Защита информации в технологических процессах электронного декларирования. Докладчик: Шарыпов Андрей Юрьевич Санкт-Петербург, 2010 г. Типы и источники угроз Несанкционированный доступ Интернет – неконтролируемое пространство Уничтожение Искажение Недоступность 80% происшествий происходит по вине сотрудников Безответственность Корыстные цели Месть Необдуманные действия Шпионаж Вымогательство Терроризм Стихийные бедствия Организационные мероприятия Разработка правил работы с информацией, их последовательная реализация, постоянный мониторинг угроз и приведение правил в соответствие с угрозами. Организация ограниченной зоны работы с информацией. Ограничение и учёт доступа сотрудников в эту зону. Организация и учёт работы с бумажными документами. Организация и учёт оборота машинных носителей информации. Технические средства Тесно связаны с организационными мероприятиями и являются основой их реализации (доступ в помещение, управление паролями и т. д.) Препятствия физическому доступу Программные средства ограничения доступа Средства защиты от атак по сети Антивирусная защита Устранение уязвимостей программного обеспечения Криптографическая защита информации Резервное копирование Криптографическая защита информации VPN - защита от перехвата информации при передаче по открытым каналам (Интернет). ЭЦП – контроль целостности и доказательство авторства документа. Виртуальная частная сеть (VPN) Обеспечивают такую же безопасность информации при передаче через незащищённые сети (Интернет), как если бы информация не выходила за пределы локальной сети. Может производиться подключение компьютера к удалённой сети (VPN клиент и VPN сервер) или соединение сетей. Программы на компьютерах с двух сторон VPN работают с обычными данными, а по незащищённой сети (Интернет) информация передаётся в зашифрованном виде. Для подключения клиентов к оператору используется VPN на основе протокола L2TP/IPSec. Клиентская часть встроена в операционную систему Windows и не требует установки дополнительного программного обеспечения. Для организации VPN между оператором и ГНИВЦ используется АПКШ «Континент», сертифицированный ФСТЭК и ФСБ. Реализует VPN между сетями. Электронная цифровая подпись (ЭЦП) ЭЦП гарантирует целостность информации. Документ не шифруется, чтение не требует наличия каких-либо ключей, но любое изменение будет обнаружено при проверке электронной подписи. ЭЦП однозначно определяет авторство документа. Принадлежность подписи подтверждается корневым ведомственным удостоверяющим центром. Наличие независимых ведомственных корневых удостоверяющих центров не позволяет использовать одну ЭЦП для разных типов документов (таможня, налоговые органы, пенсионный фонд и т. д.) Существуют различные математические алгоритмы, реализуемые в ЭЦП. Официально признаются только алгоритмы, закреплённые в ГОСТ. Электронные документы с ЭЦП юридически равны бумажным с обычными подписями и печатями. Скомпрометированная ЭЦП должна быть немедленно отозвана. Носители ЭЦП ПО «КриптоПро CSP», используемое для работы с ЭЦП, позволяет использовать в качестве носителя ЭЦП как просто сменные дисковые устройства (дискета, флэш-накопители), так и интеллектуальные устройства, например, eToken (USB-ключ), смарт-карты, Touch Memory («Таблетки») и т. д. На сегодняшний день ГНИВЦ ФТС может поставлять ЭЦП на дискетах и eToken. Дискеты медленные и ненадёжные. eToken на сегодняшний день предпочтителен. Требования ФТС к ИС ЭПС Изложены в Приказе ФТС № 52 от 24 января 2008 г. Установка лицензионных средств антивирусной защиты, сертифицированных ФСТЭК и ФСБ по требованиям безопасности информации. Использование сертифицированных ФСБ средств криптографической защиты информации и ЭЦП, совместимых с системой ведомственных удостоверяющих центров таможенных органов Обеспечение разграничения и контроля доступа должностных лиц Заявителя к ресурсам ИС ЭПС с использованием сертифицированных средств защиты информации (ИС ЭПС должна быть аттестована по требованиям безопасности информации). Включает в себя полный комплекс организационно-технических мероприятий, описанных ранее, включая выделенное помещение, требования по электропитанию, пожарной и охранной сигнализации, сертификации ФСТЭК и ФСБ используемых средств криптозащиты, организации учёта оборота и уничтожения документации и машинных носителей информации. Установка лицензионных операционных систем, сертифицированных ФСТЭК по требованиям безопасности информации. Оценка стоимости выполнения требований Стоимость реализации применительно к 1 рабочему месту электронного декларирования – от 500 тыс. до 1 млн. рублей единовременных затрат. Текущие расходы: на выделенное помещение, 1-2 высококвалифицированных сотрудника, обслуживание средств криптозащиты, повторная сертификация по мере окончания сроков действия. Обеспечение безопасности оператором Мы выполнили все требования руководящих документов (Аттестат соответствия № СЗИ.RU.054.B27.026/162/09K от 03.08.2009 ). Мы защищаем Вашу обрабатывается у нас. информацию, когда Мы она защищаем Вашу информацию при передаче по открытым каналам (Интернет). Мы сделали это максимально удобно для Вас. Что осталось сделать Вам Приобрести ПО «КриптоПро CSP». Заключить договор с оператором и получить через него в ГНИВЦ ФТС России ЭЦП. Настроить VPN подключение со стороны клиента. Как это сделать Для приобретения ПО «КриптоПро CSP» оставьте заявку на сайте http://cryptopro.ru размещённой там же инструкции. и действуйте по Ознакомьтесь со статьями в разделе «Поддержка» «Вопросы и ответы» на нашем сайте http://sigma-soft.ru. Там Вы найдёте пошаговые инструкции по настройке VPN подключения, установке и настройке КриптоПро CSP и другую полезную информацию. Если Вы не хотите тратить время на установку и настройку, поручите это нам. Спасибо за внимание