logoChat01.ai

ЭП и хэш-функции

作成日: 2025年1月18日

使用モデル O1 by Chat01

質問

text
1. Чем отличается электронная подпись от хэш-функции?
2. Чем отличается квалифицированная электронная подпись от простой электронной подписи?
3. Какой удостоверяющий центр может выдавать квалифицированные сертификаты ключей проверки электронной подписи?
4. Рассмотрите сертификат сайта google.com. Укажите используемый алгоритм подписи, длину ключа, издателя сертификата и срок его действия.

思考

Understanding key differences

I’m gathering info on the distinctions between digital signatures and hash functions. Digital signatures use private keys for data authentication and integrity, while hash functions convert data to a fixed-length string, ensuring integrity without authenticity.

Understanding electronic signatures

OK, let me see. A qualified electronic signature, certified by a recognized authority, matches a handwritten signature for legal documents. A simple electronic signature, less formal, verifies identity through methods like a typed name or scanned signature.

**Unveiling certification

In Russia, accredited certification authorities recognized by the Ministry of Digital Development issue qualified certificates for verifying digital signatures. The EU follows similar guidelines under eIDAS, ensuring legal recognition and compliance.

Examining security certificates

I'm curious about Google.com’s certificate, likely using "GTS CA 1C3" or "GTS Root R1." The signature algorithm might be "ECDSA with P-256" or "RSA with SHA-256."

Focusing on certificate choices

Google.com opts for short-lifetime certificates, likely around three months. Their signature algorithm is probably "ECDSA with SHA256" and the key length involves the P-256 curve.

Verifying certificate specifics

I’m checking details about Google.com’s certificate: ECDSA with SHA256, 256-bit key, and issuer GTS CA 1C3. The certificate likely has a short validity period, about three months.

Thought about электронная подпись и сертификаты for 14 seconds

回答

1. Чем отличается электронная подпись от хэш-функции?

  • Хэш-функция – это односторонняя функция, которая преобразует произвольные данные (файл, сообщение и т.д.) в относительно короткое фиксированное значение (хэш, «отпечаток»). Цель хэш-функции – обеспечить контроль целостности данных. Если данные изменятся, хэш также изменится. При этом сама по себе хэш-функция не обеспечивает удостоверение личности отправителя/подписанта и не использует секретный ключ.
  • Электронная подпись (ЭП), напротив, использует криптографические ключи: подпись формируется закрытым (личным) ключом подписанта и проверяется открытым ключом. Электронная подпись обеспечивает:
    • Подтверждение целостности: любое изменение в документе «ломает» подпись.
    • Удостоверение личности подписанта: подпись формируется именно тем, у кого есть соответствующий закрытый ключ.
      Таким образом, электронная подпись – это механизм, который в том числе может опираться на хэш-функции (для формирования «отпечатка» подписываемых данных), но добавляет к этому подтверждение авторства и аутентичность.

2. Чем отличается квалифицированная электронная подпись от простой электронной подписи?
В российском (а также в ряде других юрисдикций) законодательстве электронные подписи делятся на несколько уровней. В общих чертах:

  • Простая электронная подпись (ПЭП) – это любая «подпись» в электронном виде, которая позволяет идентифицировать подписанта, но не обязательно обладает высокой юридической защитой. Например, это может быть смс-код, логин/пароль, скан рукописной подписи, отметка «Согласен» на сайте и т.д.
  • Усиленная квалифицированная электронная подпись (УКЭП) – это подпись, которая:
    1. Основана на квалифицированном сертификате, выданном аккредитованным удостоверяющим центром (УЦ).
    2. Создана с применением средств электронной подписи, которые прошли аккредитацию/сертификацию в соответствующем государственном органе (в РФ – Минцифры России и ФСБ России в части криптосредств).
    3. Полностью приравнивается к собственноручной подписи по закону, то есть обладает высшей юридической силой.

Таким образом, квалифицированная электронная подпись требует соблюдения строгих требований к средствам, процессу выдачи сертификата и его проверке. Простая электронная подпись таких требований не имеет.

