· Положение о порядке разработки, производства, реализации и использовании средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99).

При взаимодействии региональных баз персональных данных АС ГРН и баз данных федеральных органов государственной власти используется ИТКС специального назначения и сертифицированные средства криптографической защиты, удовлетворяющие дополнительно следующим требованиям:

· ГОСТ 28147-89. Система обработки информации. Защита криптографическая, Алгоритмы криптографического преобразования;

· Нормативным документам Федерального агентства правительственной связи и информации при Президенте Российской Федерации:

· Временные требования к средствам криптографической защиты конфиденциальной информации;

· Временные требования к устройствам типа межсетевые экраны.

Указанные нормативно-технические документы должны быть положены в основу создания и функционирования АС ГРН. Проектирование системы должно проводиться по модульному принципу. На каждый модуль системы должен быть определен отечественный профиль. Отечественные профили и технические условия на систему являются основой сертификации каждого модуля и системы в целом.

Требования к средствам защиты информации

Построение АС ГРН должно предусматривать решение проблемы обеспечения гарантированной защиты данных о конкретных лицах. Средства защиты информации должны обеспечивать:

· защиту информации от несанкционированной модификации и разрушения на всех этапах ее обработки, хранения и передачи;

· аутентификацию сторон, производящих обмен информацией (подтверждение подлинности отправителя и получателя);

· разграничение прав пользователей и обслуживающего персонала при доступе к информационным ресурсам АС ГРН , а также при хранении и предоставлении конфиденциальной информации, в том числе защиту от несанкционированного доступа пользователей ведомственных информационных систем к информационным ресурсам АС ГРН ;

· возможность доказательства неправомочности действий пользователей и обслуживающего персонала АС ГРН ;

· защиту информации от несанкционированного доступа средствами проверки полномочий пользователей и обслуживающего персонала на использование информационных ресурсов АС ГРН (возможность несанкционированного изменения или уничтожения этой информации, как и несанкционированное получение, изменение или уничтожение информации о гражданах третьими лицами должны быть исключены);

· защиту от несанкционированной модификации программного обеспечения, включая защиту от внедрения “вирусов” в программные продукты;

· защиту информации от случайных разрушений;

· дублирование информации путем создания резервных копий;

· выполнение специальных требований для используемых импортных аппаратных средств;

· защиту от утечки по побочным каналам технических средств, предназначенных для обработки и хранения конфиденциальной информации;

· защиту баз данных различного уровня;

· защиту каналов передачи информации;

· подтверждение авторства сообщений с использованием электронной цифровой подписи информации;

· живучесть АС ГРН ;

· для любого гражданина возможность беспрепятственного ознакомления с данными о нем самом.

При формировании на основе первичных данных АС ГРН аналитической и агрегированной информации в соответствующих информационно-аналитических системах могут быть использованы средства криптографической защиты, соответствующие категорийности формируемой информации.

Используемые криптографические средства защиты должны иметь сертификат ФАПСИ. Используемые криптографические средства защиты должны удовлетворять “Временным требованиям к средствам криптографической защиты конфиденциальной информации, не составляющей государственной тайны” по классу не ниже, чем “В”.

Выбор средств защиты информации от несанкционированного доступа

Выбор средств защиты информации от НСД должен основываться на указанных выше требованиях к системе защиты информации в АС ГРН и на анализе существующих средств защиты в стране. Эти средства должны быть, по возможности, отечественными и должны отвечать следующим требованиям:

· иметь сертификат в системе сертификации средств защиты;

· функциональные возможности средств защиты должны обеспечивать выполнение основных контрольных процедур до загрузки операционной системы;

· спектр выпускаемых на аттестованных производствах средств защиты информации должен решать проблемы защиты в гетерогенных сетях, основанных на интеграции широко применяемых в России операционных систем;