирование защитных механизмов АС. Координацию работ, связанных с обеспечением ИБ, методическое руководство, контроль за выполнением мероприятий по ИБ и эффективностью предусмотренных мер в ФНС России, территориальных органах ФНС России и организациях, находящихся в ведении ФНС России, осуществляют: Управление ИБ ФНС России, отделы ИБ управлений ФНС России по субъектам Российской Федерации, работники управлений ФНС России по субъектам Российской Федерации, в которых не предусмотрены данные отделы и работники инспекций ФНС России, в обязанности которых входят организация и проведение мероприятий по обеспечению ИБ.
Основные задачи и функции администратора ИБ
Основными задачами администратора ИБ являются:
1) организация эксплуатации технических и программных средств защиты информации;
2) текущий контроль работы средств и систем защиты информации;
3) контроль за работой пользователей автоматизированных систем, выявление и регистрация попыток НСД к автоматизированным системам и защищаемым информационным ресурсам. Основными функциями администратора ИБ являются:
1) обеспечение функционирования средств и систем защиты информации в пределах возложенных на него обязанностей;
2) обучение персонала и пользователей вычислительной техники правилам работы со средствами защиты информации;
3) поддержание функционирования ключевых систем, применяемых средств и систем криптографической защиты информации;
4) формирование и распределение реквизитов полномочий пользователей, определяемых эксплуатационной документацией на средства и системы защиты информации;
5) организация антивирусного контроля магнитных носителей информации, поступающих из других подразделений и сторонних организаций;
7) организация учета и хранения магнитных носителей информации с грифом «Для служебного пользования», используемых в технологии обработки защищаемой информации;
8) текущий контроль технологического процесса обработки защищаемой информации.
Администраторы безопасности информации взаимодействуют со всеми администраторами ИС, обеспечивающими формирование и сопровождение защищаемых ИР ФНС России и контроль за информационными процессами.
Для реализации задач обеспечения безопасности информации, в зависимости от организационно-штатной структуры ФНС России, подразделения налоговых органов в составе СОБИ наделяются следующими полномочиями (но не ограничиваясь):
управлять планами обеспечения ИБ ФНС России; — разрабатывать и вносить предложения по изменению Политики ИБ ФНС России; -изменять существующие и принимать новые организационно-распорядительные и нормативно-методические документы по обеспечению ИБ в ФНС России; -выбирать средства управления и обеспечения ИБ при эксплуатации ИС налоговых органов; -контролировать действия пользователей ИС налоговых органов, в том числе пользователей, имеющих максимальные полномочия; -контролировать активность пользователей ИС налоговых органов, связанную с доступом к ИР ФНС России и использованием средств защиты информации; -осуществлять мониторинг событий ИБ;
расследовать нарушения ИБ и, в случае необходимости, выходить с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия; -участвовать в действиях по восстановлению работоспособности ИС налоговых органов после сбоев и аварий; -создавать, поддерживать и совершенствовать СУИБ ФНС России. контроль со стороны администратора ИБ за действиями пользователей ИС налоговых органов на всех этапах работы с ключевой информацией (получение ключевого носителя, ввод ключей, использование ключей и сдача ключевого носителя).
§
1.Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Convention for the Protection of Individuals with regard to Automatic Processing ETS 108) Страсбург, 28 января 1981 года. Подписана Россией 7 ноября 2001 г.
2.Федеральный закон от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных».
3.Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных» (с изменениями и дополнениями).
4.Постановление Правительства РФ от 01.11.2022 г. № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных».
5.Приказ ФСТЭК №21 от 18.02.13г «Состав и содержание организационных и технических мер по защите ПДн при их обработке в информационных системах персональных данных».
6.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждена ФСТЭК России 15.02.2008 г);
7. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждена ФСТЭК России 14.02.2008 г.).
8. Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2022 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.
Какие документы и материалы необходимо использовать для формирования актуальных угроз безопасности персональных данных при их обработке в ИС.
Постановление Правительства РФ от 01.11.2022 № 1119 «Об утверждении требований к защите персональных данных при их обработке в ИСперсональных данных».
Базовая модель угроз безопасности персональных данных при их обработке в ИСперсональных данных, утв. ФСТЭК России 15февраля2008 г.
Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСперсональных данных, утв. ФСТЭК России 14 февраля 2008 г.
Сайт ФСТЭК. Банк данных угроз безопасности информации.
Под актуальными угрозамибезопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных,а также иные неправомерные действия.
Угрозы 1-го типа актуальныдля ИСПДн, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных(недекларированных) возможностей в системном программном обеспечении, используемом в системе.
Угрозы 2-го типа актуальныдля ИСПДн, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных(недекларированных) возможностей в прикладном программном обеспечении, используемом в системе.
Угрозы 3-го типа актуальныдля ИСПДн, если для нее актуальны угрозы, не связанные с наличием НДВ в системном и прикладном программном обеспечении системы.
3. Сколько установлено уровней защищенности персональных данных. Назовите исходные данные необходимые для определения уровня защищенности перс. данных.
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены приказом ФСТЭК России от 18 февраля 2022 г. № 21.