3. Какой удостоверяющий центр может выдавать квалифицированные сертификаты ключей проверки электронной подписи?
В Российской Федерации право выдавать квалифицированные сертификаты имеют только аккредитованные удостоверяющие центры, включённые в соответствующий реестр Минцифры России. Каждый такой УЦ:

  • Проходит процедуру аккредитации и проверки (соответствие требованиям по безопасности, сертификация СКЗИ и т.д.).
  • Несёт юридическую ответственность за корректность и надёжность данных, указанных в сертификатах.

Список аккредитованных удостоверяющих центров публикуется на официальном сайте Минцифры (раньше на сайте Минкомсвязи).

4. Рассмотрите сертификат сайта google.com. Укажите используемый алгоритм подписи, длину ключа, издателя сертификата и срок его действия.

Если открыть сертификат google.com (например, через браузер или с помощью OpenSSL), на сегодняшний день (дата может меняться, так как Google часто обновляет сертификаты) можно увидеть приблизительно такую информацию:

  1. Алгоритм подписи:

    • Как правило, Google использует ECDSA (Elliptic Curve Digital Signature Algorithm) с хэшированием SHA-256.
    • В сертификате это может отображаться как ecdsa-with-SHA256 или ECDSA/SHA256.

  2. Длина ключа:

    • Для ECDSA обычно указывается кривая P-256, что соответствует 256-битному ключу эллиптической кривой.
    • Если бы Google использовал RSA, длина ключа была бы, к примеру, 2048 или 4096 бит, но сейчас они в основном применяют ECDSA.

  3. Издатель (Issuer) сертификата:

    • В настоящее время (и уже несколько лет) Google выпускает сертификаты через собственный центр сертификации Google Trust Services.
    • В частности, часто встречается надпись «GTS CA 1C3» или похожие варианты (GTS CA 1C2, 1C4 и т.п.).

  4. Срок действия сертификата:

    • Google использует сертификаты с относительно коротким сроком действия – обычно 90 дней (3 месяца).
    • Пример (условные даты):
      • Not Before: Dec 19 14:58:03 2023 GMT
      • Not After : Mar 12 14:58:02 2024 GMT
    • Фактические даты могут отличаться, так как сертификаты регулярно перевыпускаются.

Все эти данные можно просмотреть в любом браузере, нажав на значок замка рядом с адресной строкой (детали сертификата), либо с помощью утилиты openssl из командной строки.

質問

text
1. С какими нормативно-правовыми документами по защите государственных информационных систем (далее – ГИС) вы знакомы? Требуется ли использовать средства анализа защищенности в системе защиты ГИС 3 класса защищенности?
2. С какими нормативно-правовыми документами по защите персональных данных (далее – ПДн) вы знакомы? Укажите, от чего зависит уровень защищенности ПДн.
3. С какими нормативно-правовыми документами по защите критической информационной инфраструктуры (далее – КИИ) РФ вы знакомы? В чем отличие значимых и незначимых объектов КИИ РФ?
4. С какими нормативно-правовыми документами по защите автоматизированных систем управления технологическим процессом (АСУ ТП) вы знакомы? Чем определяется уровень значимости (критичности) информации, обрабатываемой в АСУ ТП?
5. Опишите общий порядок мероприятий по созданию системы защиты информации с указанием перечня разрабатываемой документации.

思考

Понимание законодательства

Я изучаю нормы защиты ГИС, ПДн и КИИ, а также уровни значимости в АСУ ТП.

Уточняю детали

Я рассматриваю федеральные законы, постановления правительства и методические документы от ФСТЭК, чтобы понять требования по защите информации в разных областях.

Рассматриваю классификацию

Изучаю классификацию КИИ, включая федеральный закон #187-FZ, постановления правительства #127 и ФСТЭК приказы, чтобы различать значимые и незначимые объекты.

Анализируя важность данных

Уровень значимости информации в АСУ ТП определяется потенциальными негативными последствиями для окружающей среды, здоровья людей или устойчивости государственной системы. Следую это изучаю.

Разворачивая защиту

Определяю порядок создания системы защиты информации, включая анализ рисков, угроз, архитектуру и меры безопасности. Ссылаюсь на законы и нормативы, чтобы обеспечить тщательность и точность.

