Обеспечение функционирования СУЦРФ



Органы управления СУЦ РФ

Главным органом управления СУЦ РФ является УФО.

Целесообразно, чтобы УФО взял на себя функции координации деятельности УЦ. В то же время, ни для одной структуры не представляется возможным в одиночку справиться со всеми задачами обеспечения надежного функционирования Федеральной инфраструктуры открытых ключей. Необходима общегосударственная программа реализации данных задач с привлечением ряда министерств, ведомств и коммерческих организаций с лидирующим положением в этом вопросе у профильного гражданского ведомства.

В рамках этой программы для координации деятельности СУЦ РФ при Уполномоченном Федеральном Органе необходимо создание структуры, выполняющей функции Координационного Комитета СУЦ РФ.

Координационный Комитет

Функции Комитета

К основным функциям Комитета относятся:

-разработка планов развития СУЦ РФ,

-обеспечение совместимости технологий ИОК,

-выработка рекомендаций Федеральному МУЦ и участникам ИОК,

-информационная поддержка всех, кто так или иначе применяет или планирует применять эту технологию.

Состав и структура Комитета

В Комитет должны войти представители заинтересованных в развитии СУЦ РФ Федеральных структур, Федерального Мостового УЦ, крупных сообществ, объединенных в рамках своих ИОК, а также коммерческих структур.

При Комитете должны быть созданы рабочие группы курирующие, как минимум, три аспекта:

       -правовой,

       -экономический,

       -технологический.

Выработка конкретных требований к составу Комитета и его структуре находятся в компетенции УФО.

Центр Управления Политиками

Еще одним органом, который должен быть создан УФО (в рамках оргструктуры Координационного Комитета или в качестве отдельного, взаимодействующего с Комитетом по горизонтальным связям), является Центр Управления Политиками сертификации.

Функции Центра Управления:

-выработка условий кросс-сертификации с Федеральным МУЦ,

-проверка кросс-сертифицируемых УЦ на соответствие этим условиям для выдачи разрешения на кросс-сертификацию,

-периодический аудит кросс-сертифицированных УЦ на соблюдение условий кросс-сертификации,

Состав Центра Управления

Состав Центра Управления определяется УФО или, по его поручению, Координационным Комитетом.

Центр Управления действует на основании “Методик и критериев кросс-сертификации с ФМУЦ”.

Технологическая служба Федерального МУЦ

Технологическая служба (ТС ФМУЦ) создается УФО для обеспечения:

-проектирования,

-внедрения,

-эксплуатации Федерального Мостового Удостоверяющего Центра

Технологическая служба действует на основании:

1. Политики сертификатов (Certificate Policy) Федерального МУЦ

2. Регламента Сертификатов (Certificate Practice Statement) Федерального МУЦ, разрабатываемых Центром Управления политиками на основании рекомендаций Координационного Комитета.

Обеспечение информационной безопасности в УЦ

Основными задачами по обеспечению информационной безопасности УЦ являются:

- защита конфиденциальной информации (ключевая информация СКЗИ, личная информация, охраняемая в соответствии с действующим законодательством, закрытые ключи УЦ, парольная информация и информация аудита и т.п.) при ее хранении, обработке и передаче;

- контроль целостности конфиденциальной и открытой информации (информация о владельцах, входящая в состав сертификатов, информация об отозванных сертификатах, свободно распространяемые программные компоненты (и документация к ним) и т.п.);

- контроль целостности программных и аппаратных компонент комплекса;

- обеспечение безотказной работы.

 

Комплекс мер и средств защиты информации в УЦ должен включать в себя следующие подсистемы:

- подсистема криптографической защиты информации, включающая в себя программные и/или программно-аппаратные СКЗИ;

- подсистема защиты информации от несанкционированного доступа (НСД), включающая в себя программные и/или программно-аппаратные средства аутентификации, разграничения доступа, межсетевые экраны;

- подсистема активного аудита информационной безопасности УЦ;

- подсистема обнаружения вторжений (IDS);

- подсистема резервного копирования и архивирования данных;

- подсистема обеспечения целостности информации, программных и аппаратных компонент комплекса, в том числе криптографическими методами;

- подсистема обеспечения безотказной работы комплекса, включающая в себя антивирусные средства;

- подсистема защиты оборудования комплекса от утечки информации по техническим и побочным каналам;

- подсистема обеспечения защиты информации от НСД режимными и организационно-техническими мерами.

 

Ключевым аспектом решения проблемы безопасности государственных удостоверяющих центров является выработка системы требований (для коммерческих УЦ - рекомендаций), критериев и показателей для оценки уровня их безопасности. Исходя из этих требований будут выбираться те или иные средства защиты информации. За выбор и обоснование таких требований отвечает УФО. К этой работе привлекаются также Гостехкомиссия и ФСБ. Такие требования (рекомендации) могут быть определены на основе используемым в настоящее время классов защищенности, но желательно построить их в соответствии с новым ГОСТом (ГОСТ Р ИСО/МЭК 15408-2002 части 1, 2, 3. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий), который предполагается ввести в действие в 2004 году. Фактически это должно привести к некоторому, относительно небольшому, набору возможных типовых степеней защищенности для удостоверяющих центров, характеризующих степень доверия к издаваемым им сертификатам. 

Мостовые удостоверяющие центры должны будут удовлетворять наивысшей степени защищенности. Закрытые ключи уполномоченных лиц таких удостоверяющих центров должны относиться к информации, содержащей государственную тайну.

Вопросы обеспечения безопасного функционирования УЦ во всех режимах должны быть определены в Регламенте УЦ, отражающем обязанности субъектов системы УЦ, протоколы работы, принятые форматы объектов системы, основные организационно-технические мероприятия, необходимые для безопасной работы системы, в том числе:

- определение необходимой степени защищенности;

- категорирование обрабатываемой и хранимой информации с целью определения необходимого уровня защиты для каждой категории;

- разработка модели нарушителя;

- сертификация технических средств, используемых для защиты информации;

- аттестация удостоверяющего центра для подтверждения его соответствия требуемой степени защищенности;

- разработка инструкций по соблюдению правил обеспечения защиты информации как для персонала, так и для пользователей;

- ознакомление пользователей УЦ с Регламентом, получение от них обязательства на выполнение требований Регламента;

- ознакомлением пользователей УЦ с информацией о классе (ах) выдаваемых сертификатов (класс определяется полиси , другими словами назначением сертификата и классы - это группы объединяющие правила выпуска сертификатов разного назначения;

- ознакомление пользователей с информацией о степени защищенности удостоверяющего центра.


Дата добавления: 2018-04-04; просмотров: 91;