Ответ: 4 уровня защищенности.4 – самый низкий, 1 – самый высокий.
Требования к защите персональных данных при их обработке в информационных системах персональных данных (Постановление Правительства РФ
№1119 от 01.11.2022 г. )Документ устанавливает требованияк защите персональных данных при их обработке в ИСПДн и уровни защищенностиПДн.
• Безопасность персональных данных обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 ФЗ «О персональных данных».
•Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн и информационных технологий, используемых в ИСПДн.
Требования к 4-му уровню
а)организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в них;
б)обеспечение сохранности носителей персональных данных;
в)утверждение руководителем оператора документа, определяющий перечень лиц, доступ которых к ПДн необходим для выполнения ими служебных (трудовых) обязанностей;
г)использование СЗИ, прошедших процедуру оценки соответствия требования законодательства в области обеспечения безопасности информации в случае, если применение таких средств необходимо для нейтрализации актуальных угроз.
Требования к 3-му уровнюДля обеспечения 3-го уровня защищенностиперсональных данных помимо требований, предъявляемых к 4 уровню, необходимо выполнение следующих требований:
д)необходимо назначить должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе.
Требования к 2-му уровнюДля обеспечения 2-го уровня защищенностиперсональных данных помимо требований, предъявляемых к 3 и 4 уровням, необходимо выполнение следующих требований:
е)необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно должностным лицам (работникам) оператора или уполномоченного лица, которым эти сведения необходимы для выполнения служебных (трудовых) обязанностей.
Требования к 1-му уровнюДля обеспечения 1-го уровня защищенностиперсональных данных помимо требований, предъявляемых ко 2, 3 и 4 уровням, необходимо выполнение следующих требований:
ж)автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в ИСПДн;
з)создание структурного подразделения, ответственного за обеспечение безопасности ПДн в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению безопасности ПДн.
Исходные данные (ПП 1119): 1)Объем обрабатываемых ПДн (больше — меньше 100 тыс.).
Типы актуальных угроз (НДВ в системном ПО; НДВ в прикладном ПО (испльзуемом в ИС); не связанные с наличием НДВ в системном и прикладном ПО, используемом в ИС).
4.Сколько установлено классов защищенности для государственных информационных систем. От каких параметров зависит класс защищенности государственной информационной системы.
4 класса защищенности. 4 – самый низкий, 1 – самый высокий.
Параметры: 1) Масштаб (федеральный/региональный/объектовый). 2) Уровень значимости информации.
Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый). Наибольший уровень защищенности в ГИС первого класса, наименьший в четвертом классе.
Уровень значимостиинформации определяется степенью возможного ущербадля обладателя информации и (или) оператора ИС от нарушения конфиденциальности, целостностиили доступностиинформации.
Степень ущерба: высокая– если в результате нарушения конфиденциальности, целостности или доступности возможны существенные негативные последствияв социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции.
Степень ущерба: средняя– если в результате нарушения конфиденциальности, целостности или доступности возможны умеренные негативные последствияв социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) оператор (обладатель информации) не могут выполнять возложенные хотя бы одну возложенную на них функцию.
Степень ущерба: низкая– если в результате нарушения конфиденциальности, целостности или доступности возможны незначительные негативные последствияв социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью (или с привлечением дополнительных сил и средств).
5 .Периодичность проведения оценки эффективности мер по обеспечению безопасности персональных данных, реализованных в ИСперсональных данных. Кто имеет право проводить такую оценку.
Контроль выполнения настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юр. лиц и индивидуальных предпринимателей, имеющих лицензиюна осуществление деятельности по технической защите конфиденциальной информации.
Контроль проводится не реже одного раза в три годав сроки, определяемые оператором. Периодичность – не реже 1 раза в 3 года (Пр-21).
Оценка эффективностиреализованных в системе защиты мер по обеспечению безопасности ПДн проводится оператором самостоятельно или с привлечением на договорной основе юр. лиц или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже 1 раза в 3 года.Меры по обеспечению безопасности персональных данных в государственных информационных системахпринимаются в соответствии с требованиями о защите информации, не содержащей гос. тайну, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий. (см. Приказ ФСТЭК №17 от 11.02.13г.)
§
Утверждены приказом ФСТЭК России от 18 февраля 2022 г. N 21
Устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространенияПДн, а также от иных неправомерных действий.Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа; -ограничение программной среды; -защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных);
регистрация событий безопасности; -антивирусная защита; -обнаружение (предотвращение) вторжений; -контроль (анализ) защищенности персональных данных; -обеспечение целостности информационной системы и персональных данных; -обеспечение доступности персональных данных; -защита среды виртуализации; -защита ТС; -защита информационной системы, ее средств, систем связи и передачи данных; -выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее — инциденты), и реагирование на них; -управление конфигурацией информационной системы и системы защиты персональных данных.
7. Какие минимально достаточные требования предъявляются для обеспечения в ИС4 уровня защищенности персональных данных.