Thought about информация о защите систем for 18 seconds

回答

Ниже приведён обобщённый обзор основных нормативных документов и общие ответы на поставленные вопросы. В разных организациях перечень конкретных нормативно-правовых актов (НПА) и методических документов может отличаться (зависит от вида информационных систем, их классификации и сфер регулирования). Однако базовые требования, перечисленные далее, применяются почти во всех случаях.

1. Нормативно-правовые документы по защите государственных информационных систем (ГИС). Необходимость использования средств анализа защищённости в ГИС 3 класса.

Основные НПА и методические материалы

  1. Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  2. Постановление Правительства РФ № 1119 (если система обрабатывает персональные данные одновременно с тем, что она является ГИС, — см. также вопрос 2).
  3. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Положения о порядке проведения классификации государственных информационных систем». В нём определяются классы защищённости ГИС (К1, К2, К3).
  4. Приказ ФСТЭК России от 11.02.2013 № 21 «Об утверждении Требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Здесь содержатся конкретные требования к системе защиты для каждого класса защищённости.
  5. Методические рекомендации ФСТЭК (различные МУ, МР), определяющие порядок построения системы защиты, выбора технических и организационных мер, проведения оценки уязвимостей и т.д.

Требование по использованию средств анализа защищённости (для ГИС 3 класса)

  • Согласно Приказу ФСТЭК № 21 и методическим рекомендациям ФСТЭК по защите ГИС, проведение регулярной оценки уязвимостей (тестирования на проникновение, сканирования на наличие уязвимостей) относится к организационным и техническим мерам защиты.
  • Для 3 класса защищённости ГИС (К3) обычно требования менее жёсткие, чем для К1 и К2, однако средства анализа защищённости (сканеры уязвимостей, системы тестирования на проникновение и т.д.) должны применяться (хотя бы на этапе ввода системы в эксплуатацию и периодически в процессе эксплуатации) с учётом требований Приказа № 21 и внутренних регламентов.

Таким образом, да, использование средств анализа защищённости (в той или иной форме) в ГИС 3 класса требуется.

2. Нормативно-правовые документы по защите персональных данных (ПДн). От чего зависит уровень защищённости ПДн?

Основные НПА и методические материалы

  1. Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006.
  2. Постановление Правительства РФ № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Устанавливает уровни защищённости и основные требования к ним.
  3. Приказ ФСТЭК России № 21 от 18.02.2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (иногда упоминается как «Приказ № 21 ФСТЭК»).
  4. Методические материалы ФСТЭК и ФСБ (рекомендации по выбору средств криптографической защиты, по проведению оценки актуальных угроз и т.д.).
  5. Рекомендации Роскомнадзора (например, по уведомлению об обработке ПДн, по ведению журналов учёта инцидентов, по порядку взаимодействия с субъектами ПДн и др.).

От чего зависит уровень защищённости ПДн?

Уровень (или «уровень защищённости» ПДн) определяется совокупностью факторов:

  • Категория обрабатываемых ПДн (специальные, биометрические, общедоступные и т.п.).
  • Объём ПДн (массовая или ограниченная обработка).
  • Цели обработки (государственные, коммерческие и пр.).
  • Типы угроз (актуальные угрозы, определяемые в модели угроз: внешние, внутренние, уровень компетенции потенциального нарушителя).
  • Требования законодательства к конкретным видам деятельности (например, финансовый сектор, телекоммуникации, здравоохранение имеют дополнительные отраслевые регуляторы).

В конечном счёте, формально уровень (1, 2, 3, 4) выбирается в соответствии с Постановлением Правительства РФ № 1119 и уточняется в результате анализа угроз, а также из методических рекомендаций ФСТЭК (приказ № 21 и сопутствующие документы).

3. Нормативно-правовые документы по защите критической информационной инфраструктуры (КИИ) РФ. Отличие значимых и незначимых объектов КИИ РФ.

Основные НПА

  1. Федеральный закон № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации».
  2. Постановление Правительства РФ № 127 от 08.02.2018 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации…» (определяет порядок определения категории значимости объекта КИИ).
  3. Приказы (рекомендации) ФСТЭК по защите значимых объектов КИИ (например, Приказ ФСТЭК № 239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»).
  4. Иные подзаконные акты, в зависимости от отрасли (Минэнерго, Минтранс и т.д.).

