Защита информации в технологических процессах ЭПС

Защита информации в
технологических процессах
электронного декларирования.
Докладчик:
Шарыпов Андрей Юрьевич
Санкт-Петербург, 2010 г.
Типы и источники угроз





Несанкционированный доступ

Интернет – неконтролируемое пространство
Уничтожение
Искажение
Недоступность
80% происшествий происходит по вине сотрудников
 Безответственность
 Корыстные цели
 Месть
 Необдуманные действия
 Шпионаж
 Вымогательство
 Терроризм
 Стихийные бедствия
Организационные мероприятия
 Разработка
правил
работы
с
информацией,
их
последовательная реализация, постоянный мониторинг угроз
и приведение правил в соответствие с угрозами.
 Организация ограниченной зоны работы с информацией.
 Ограничение и учёт доступа сотрудников в эту зону.
 Организация и учёт работы с бумажными документами.
 Организация и учёт оборота машинных носителей
информации.
Технические средства
 Тесно
связаны с организационными мероприятиями и
являются основой их реализации (доступ в помещение,
управление паролями и т. д.)
 Препятствия физическому доступу
 Программные средства ограничения доступа
 Средства защиты от атак по сети
 Антивирусная защита
 Устранение уязвимостей программного обеспечения
 Криптографическая защита информации
 Резервное копирование
Криптографическая защита
информации
 VPN
- защита от перехвата информации при передаче по
открытым каналам (Интернет).
 ЭЦП – контроль целостности и доказательство авторства
документа.
Виртуальная частная сеть (VPN)

Обеспечивают такую же безопасность информации при передаче через
незащищённые сети (Интернет), как если бы информация не выходила за
пределы локальной сети.

Может производиться подключение компьютера к удалённой сети (VPN
клиент и VPN сервер) или соединение сетей.

Программы на компьютерах с двух сторон VPN работают с обычными
данными, а по незащищённой сети (Интернет) информация передаётся в
зашифрованном виде.

Для подключения клиентов к оператору используется VPN на основе
протокола L2TP/IPSec. Клиентская часть встроена в операционную систему
Windows и не требует установки дополнительного программного
обеспечения.

Для организации VPN между оператором и ГНИВЦ используется АПКШ
«Континент», сертифицированный ФСТЭК и ФСБ. Реализует VPN между
сетями.
Электронная цифровая подпись (ЭЦП)

ЭЦП гарантирует целостность информации. Документ не шифруется,
чтение не требует наличия каких-либо ключей, но любое изменение будет
обнаружено при проверке электронной подписи.

ЭЦП однозначно определяет авторство документа. Принадлежность
подписи подтверждается корневым ведомственным удостоверяющим
центром.

Наличие независимых ведомственных корневых удостоверяющих центров
не позволяет использовать одну ЭЦП для разных типов документов
(таможня, налоговые органы, пенсионный фонд и т. д.)

Существуют различные математические алгоритмы, реализуемые в ЭЦП.
Официально признаются только алгоритмы, закреплённые в ГОСТ.

Электронные документы с ЭЦП юридически равны бумажным с обычными
подписями и печатями.

Скомпрометированная ЭЦП должна быть немедленно отозвана.
Носители ЭЦП
 ПО «КриптоПро CSP», используемое для работы с ЭЦП, позволяет
использовать в качестве носителя ЭЦП как просто сменные
дисковые устройства (дискета, флэш-накопители), так и
интеллектуальные устройства, например, eToken (USB-ключ),
смарт-карты, Touch Memory («Таблетки») и т. д.
 На
сегодняшний день ГНИВЦ ФТС может поставлять ЭЦП на
дискетах и eToken.
 Дискеты медленные и ненадёжные.
 eToken на сегодняшний день предпочтителен.
Требования ФТС к ИС ЭПС


Изложены в Приказе ФТС № 52 от 24 января 2008 г.

Установка лицензионных средств антивирусной защиты, сертифицированных ФСТЭК и
ФСБ по требованиям безопасности информации.

Использование сертифицированных ФСБ средств криптографической защиты
информации и ЭЦП, совместимых с системой ведомственных удостоверяющих
центров таможенных органов

Обеспечение разграничения и контроля доступа должностных лиц Заявителя к
ресурсам ИС ЭПС с использованием сертифицированных средств защиты
информации (ИС ЭПС должна быть аттестована по требованиям безопасности
информации). Включает в себя полный комплекс организационно-технических
мероприятий, описанных ранее, включая выделенное помещение, требования по
электропитанию, пожарной и охранной сигнализации, сертификации ФСТЭК и ФСБ
используемых средств криптозащиты, организации учёта оборота и уничтожения
документации и машинных носителей информации.
Установка лицензионных операционных систем, сертифицированных ФСТЭК по
требованиям безопасности информации.
Оценка стоимости выполнения
требований
 Стоимость
реализации применительно к 1 рабочему месту
электронного декларирования – от 500 тыс. до 1 млн. рублей
единовременных затрат.
 Текущие
расходы: на выделенное помещение, 1-2
высококвалифицированных
сотрудника,
обслуживание
средств криптозащиты, повторная сертификация по мере
окончания сроков действия.
Обеспечение безопасности оператором
 Мы
выполнили
все
требования
руководящих
документов
(Аттестат
соответствия
№
СЗИ.RU.054.B27.026/162/09K от 03.08.2009 ).
 Мы
защищаем
Вашу
обрабатывается у нас.
информацию,
когда
 Мы
она
защищаем Вашу информацию при передаче по
открытым каналам (Интернет).
 Мы сделали это максимально удобно для Вас.
Что осталось сделать Вам
 Приобрести ПО «КриптоПро CSP».
 Заключить договор с оператором и получить через него
в ГНИВЦ ФТС России ЭЦП.
 Настроить VPN подключение со стороны клиента.
Как это сделать
 Для приобретения ПО «КриптоПро CSP» оставьте заявку
на
сайте
http://cryptopro.ru
размещённой там же инструкции.
и
действуйте
по
 Ознакомьтесь
со статьями в разделе «Поддержка» «Вопросы и ответы» на нашем сайте http://sigma-soft.ru.
Там Вы найдёте пошаговые инструкции по настройке
VPN подключения, установке и настройке КриптоПро
CSP и другую полезную информацию.
 Если
Вы не хотите тратить время на установку и
настройку, поручите это нам.
Спасибо за внимание