постановление от 1 ноября 2022 г. n 1119 об утверждении требований к защите персональных данных при их обработке в ИСперсональных данных
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств ЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Каким документом регламентированы меры по обеспечению ИБ РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена. Основные положения документа в части защиты ГИС ограниченного доступа при его обработке в информационных системах.
17 марта 2008 года N 351 Указ президента РФ о мерах по обеспечению ИБ РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена
а) подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу РФ, в том числе к международной компьютерной сети «Интернет» (далее — информационно-телекоммуникационные сети международного информационного обмена), не допускается;
б) при необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте «а» настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств ЗИ, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством РФ порядке сертификацию в Федеральной службе безопасности РФ и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники.
§
1. Перечислите виды объектов информатизации. Дайте краткую характеристику каждому виду.
Различают следующие виды объектов информатизации (ГОСТ РО 0043-003-2022 «Защита информации. Аттестация объектов информатизации. Общие положения»):
· выделенные (защищаемые) помещения;
· средства изготовления и размножения документов (средства без ПЭВМ);
· средства обработки речевой и видеоинформации (средства без ПЭВМ);
· автоматизированные (информационные системы) (АРМ, ЛВС, распределенные системы имеющие подключение к сетям общего пользования и без подключения).
Обработка информации – совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения, осуществляемых над информацией.
Объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, ТС), в которых они установлены, или помещения и объекты, предназначенные для ведения секретных и конфиденциальных переговоров.
(ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы воздействующие на информацию»)
выделенное помещение — помещения (служебные кабинеты, актовые, конференц-залы и т.д.) специально предназначенные для проведения закрытых мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.) по секретным вопросам, а также помещения, оборудованные средствами правительственной и иных видов специальной связи;
защищаемое помещение – помещения (служебные кабинеты, актовые, конференц-залы и т.д.) специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.); (Р 50.1.056-2005 «Рекомендации по стандартизации. Техническая защита информации. Основные термины и определения»).
средства обработки речевой и видеоинформации — технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации.
информационная система – совокупность содержащихся в базах данных информации и обеспечивающих ее обработку информационных технологий и ТС.
автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (по ГОСТ 34.003).
2. Что такое аттестация объектов информатизации по требованиям безопасности информации. Какой характер может носить аттестация. Максимальный срок действия аттестата соответствия.
Аттестация объектов информатизации – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы ЗИ объекта информатизации требованиям безопасности информации.
Характер аттестации: аттестация может быть обязательной и добровольной.
Обязательная аттестация проводится в принятых законодательством случаях для определения соответствия системы ЗИ объекта исключительно требованиям, установленным федеральными нормативными правовыми актами.
Добровольная аттестация проводится по инициативе
заявителя для определения соответствия системы ЗИ объекта требованиям, установленным национальными стандартами, владельцем информации или владельцем объекта.
Объекты информатизации обязательной аттестации:
1. Объекты информатизации, обрабатывающие информацию, составляющую государственную тайну. Пример: выделенные помещения, АС, СИРД, система обработки речевой и видео информации не подразумавающей использование ЭВМ
(Инструкция по обеспечению режима секретности в РФ, утвержденная постановлением Правительства РФ от 5 января 2004 г. № 3-, гласит: п.59. Совещания по секретным вопросам проводятся в помещениях, аттестованных в соответствии с требованиями по ЗИ; п.198. Обработка секретной информации с использованием средств вычислительной техники осуществляется после проведения их аттестации на соответствие обязательным требованиям.)
2. Государственные информационные системы, обрабатывающие информацию ограниченного доступа, не содержащей сведения, составляющие государственную тайну, в том числе персональные данные. (п.13 Требований о ЗИ, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2022г. № 17)
Объекты информатизации добровольной аттестации: все иные объекты информатизации.
Максимальный срок действия аттестата соответствия – 3 года.
Согласно СТР-К объекты информатизации должны быть аттестованы на
соответствие требованиям по ЗИ.
Аттестация – комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.
Порядок проведения аттестации объектов информатизации по требованиям безопасности информации определяется следующими документами:
— (ГОСТ РО 0043-003-2022 «Защита информации. Аттестация объектов информатизации. Общие положения»);- ГОСТ РО 0043-004-2022 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний»;– «Специальные требования и рекомендации по ЗИ,составляющей государственную тайну, от утечки по техническим каналам»,Утверждены приказом Гостехкомиссии России от 30.08.2002 г. № 282 (СТР-К);- Для ГИС – 17 Приказ (см. выше).
Для ИСПДн: п.6 Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСперсональных данных». Приказ ФСТЭК РФ от 18.03.2022 №21.
3. Порядок продления по упрощенной схеме срока действия сертификата соответствия ФСТЭК России на средство ЗИ организацией, эксплуатирующей данное средство.