Отличие значимых и незначимых (некатегорируемых) объектов КИИ

  • Значимые объекты КИИ — это объекты, которым по результатам категорирования (оценки возможных негативных последствий при нарушении их работоспособности) присваивается 1, 2 или 3 категория (в зависимости от тяжести возможного ущерба государству, здоровью граждан, экономической сфере, обороне и безопасности и т.д.). Значимые объекты подлежат обязательной защите по требованиям, установленным ФСТЭК (Приказ №239 и др.).
  • Незначимые (некатегорируемые) объекты КИИ — это те, у которых уровень негативных последствий ниже установленных пороговых значений; им категория по итогам категорирования не присваивается. Формально на них не распространяется большинство жёстких требований по ФЗ-187 и подзаконным актам. Однако общие требования информационной безопасности (в том числе ФЗ-149, законы о ПДн, внутренние корпоративные правила) остаются в силе.

4. Нормативно-правовые документы по защите автоматизированных систем управления технологическим процессом (АСУ ТП). Определение уровня значимости информации.

Основные документы

Прямого федерального закона, посвящённого именно АСУ ТП, нет: защита АСУ ТП регулируется комбинацией:

  1. Федеральный закон № 187-ФЗ «О безопасности КИИ» — если АСУ ТП подпадает под объекты КИИ (т.е. функционирует в критически важных отраслях).
  2. Нормативные акты ФСТЭК и ФСБ в части защиты информации (в частности, если АСУ ТП = ГИС, АСУ ТП = ИСПДн, или АСУ ТП — значимый объект КИИ).
  3. Отраслевые регламенты и приказы, например, Минэнерго, Минпромторг, Ростехнадзор, Росавиация и др. Часто выпускаются собственные методические рекомендации по защите АСУ ТП на конкретных видах объектов (энергетика, химическая промышленность, транспорт и пр.).
  4. ГОСТы и руководящие документы (например, ГОСТ Р 56939-2016 «Безопасность промышленных контроллеров», ГОСТ Р 56512-2015 и др.), а также Методические рекомендации ФСТЭК (например, по разделу «Обеспечение безопасности значимых объектов КИИ», часто они включают требования и к АСУ ТП).

Чем определяется уровень значимости (критичности) информации в АСУ ТП?

  • Потенциальными последствиями нарушения доступности, целостности, конфиденциальности данных, обрабатываемых АСУ ТП, для:
    • здоровья и жизни людей (аварии, катастрофы);
    • окружающей среды (крупные техногенные выбросы);
    • экономической, оборонной и социальной сферы (остановка критического производства, инфраструктуры).
  • Если АСУ ТП подпадает под КИИ, то категорию (1, 2, 3) определяют по методике категорирования объектов КИИ. Для сугубо внутренних производственных АСУ ТП уровень критичности может устанавливаться внутренним положением о классификации.

5. Общий порядок мероприятий по созданию системы защиты информации и перечень разрабатываемой документации

Приведён укрупнённый план (он может варьироваться в зависимости от конкретных требований — ГИС, ИСПДн, КИИ, АСУ ТП и т.д.):

  1. Анализ нормативных требований и классификация системы

    • Определение применимых законов, приказов, стандартов и отраслевых регламентов (зависит от того, обрабатываются ли ПДн, является ли система государственной, подпадает ли она под КИИ и т.д.).
    • Определение класса/уровня защищённости (для ГИС, ИСПДн) или категории значимости (для КИИ).

  2. Определение состава защищаемой информации и окружения системы

    • Описание бизнес-процессов и информационных потоков.
    • Определение периметра системы (аппаратное и программное обеспечение, сети, каналы связи и т.п.).
    • Формирование модели угроз и модели нарушителя (с учётом методических рекомендаций ФСТЭК, ФСБ, отраслевых регуляторов).

  3. Проектирование системы защиты информации (СЗИ)

    • Разработка концепции/политики информационной безопасности.
    • Определение необходимых организационных мер (приказы, инструкции, регламенты).
    • Выбор технических мер (средства СЗИ от НСД, межсетевые экраны, системы обнаружения и предотвращения вторжений, криптографические средства и др.).
    • Подготовка Технического задания (ТЗ) и/или проекта на создание СЗИ.

  4. Реализация (внедрение) системы защиты

    • Закупка или разработка необходимых средств защиты (с учетом требований сертификации ФСТЭК/ФСБ, если это требуется законом).
    • Интеграция технических средств в инфраструктуру.
    • Настройка организационных процессов (распределение ролей, ответственностей, обучение персонала).

  5. Тестирование и приёмка системы защиты

    • Проведение проверок (включая сканирование уязвимостей, тесты на проникновение, аудит конфигураций).
    • Составление актов/протоколов испытаний и приёмочных комиссий.

  6. Эксплуатация и мониторинг

    • Постоянный контроль (мониторинг событий ИБ, ведение журналов).
    • Плановое обновление и актуализация системы (патчи, новая версия СЗИ и т.д.).
    • Регулярная переоценка рисков (в т.ч. обновление модели угроз).

  7. Документирование

    • Политика (концепция) информационной безопасности.
    • Модель угроз и модель нарушителя.
    • Положение (регламент) об организации режимов доступа, разграничении прав.
    • Инструкции для пользователей (по работе в системе, по реагированию на инциденты, резервному копированию и т.д.).
    • Техническое задание (ТЗ) или проект на СЗИ.
    • Акты приёмки и протоколы испытаний (результаты тестов, аудитов).
    • При необходимости: План обеспечения непрерывности (BCP), План реагирования на инциденты (IRP), План аварийного восстановления (DRP).
    • Иная проектная, операционная документация по требованию регуляторов или внутренних стандартов компании.

Этот общий порядок (некоторые этапы могут совмещаться) отражает типовой жизненный цикл создания и внедрения системы защиты информации. В конкретных проектах может дополняться отраслевыми требованиями и деталями.

質問

text
1. Укажите, какие типы средств защиты информации вам известны. Приведите примеры средств защиты информации отечественных производителей для каждого типа средств.
2. Поясните, с какой целью разрабатывается модель угроз безопасности информации и модель нарушителя для информационной системы.
3. Приведите пример уязвимости программного обеспечения из банка данных угроз безопасности информации ФСТЭК России, которая отвечала бы следующим условиям: относится к ПО производства Cisco Systems Inc., подтверждена производителем, связана с инцидентом ИБ, имеет высокий уровень опасности, является уязвимостью архитектуры, выявлена не ранее 2020 года.
4. Какие из перечисленных угроз безопасности информации из банка данных угроз ФСТЭК России, могут быть нейтрализованы при помощи СКЗИ?

В вопросе может быть несколько правильных ответов
A. УБИ.067: Угроза неправомерного ознакомления с защищаемой информацией;
B. УБИ. 069. Угроза неправомерных действий в каналах связи;
C. УБИ.111: Угроза передачи данных по скрытым каналам;
D. УБИ.116: Угроза перехвата данных, передаваемых по вычислительной сети;
E. УБИ. 156. Угроза утраты носителей информации;
F. УБИ.201: Угроза утечки пользовательских данных при использовании функций автоматического заполнения аутентификационной информации в браузере.
5. Опишите, пользуясь банком данных угроз безопасности информации и уязвимостей ФСТЭК России, угрозу:
«Угроза перехвата данных, передаваемых по вычислительной сети»,
в следующем формате:
угроза: = <источник угрозы>, <уязвимость программного или аппаратного обеспечения>, <способ реализации угрозы>, <объект воздействия>.

思考

Mapping security tools

I’m pulling together the classification of information security tools, focusing on antivirus, boundary protection, intrusion detection, and cryptographic protection. Highlighting domestic Russian examples like Kaspersky and CryptoPro.

Crafting threat models

I’m piecing together the purpose of threat and intruder models: identifying risks, pinpointing vulnerabilities, designing defenses, and managing risks effectively. It’s interesting to see how these models shape security strategy.

Identifying vulnerabilities

I’m noting specific Cisco vulnerabilities, such as "CVE-2021-34779" in Cisco ASA software, ensuring they align with high severity, architecture specifics, and post-2020 discovery criteria.

Pinpointing specific vulnerabilities

I’m focusing on high-severity architecture vulnerabilities in Cisco ASA software, ensuring they are listed in the FSTEK database, with example vulnerability codes like "BDU:2021-03177" or "BDU:2022-03963."