Организация, эксплуатирующая средство ЗИ заблаговременно не позднее, чем за три месяца до окончания срока действия на него сертификата соответствия, уточняет у первичного заявителя (производителя средства защиты) информацию о проводимых работах по продлению срока действия сертификата соответствия и о порядке доведения до эксплуатантов копии продленного сертификата. При получении информации об отсутствии намерений первичного заявителя продлевать сроки действия сертификата соответствия эксплуатирующая организация самостоятельно заблаговременно, но не позднее, чем за один день до окончания срока действия сертификата, направляет соответствующую заявку установленного образца в ФСТЭК России. К заявке прикладывается протокол оценки эффективности средства ЗИ (для средств ЗИ от утечки по техническим каналам) или протокол оценки защищенности информации от несанкционированного доступа (для средств ЗИ от несанкционированного доступа), оформленные не ранее, чем за двенадцать месяцев до дня отправки заявки на продление срока действия сертификата соответствия.
Информационное сообщение ФСТЭК России от 23 января 2022 г. №240/24/223:
Указанные протоколы оформляются при проведении аттестационных испытаний или ежегодного контроля соответствия системы ЗИ объекта информатизации требованиям безопасности информации.
Для средств защиты секретной информации протоколы оформляются организацией, имеющей лицензию ФСТЭК России на осуществление мероприятий по ТЗИ, составляющей государственную тайну. Для средств защиты конфиденциальной информации — организацией, имеющей лицензию ФСТЭК России на осуществление мероприятий по технической защите конфиденциальной информации или организацией, эксплуатирующей данное средство.
В протоколах указывается идентификационная информация о средстве ЗИ, в том числе его заводской (серийный) номер, номер специального защитного знака, которым маркировано указанное средство ЗИ, номер и срок действия сертификата соответствия.
Протокол отправляется на имя начальника 2 Управления ФСТЭК России.
Условия продления:
· средство ЗИ функционирует с требуемой эффективностью;
· в организации имеется в наличии эксплуатационная документация на средство ЗИ;
· на средстве ЗИ или в эксплуатационной документации средства имеется в наличии знак соответствия ФСТЭК России для маркирования сертифицированной продукции;
· своевременно проведен ежегодный контроль соответствия требованиям безопасности информации системы ЗИ объекта информатизации, в состав которой входит средство ЗИ.
В случае принятия положительного решения по экспертизе представленных материалов сертификат соответствия выдается сроком на три года.
Определение:
средство (продукция) ЗИ –технические, криптографические, программные и другие средства, предназначенные для ЗИ, средства, в которых они реализованы, а также средства контроля эффективности ЗИ;
сертификат соответствия – документ, подтверждающий, что продукция соответствует нормативным требованиям. Сертификат удостоверяет, что конкретный образец (экземпляр) средства ЗИ подвергался оценке соответствия установленным требованиям в форме обязательной сертификации. Подтверждением сертификации используемого экземпляра средства защиты является наличие соответствующих документов (паспорт, инструкция по эксплуатации, заверенная производителем копия сертификата), а также голографическая номерная марка государственного учета.
4. Назовите основные этапы (стадии) создания на объекте информатизации системы ЗИ в соответствии со Специальными требованиями и рекомендации по технической защите конфиденциальной информации (СТР-К).
Формирование требований к системе ЗИ (предпроектная стадия)
Разработка системы ЗИ (стадия проектирования)
Внедрение системы ЗИ (создание, испытания, опытная эксплуатация)
Подтверждение соответствия системы ЗИ (оценка соответсвия)
Разработка системы защиты информации информационной системы включает в себя:
• проектирование системы защиты информации информационной системы;
• разработку эксплуатационной документации на систему защиты информации информационной системы;
• макетирование и тестирование системы защиты информации информационной системы (при необходимости).
Системы защиты информации информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию.
Внедрение системы защиты
Внедрение системы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает:
• установку и настройку средств защиты информации в информационной системе;
• разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе эксплуатации (далее организационно – распорядительные документы по защите информации);
• внедрение организационных мер защиты информации;
• предварительные испытания системы защиты информации информационной системы;
• опытную эксплуатацию системы защиты информации информационной системы;
• анализ уязвимостей информационной системы и принятие мер защиты по их устранению;
• приемочные испытания системы защиты информации информационной системы.
Эксплуатация ГИС
§
• заведение и удаление учетных записей пользователей, управление полномочиями пользователей информационной системы и поддержание правил разграничения доступа в информационной системе;
• управление средствами защиты информации в информационной системе, в том числе параметрами настройки программного обеспечения, включая программное обеспечение средств защиты информации;
• централизованное управление системой защиты информации информационной системы (при необходимости);
• регистрация и анализ событий безопасности;
• информирование пользователей об угрозах безопасности информации и их обучение;
• сопровождение функционирования системы защиты информации информационной системы в ходе ее эксплуатации.
Выявление инцидентов и реагирование на них :
• определение лиц, ответственных за выявление инцидентов и реагирование на них;
• обнаружение и идентификация инцидентов;
• своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов ;
• анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;
планирование и принятие мер по устранению и предупреждению инцидентов
Управление конфигурацией аттестованной информационной системы и ее системы защиты информации
• поддержание базовой конфигурации информационной системы и ее системы защиты информации;
• определение лиц, которым разрешены действия по внесению изменений в базовую конфигурацию информационной системы;
• управление изменениями базовой конфигурации информационной системы;
• анализ потенциального воздействия планируемых изменений в базовой конфигурации информационной системы на обеспечение защиты информации;
• определение параметров настройки программного обеспечения до внесения изменений в базовую конфигурацию информационной системы и ее системы защиты информации;
• внесение информации (данных) об изменениях в базовой конфигурации информационной системы в эксплуатационную документацию;
принятие решения о повторной аттестации информационной системы
Контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе
• контроль за событиями безопасности и действиями пользователей в информационной системе;
• контроль (анализ) защищенности информации, содержащейся в информационной системе;
• анализ и оценка функционирования системы защиты информации информационной систем;
• периодический анализ изменения угроз безопасности информации в информационной системе;
• документирование процедур и результатов контроля (мониторинга);
• принятие решения по результатам контроля (мониторинга) за обеспечением уровня защищенности информации о доработке (модернизации) системы защиты информации информационной системы и ее повторной аттестации.
Вывод из эксплуатации ГИС
Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации осуществляется оператором в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и организационно-распорядительными документами по защите информации и в том числе включает:
• архивирование информации, содержащейся в информационной системе;
• уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.
5. Сколько установлено классов защиты автоматизированных систем от несанкционированного доступа. Назовите определяющие признаки, по которым производится группировка автоматизированных систем в различные классы.
9 классов: 5 ГТ (3А, 2А, 1А, 1Б, 1В) и 4 КИ (3Б, 2Б, 1Г, 1Д). АС делятся на однопользовательские (3А, 3Б) и многопользовательские. Многопользовательские АС делятся на АС с одинаковыми правами пользователей (2А, 2Б) и различными правами пользователей (1А, 1Б, 1В, 1Г, 1Д-персональные данные).
Определяющие признаки: — режим обработки информации (однопользовательская/многопользовательская);- права доступа к информации (равные/различные); — уровни конфиденциальности/секретности.
6. Каким документом установлены общие требования к структуре, содержанию, оформлению, утверждению программ и методик аттестационных испытаний объектов информатизации. Кем разрабатывается программа и методики аттестационных испытаний объектов информатизации.
Документ: ГОСТ РО 0043-004-2022 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».
Разрабатывается: органом по аттестации (ГТ) или организацией у которой есть лицензия на КИ (для КИ)
7. Что собой представляет обобщенная модель технического канала утечки (перехвата) защищаемой информации.
Прием средством разведки, размещенном за пределами КЗ информационного сигнала от источника сигнала через среду его распространения.
— источник информации (объект разведки);
— среда распространения сигнала;
— приемник информации (средство разведки).
§
Можно аттестовать типовой сегмент, реализующий полную технологию обработки информации, а затем распространить на всю информационную систему. Условия и порядок распространения прописывается в программе и методике аттестационных испытаний. Сегмент считается аттестованным, если для обеих сегментов установлены одинаковые классы защищенности и одинаков перечень актуальных угроз, реализованы одинаковые проектные решения. Соответствие сегмента подтверждается в ходе приемных испытаний.
Особенности аттестации информационной системы1. Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.
Особенности аттестации, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.
2. Повторная аттестация информационной системы осуществляется в случае окончания срока действия аттестата соответствия, изменения класса защищенности информационной системы, состава актуальных угроз безопасности информации или проектных решений, реализованных при создании системы защиты информации информационной системы.
Даете определение понятию «средство ЗИ». В какой форме проводится оценка соответствия средств ЗИ, предназначенных для обеспечения безопасности информации ограниченного доступа
Средство защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для ЗИ (ГОСТ Р 50922-96)
СРЕДСТВО (ПРОДУКЦИЯ) ЗАЩИТЫ ИНФОРМАЦИИ –технические, криптографические, программные и другие средства, предназначенные для защиты информации, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
ОЦЕНКА СООТВЕТСТВИЯ – прямое или косвенное определение соблюдения требований, предъявляемых к продукции (работам, услугам). Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, и в иной форме.
ПОДТВЕРЖДЕНИЕ СООТВЕТСТВИЯ – документальное удостоверение соответствия продукции требованиям технических регламентов и (или) положениям стандартов.
Оценка соответствия средств (продукции) ЗИ, предназначенных для обеспечения безопасности государственного информационного ресурса ограниченного доступа и персональных данных, проводится в форме обязательной сертификации. (ФЗ №184 от 27.12.2002г. «О техническом регулировании», ПП РФ №608 от 26.06.95г. «Положение о сертификации средств ЗИ», ПП РФ № 330 от 15.05.10г. «Положение об особенностях оценки … информации ограниченного доступа»).
Для единичных образцов средств защиты информации – проведение испытаний образца на соответствие требованиям по безопасности информации
Для партии средств защиты информации – проведение испытаний репрезентативной выборки образцов средств на соответствие требованиям по безопасности информации;
Для серийного производства средств защиты информации – проведение типовых испытаний образцов продукции и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции или аттестация производства по утвержденной программе
Пункт 1.7. Положения о сертификации средств защиты информации по требованиям безопасности информации, утвержденного приказом Гостехкомиссии России от 27.10.1995 № 199
Тема: Криптографические средства защиты от несанкционированного доступа. Электронная подпись.