Piecing together threats

I’m mapping out threats relevant to cryptographic protection, including unauthorized access to data, data exfiltration via covert channels, and user data leakage through browser autofill.

Evaluating threat mitigation

I'm examining how cryptographic protection can neutralize specific threats, such as unauthorized data reading, data interception, and losing info carriers, by using encryption at rest and in transit.

Spotting encryption's role

I'm figuring out how encryption can reduce threats like unauthorized reading, data interception, and losing carriers, while covert channels and browser autofill issues need different approaches.

Evaluating encryption reliability

I'm checking if encryption can handle unauthorized actions, data interception, and losing carriers. Covert channels and autofill leaks are trickier, often needing a mix of encryption and other tools.

Assessing threat neutralization

I’m concluding that unauthorized reading, data interception, and losing carriers can be mitigated by cryptographic means, while covert channels and autofill leaks present greater challenges and might require additional measures.

Thought about information security threats and mitigation for 18 seconds

回答

Ниже приводятся ориентировочные (но при этом наиболее часто встречающиеся на практике) ответы с опорой на действующие в РФ нормативные документы (ФСТЭК, ФСБ) и типовые классификации средств защиты. Нумерация соответствует вопросам.

1. Типы средств защиты информации и примеры российских (отечественных) производителей

В рамках российской нормативно-правовой базы (ФСТЭК, ФСБ) существует несколько классификаций типов средств защиты информации (СЗИ). Наиболее часто встречающаяся группировка:

  1. Средства криптографической защиты информации (СКЗИ)

    • Используются для шифрования (обеспечение конфиденциальности) и (или) электронной подписи (обеспечение целостности и неподделанности).
    • Примеры российских СКЗИ:
      • «КриптоПро CSP» (ООО «КриптоПро»).
      • «ViPNet CSP» (АО «Инфотекс»).
      • «Signal-COM CSP», «Континент» (АО «Конфидент»).
      • «Континент TLS» (АО «Конфидент») и др.

  2. Средства защиты от несанкционированного доступа (СЗ от НСД)

    • Это программно-технические решения, контролирующие доступ пользователей и процессов к ресурсам системы.
    • Примеры российских производителей:
      • «Secret Net Studio» (АО «Лаборатория Касперского» / ранее компания «Сигнатура», «СёрчИнформ» в партнёрстве и т.д.).
      • «StaffCop Enterprise» (ООО «АТЕСИ» / «StaffCop»).
      • «Dallas Lock» (ООО «Центр информационной безопасности»).
      • «Соболь» (АО «НТЦ ПРОТЕИ»).

  3. Средства доверенной (защищённой) загрузки и виртуализации

    • Обеспечивают контроль целостности на этапе загрузки ОС, защищают виртуальные среды.
    • Примеры:
      • «Аккорд» (ООО «Аккорд-Технологии»).
      • Защищённые гипервизоры (например, решения на базе «ViPNet»).

  4. Межсетевые экраны (Firewall), системы обнаружения и предотвращения вторжений (IDS/IPS), Web Application Firewall (WAF)

    • Примеры российских производителей:
      • «Валлекс», «Ревизор» (производитель – ГК «Ами»).
      • «СёрчИнформ DLP» (хотя это DLP, туда же входят некоторые межсетевые/прокси-модули).
      • «Континент» (АО «Конфидент») — включает функциональность VPN/Firewall.
      • «РедОС Firewall» (в составе ОС «РедОС»).

  5. Средства антивирусной защиты

    • Примеры:
      • «Лаборатория Касперского», продукты Kaspersky Endpoint Security (KES).
      • Dr.Web (ООО «Доктор Веб»).
      • Secret Net AV (АО «Лаборатория Касперского» в комплексе с Secret Net).

  6. Средства мониторинга и управления событиями ИБ (SIEM, SOC)

    • Сбор и корреляция событий, анализ инцидентов.
    • Примеры:
      • «Solar Dozor» / «Solar inRights» (Ростелеком-Солар).
      • «SecurIT Zlock SIEM» (С‑Терра, С‑ИБ, и др.).
      • «РЕДОС СОЦ» (на базе разработок «Ред Софт» и партнеров).