Основные понятия криптографии: Что такое криптография? В чем отличие идентификации от аутентификации? Что такое шифрование, зашифрование, расшифрование? Что такое алгоритм шифрования? Какие бывают алгоритмы шифрования? Что такое ключ шифрования? Основная характеристика ключа шифрования.
Что такое криптография?
Криптография – наука, связанная с созданием математических методов и средств ЗИ, обеспечивающих конфиденциальность, целостность, имитозащиту и ряд других функций.
Криптография представляет собой совокупность методов преобразования данных, направленных на защиту этих данных, сделав их бесполезными для незаконных пользователей.
Основные задачи, решаемые криптографией и пути их решения:
— обеспечение конфиденциальности путём лишения неуполномоченного лица возможности извлечь информацию из канала связи;
— обеспечение целостности путем лишения противника возможности изменить сообщение так, чтобы исказить его смысл, или ввести ложную информацию в канал связи.
§
Идентификация (Identification) – это процедура распознавания пользователя по его идентификатору (имени). Она выполняется в 1-ю очередь, при попытке войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.
Аутентификация (Authentication) – процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно подтверждением идентификации, является уникальная, не известная другим информация – пароль или сертификат.
Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы, можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация.
Авторизация (Authorization) – процедура предоставления субъекту определенных полномочий и ресурсов в данной системе (сферу его действия и доступные ему ресурсы). Если система не может надежно отличить авторизованное лицо от неавторизованного, конфиденциальность и целостность информации в этой системе могут быть нарушены.
Что такое шифрование, зашифрование, расшифрование?
Шифрование данных – процесс зашифрования и расшифрования данных.
Зашифрование данных – процесс преобразования открытых данных в зашифрованные с помощью шифра.
Криптограмма – результат шифрования открытого текста.
Расшифрование данных – процесс преобразования закрытых данных в открытые с помощью шифра.
Криптоанализ (дешифрование) – процесс преобразования закрытых данных в открытые при неизвестном ключе и, возможно, неизвестном алгоритме.
Что такое алгоритм шифрования?
Алгоритм шифрования – набор правил (инструкций), определяющих содержание и порядок операций по шифрованию и расшифрованию информации.
Какие бывают алгоритмы шифрования?
Симметричный – способ шифрования, в котором для шифрования и расшифровывания применяется один и тот же криптографический ключ. Примеры: DES, IDEA, AES, ГОСТ 28147-89. Ключ алгоритма должен сохраняться в секрете обеими сторонами. Алгоритм шифрования выбирается сторонами до начала обмена сообщениями.
Асимметричный – система шифрования и/или электронной подписи (ЭП), при которой используется пара ключей: открытый ключ передаётся по открытому каналу и используется для проверки ЭП и для шифрования сообщения. Для генерации ЭП и для расшифровки сообщения используется закрытый ключ. Примеры: RSA, DSA, ECC, ГОСТ Р 34.10-2022.
Что такое ключ шифрования?
Ключ шифрования – секретная информация, используемая криптографическим алгоритмом при шифровании/расшифровке сообщений, постановке и проверке цифровой подписи, вычислении кодов аутентичности.
Криптографический ключ (криптоключ) – совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе (приказ ФАПСИ 2001 г. № 152).
Криптографические ключи различаются согласно алгоритмам, в которых они используются:
— симметричные ключи – ключи, используемые в симметричных алгоритмах (шифрование, выработка кодов аутентичности). Главное свойство симметричных ключей: для выполнения как прямого, так и обратного криптографического преобразования необходимо использовать один и тот же ключ. С одной стороны, это обеспечивает более высокую конфиденциальность сообщений, с другой стороны, создаёт проблемы распространения ключей в системах с большим количеством пользователей;
— асимметричные ключи – ключи, используемые в асимметричных алгоритмах (шифрование, ЭЦП). Более точно, они являются ключевой парой, поскольку состоят из двух ключей:
закрытый ключ – ключ, известный только своему владельцу. Только сохранение пользователем в тайне своего закрытого ключа гарантирует невозможность подделки злоумышленником документа и цифровой подписи от имени заверяющего;
открытый ключ – ключ, который может быть опубликован и используется для проверки подлинности подписанного документа, а также для предупреждения мошенничества со стороны заверяющего лица в виде отказа его от подписи документа. Открытый ключ подписи вычисляется, как значение некоторой функции от закрытого ключа, но знание открытого ключа не дает возможности определить закрытый ключ.
§
PKI (Public Key Infrastructure – Инфраструктура открытых ключей) – набор средств (технических, материальных, людских и т. д.), распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей. В основе PKI лежит использование криптографической системы с открытым ключом. В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:
1. закрытый ключ известен только его владельцу;
2. удостоверяющий центр создает сертификат открытого ключа, таким образом, удостоверяя этот ключ;
3. никто не доверяет друг другу, но все доверяют удостоверяющему центру;
4. удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.
PKI представляет собой систему, основным компонентом которой является удостоверяющий центр и пользователи, взаимодействующие между собой посредством удостоверяющего центра.
PKI реализуется по модели клиент-сервер, то есть проверка какой-либо информации, предоставляемой инфраструктурой, может происходить только по инициативе клиента.
Основные компоненты PKI:
1. Удостоверяющий центр (УЦ) является основной структурой, формирующей цифровые сертификаты подчиненных центров сертификации и конечных пользователей. УЦ является главным управляющим компонентом PKI, то есть, он является доверенной третьей стороной и это сервер, который осуществляет управление сертификатами.
Сертификат открытого ключа (сертификат) – документ который содержит данные пользователя и его открытый ключ, скрепленные подписью удостоверяющего центра и информацию о сроке действия сертификата. Выпуская сертификат открытого ключа, удостоверяющий центр тем самым подтверждает, что лицо, поименованное в сертификате, владеет секретным ключом, который соответствует этому открытому ключу.
2. Регистрационный центр (РЦ) – необязательный компонент системы, предназначенный для регистрации пользователей. Для этих целей РЦ обычно предоставляет веб-интерфейс. Удостоверяющий центр доверяет регистрационному центру проверку информации о субъекте. Регистрационный центр, проверив правильность информации, подписывает её своим ключом и передаёт удостоверяющему центру, который, проверив ключ регистрационного центра, выписывает сертификат. Один регистрационный центр может работать с несколькими удостоверяющими центрами (то есть состоять в нескольких PKI), один удостоверяющий центр может работать с несколькими регистрационными центрами. Иногда, удостоверяющий центр выполняет функции регистрационного центра.
3. Репозиторий – хранилище, содержащее сертификаты и списки отозванных сертификатов (СОС) и служащее для распространения этих объектов среди пользователей. В Федеральном Законе РФ № 63 «Об электронной подписи» он называется реестр сертификатов ключей подписей.
4. Архив сертификатов – хранилище всех изданных когда-либо
сертификатов (включая сертификаты с закончившимся сроком действия). Архив используется для проверки подлинности электронной подписи, которой заверялись документы.
5. Центр запросов – необязательный компонент системы, где конечные пользователи могут запросить или отозвать сертификат.
6. Конечные пользователи – пользователи, приложения или системы, являющиеся владельцами сертификата и использующие инфраструктуру управления открытыми ключами.
Основные задачи, которые решает инфраструктура управления открытыми ключами:
– обеспечение конфиденциальности информации;
– обеспечение целостности информации;
– обеспечение аутентификации пользователей и ресурсов, к которым обращаются пользователи; – обеспечение возможности подтверждения совершенных пользователями действий с информацией (неотказуемость, или апеллируемость).
PKI напрямую не реализует авторизацию, доверие, именование субъектов криптографии, защиту информации или линий связи, но может использоваться как одна из составляющих при их реализации.
Задачей PKI является определение политики выпуска цифровых сертификатов, выдача их и аннулирование, хранение информации, необходимой для последующей проверки правильности сертификатов.
В число приложений и служб, поддерживающих PKI, входят:
– защищенная электронная почта,– протоколы платежей, электронные чеки,– электронный обмен информацией,– защита данных в сетях с протоколом IP,– электронные формы и документы с электронной подписью (ЭП).
PKI оперирует в работе сертификатами.
Примеры использования PKI
— усиленная квалифицированная электронная подпись (ЭП);- шифрование сообщений;
— авторизация
§
— удостоверяет, что подписанный текст исходит от лица, поставившего подпись (подлинность);
— не дает возможность отказаться от обязательств, связанных с подписанием текста (неотрекаемость);
— гарантирует целостность подписанного документа.
Простая ЭП – это электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. (Подтверждает факт формирования подписи c помощью логина и пароля).
Усиленная ЭП – неквалифицированная, квалифицированная.
Неквалифицированная–
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи (в т.ч. несертифицированных).
Квалифицированная– является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются сертифицированные средства электронной подписи.
8. Что такое репозиторий? Какие основные требования предъявляются к репозиторию? Что такое центр регистрации?
Репозиторий – хранилище, содержащее сертификаты и списки отозванных сертификатов (СОС) и служащее для распространения этих объектов среди пользователей. Является одним из компонентов инфраструктуры PKI. Требования — простота и стандартность действий; регулярность обновления информации; встроенная защищенность; простота управления.
В базовый состав компонент ПАК «КриптоПро УЦ» входят:
– Центр Сертификации «КриптоПро УЦ»;
– Центр Регистрации «КриптоПро УЦ»
– АРМ пользователя: регистрации пользователя, зарегистрированного пользователя с ключевым доступом, зарегистрированного пользователя с маркерным доступом (в составе Центра Регистрации);
– АРМ администратора Центра Регистрации;
АРМ разбора конфликтных ситуаций.
Все компоненты ПАК «КриптоПро УЦ» 1.5 взаимодействуют друг с другом с использованием защищенного транспортного протокола Transport Layer Security (TLS) с двухсторонней аутентификацией.