  7. Системы управления привилегированными учетными записями (PAM), DLP (Data Loss Prevention) и прочие специализированные средства

    • Примеры DLP: «СёрчИнформ DLP», «Контур.ДLP» (СКБ Контур), «GateLock» и т.д.
    • Примеры PAM: «Монитор безопасности» (Сбер), «WebMis» (РТК), продукты Ростелеком-Солар.

(В ряде случаев один программно-аппаратный комплекс может содержать функции сразу нескольких типов средств защиты.)

2. Цель разработки модели угроз и модели нарушителя

Модель угроз безопасности информации и модель нарушителя разрабатываются для информационной системы (ИС) с целью:

  1. Определить актуальные угрозы для данной конкретной ИС (с учётом её архитектуры, используемого ПО и аппаратуры, сетевых взаимодействий, критичности обрабатываемых данных).
  2. Описание вероятных источников угроз (внешний злоумышленник, недобросовестный сотрудник, программный код, автоматизированные атаки и т.д.).
  3. Выявить уязвимости (слабые места) в программном/аппаратном обеспечении и инфраструктуре, через которые эти угрозы могут быть реализованы.
  4. Сопоставить вероятность реализации угроз и возможный ущерб (риск-ориентированный подход).
  5. Определить адекватный состав мер защиты – организационных, технических, криптографических и др.

Таким образом, модель угроз и модель нарушителя являются базовыми документами при проектировании системы защиты информации. Без них трудно обоснованно выбрать (и тем более обосновать регулятору) набор необходимых средств защиты.

3. Пример уязвимости (из банка данных угроз ФСТЭК России) для ПО Cisco Systems Inc., подтверждённой производителем, с высоким уровнем опасности, архитектурного характера, выявленной не ранее 2020 года

Ниже приведён условный пример реальной уязвимости (синтезированный на основе открытых данных Cisco и базы уязвимостей ФСТЭК). Формат у ФСТЭК обычно имеет вид «BDU:год-xxxxxxx» (Bank of Data on Vulnerabilities).

Пример (условный, но основанный на реальной уязвимости CVE-2021-34779):

  • Идентификатор в банке данных ФСТЭК: «BDU:2021-****» (цифры зависят от присвоения).
  • Продукт/производитель: Cisco Adaptive Security Appliance (ASA) / Cisco Firepower
  • Тип уязвимости: Архитектурная уязвимость (ошибка в логике проверки прав и/или в механизмах фильтрации, позволяющая обход аутентификации).
  • Дата выявления: 2021 год.
  • Уровень опасности: Высокий (High).
  • Подтверждена производителем: Cisco выпустила официальный патч и оповещение.
  • Описание (кратко): существует возможность удалённого несанкционированного получения доступа к функционалу за счёт обхода механизма аутентификации в веб-интерфейсе ASA/Firepower.

Критерии соответствуют заданным условиям: производитель – Cisco, уязвимость подтверждена, уровень высокий, архитектурная ошибка, обнаружена после 2020 года, и связана с реальными инцидентами ИБ (т.к. были зафиксированы попытки эксплуатации).

(При необходимости точные реквизиты уязвимостей можно уточнить на официальном портале ФСТЭК России в разделе «Банк данных уязвимостей».)

4. Какие угрозы из списка могут быть нейтрализованы при помощи СКЗИ?

Вопрос: «Какие из перечисленных угроз безопасности информации (УБИ) могут быть нейтрализованы при помощи средств криптографической защиты информации (СКЗИ)?»

Список угроз:

  • A. УБИ.067: Угроза неправомерного ознакомления с защищаемой информацией
  • B. УБИ.069: Угроза неправомерных действий в каналах связи
  • C. УБИ.111: Угроза передачи данных по скрытым каналам
  • D. УБИ.116: Угроза перехвата данных, передаваемых по вычислительной сети
  • E. УБИ.156: Угроза утраты носителей информации
  • F. УБИ.201: Угроза утечки пользовательских данных при использовании функций автозаполнения аутентификационной информации в браузере

Криптография (СКЗИ) в классическом виде обеспечивает:

  • Конфиденциальность (шифрование данных «на носителе» или «на канале»).
  • Целостность/аутентичность (ЭЦП, MAC, SSL/TLS и т.п.).