Центр Регистрации – серверный компонент, который осуществляет ведение баз данных учетных записей пользователей, изготовленных сертификатов ключей подписей, запросов на сертификаты и т.д. Центр Регистрации предоставляет интерфейс доступа к методам и объектам Удостоверяющего Центра. Центр Регистрации принимает разного рода запросы с Автоматизированных рабочих мест администраторов Центра Регистрации (посредством реализации Интерфейса Внешних Приложений) и от пользователей Удостоверяющего Центра (посредством реализации веб-интерфейса Центра Регистрации), обеспечивает их обработку и хранение, в случае соответствия запросов установленным политикам обработки — пересылает их на Центр Сертификации. Центров Регистрации для одного Центра Сертификации может быть несколько.
Что такое сертификат ключа проверки электронной подписи? Его основные характеристики. Требования к сертификату в государственных органах РФ. Кем выдаётся сертификат?
Сертификат ключа проверки электронной подписи — электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Сертификат ключа проверки ЭП должен содержать следующую информацию:
1) даты начала и окончания срока его действия;
2) фамилия, имя и отчество (если имеется) — для физических лиц, наименование и место нахождения — для юридических лиц или иная информация, позволяющая идентифицировать владельца сертификата ключа проверки электронной подписи;
3) ключ проверки электронной подписи;
4) наименование используемого средства электронной подписи и (или) стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи;
5) наименование удостоверяющего центра, который выдал сертификат ключа проверки электронной подписи;
6) иная информация, предусмотренная «частью 2 статьи 17» 63-ФЗ, — для квалифицированного сертификата.
Используется усилиенная квалифицированная подпись, выдающаяса удостоверяющими центрами, аккредитованными Минкомсвязи России. Применяется при взаимодействии с различными органами исполнительной власти, а так же с иными коммерческми организациями.
Квалифицированная электронная подпись обладает всеми признаками неквалифицированной, однако она может быть получена только в удостоверяющем центре, аккредитованном Минкомсвязи России. Программное обеспечение, необходимое для работы с КЭП, должно быть сертифицировано Федеральной службой безопасности. Следовательно, квалифицированная электронная подпись наделяет документы полной юридической силой и соответствует всем требованиям о защите конфиденциальной информацию. КЭП используется для сдачи отчетности в контролирующие органы государственной власти и для участия в электронных торгах.
10. Какой документ определяют порядок организации и обеспечения функционирования шифровальных (криптографических) средств, предназначенных для ЗИ, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСперсональных данных? Его основные требования.
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для ЗИ, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСперсональных данных, УТВЕРЖДЕНЫ руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622.
Основные требования:
– Организация и обеспечение безопасности обреботки с использованием шифровальных (криптографических) средств персональьнах данных: Ответственность оператора, разработка и реализация мероприятий по организации и обеспечению безопасности Пдн при их обработке в ИС, допуск и обязанности пользователей.
– Порядок обращения с криптосредствами и криптоключами к ним. Мероприятия при компроментиации ключей.
– Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или храняться ключевые документы к ним.
11. Какой документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСперсональных данных (далее — информационная система) с использованием средств криптографической ЗИ? Его основные требования.
Приказ ФСБ России № 378 от 10 июля 2022 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСперсональных данных с использованием средств криптографической ЗИ, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности».
Основные требования:
– Организация режима обеспечения безопасности помещений, в которыз размещена ИС, препятствующего возможности неконтролируемого проинкновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
– Обеспечение сохранности носителей ПДн;
– Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей;
– Использование СЗИ, прошедших продцедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применеие таких средств необходимо для нейтрализации актуальных угроз.
Как правильно называть букву z в английском алфавите: зэд или зи?. блог образовательного центра «интенсив»
Буква Z в английском алфавите имеет два названия: zed в британском, от греческого «дзета», как и во многих европейских алфавитах, в американском — zee по аналогии с буквами B C D E G P T V.
Остальные буквы английского алфавита имеют вполне конкретные названия и недопустимо путать между собой C — S, A- E- I, G- J, U-Y, R-A. В английском алфавите букв си, эс, эй, и, ай, джи, джей, ю, ўай, ар — только по одной! H называется «эйч», не «аш».
Студентам, записавшимся на обучение английскому для начинающих онлайн мы говорим: чтобы запомнить и не путать эти похожие по звучанию буквы, почаще обращайтесь к знакомым аббревиатурам: USA, BBC, GPS, IQ, DJ, YMCA, PR, HR, ET.
В русском языке тоже есть разговорные-народный-просторечные («неграмотные»;) названия букв К Л М Н Р С Ф Х Ш Щ :
- кэ
- лэ
- мэ
- нэ
- рэ
- сэ
- фэ
- хэ
- ше
- ще
вместо
- ка
- эль
- эм
- эн
- эр
- эс
- эф
- ха
- ша
- ща.
Эти названия уже укоренились в разговорном названии рубля (200 р. — 200 рэ), сокращения США (сэшэа, не эсшаа), хб (хэбэ, хотя таже хабэ, хэбешка, хабешный и т.д. — трудно выяснить как правильно пишется, когда всё строится только на произношении).
Ну, и как же правильно: Зэд или Зи? Никак не неправильно. Оба варианта верны. Зэд более традиционный, зато на Зи больше рифм и с ним есть много песен и стихов.