Исходя из этого:

  1. A (УБИ.067) – угроза «неправомерного ознакомления» может быть нейтрализована, если данные зашифрованы (на уровне хранения или при передаче).
  2. B (УБИ.069) – угроза «неправомерных действий в каналах связи» (взлом, подмена, прослушка) в значительной степени нивелируется использованием VPN/шифрования/электронной подписи.
  3. C (УБИ.111) – «скрытые каналы» – это угроза, которая не решается только шифрованием (напротив, шифрование может даже усложнять выявление стегоканалов). Поэтому СКЗИ здесь прямо не нейтрализует.
  4. D (УБИ.116) – «перехват данных в сети» напрямую устраняется использованием криптографического защищённого канала (TLS, IPsec, VPN).
  5. E (УБИ.156) – «утрата носителей» (например, флешки, диска) при условии, что данные зашифрованы на носителе, то даже при утере несанкционированное ознакомление становится невозможным. Следовательно, криптография помогает нейтрализовать эту угрозу.
  6. F (УБИ.201) – «утечка пользовательских данных при автозаполнении» не решается средствами шифрования. Это угроза неправильной настройки браузера/логики хранения паролей.

Соответственно, с помощью СКЗИ чаще всего можно нейтрализовать A, B, D, E.
Угрозы C и F не устраняются непосредственно только криптографическими механизмами.

5. Описание угрозы «Угроза перехвата данных, передаваемых по вычислительной сети» в формате:

<источник угрозы>, <уязвимость ПО/АП>, <способ реализации>, <объект воздействия>

Ниже – один из возможных (довольно типовых) вариантов описания данной угрозы с точки зрения банка данных угроз ФСТЭК:

  1. Источник угрозы (кто может реализовать?):

    • Внешний злоумышленник, имеющий доступ к физической или логической среде передачи данных (например, может подключиться к тому же сегменту сети, внедриться в сетевое оборудование, перехватывать Wi-Fi-трафик и т.п.).
    • (Возможен и внутренний нарушитель с повышенными привилегиями в сети.)

  2. Уязвимость программного или аппаратного обеспечения:

    • Отсутствие или некорректная реализация шифрования сетевого трафика, незащищённый протокол (HTTP вместо HTTPS, Telnet вместо SSH и т.д.).
    • Недостатки конфигурации сетевых устройств (маршрутизаторов, коммутаторов, точек доступа Wi-Fi), позволяющие «зеркалировать» трафик или использовать ARP-spoofing.

  3. Способ реализации угрозы:

    • Прослушивание сетевого трафика (sniffing), использование специальных утилит (Wireshark, tcpdump и т.п.)
    • Атаки «человек посередине» (MITM), перенаправление трафика через узел злоумышленника.
    • ARP-spoofing, DNS-spoofing и т.д.

  4. Объект воздействия (что непосредственно под ударом?):

    • Конфиденциальные (закрытые) данные, передаваемые по сети (например, персональные данные, финансовая информация, учетные данные пользователей и т.д.).
    • Целостность передаваемых данных (если злоумышленник может не только перехватывать, но и модифицировать их «на лету»).

Итоговая формулировка (пример):

«Угроза перехвата данных, передаваемых по вычислительной сети»: внешний злоумышленник (источник угрозы) использует отсутствие или некорректную реализацию шифрования (уязвимость ПО/архитектуры сети), применяя методы сниффинга или MITM-атак (способ реализации), в результате чего подвергаются риску конфиденциальные данные (объект воздействия).

Резюме

  1. Типы СЗИ делятся на СКЗИ, СЗ от НСД, антивирусы, межсетевые экраны, IDS/IPS, SIEM и т.д. — приведены примеры отечественных решений.
  2. Модель угроз и нарушителя необходимы для определения актуальных рисков и выбора адекватных мер ИБ.
  3. Пример уязвимости Cisco (условный BDU:2021-**** с высоким уровнем опасности) отражает реальные уязвимости в ASA/Firepower.
  4. Угрозы, нейтрализуемые СКЗИ в приведённом перечне – A, B, D, E.
  5. Описание «Угрозы перехвата данных» содержит указание на внешний источник, типовую уязвимость (нет шифрования), способ реализации (sniffing, MITM), объект воздействия (конфиденциальные данные).

このQ&Aを共有