Криптографічні засоби захисту. Системи криптозахисту Засоби захисту можуть бути криптографічні

Головна / Оптимізація роботи

Механізмами шифрування даних для забезпечення інформаційної безпекитовариства є криптографічний захист інформаціїза допомогою криптографічного шифрування.

Криптографічні методи захисту застосовуються для обробки, зберігання та передачі на носіях і мережах зв'язку.

Криптографічний захист інформації при передачі даних на великі відстані є єдиним надійним способом шифрування.

Криптографія - це наука, яка вивчає та описує модель інформаційної безпеки даних. Криптографія відкриває вирішення багатьох проблем інформаційної безпеки мережі: автентифікація, конфіденційність, цілісність та контроль взаємодіючих учасників.

Термін "Шифрування" означає перетворення даних у форму, не читабельну для людини та програмних комплексівбез ключа шифрування-розшифрування. Криптографічні методи захисту дають засоби інформаційної безпеки, тому вона є частиною концепції інформаційної безпеки.

Цілі захисту інформації в результаті зводяться до забезпечення конфіденційності інформації та захисту інформації в комп'ютерні системиу процесі передачі по мережі між користувачами системи.

Захист конфіденційної інформації, заснований на криптографічному захисті інформації, шифрує дані за допомогою сімейства оборотних перетворень, кожне з яких описується параметром, що називається "ключом" та порядком, що визначає черговість застосування кожного перетворення.

Найважливішим компонентом криптографічного методу захисту є ключ, який відповідає за вибір перетворення і порядок його виконання. Ключ - це деяка послідовність символів, що налаштовує алгоритм, що шифрує і дешифрує, системи криптографічного захисту інформації. Кожне таке перетворення однозначно визначається ключем, який визначає криптографічний алгоритм, що забезпечує захист інформації та безпеку інформаційної системи.

Один і той же алгоритм криптографічного захисту інформації може працювати в різних режимах, кожен з яких має певні переваги і недоліки, що впливають на надійність інформаційної безпеки Росії та засоби інформаційної безпеки.

Симетрична чи секретна методологія криптографії.

У цій методології технічні засоби захисту інформації, шифрування та розшифровки одержувачем та відправником використовується той самий ключ, обумовлений раніше ще перед використанням криптографічного інженерного захисту інформації.

У випадку, коли ключ не був скомпрометований, у процесі розшифровки буде автоматично виконана автентифікація автора повідомлення, оскільки він має ключ до розшифровки повідомлення.

Таким чином, програми для захисту інформації криптографією припускають, що відправник та адресат повідомлення - єдині особи, які можуть знати ключ, і компрометація його зачіпатиме взаємодію лише цих двох користувачів інформаційної системи.

Проблемою організаційного захисту інформації в цьому випадку буде актуальна для будь-якої криптосистеми, яка намагається досягти мети захисту інформації або захисту інформації в Інтернеті, адже симетричні ключі необхідно розповсюджувати між користувачами безпечно, тобто необхідно, щоб захист інформації в комп'ютерних мережах, де передаються ключі, була на найвищому рівні.

Будь-який симетричний алгоритм шифрування криптосистеми програмно-апаратного засобу захисту інформації використовує короткі ключі і робить шифрування дуже швидко, не дивлячись на великі обсяги даних, що задовольняє цілі захисту інформації.

Засоби захисту комп'ютерної інформації на основі криптосистеми повинні використовувати симетричні системи роботи з ключами у такому порядку:

· Робота інформаційної безпеки починається з того, що спочатку захист інформації створює, поширює та зберігає симетричний ключ організаційного захисту інформації;

· Далі фахівець із захисту інформації або відправник системи захисту інформації в комп'ютерних мережах створює електронний підпис за допомогою хеш-функції тексту та додавання отриманого рядка хеш до тексту, який має бути безпечно переданий в організації захисту інформації;

· Відповідно до доктрини інформаційної безпеки, відправник користується швидким симетричним алгоритмом шифрування в криптографічному засобі захисту інформації разом із симетричним ключем до пакету повідомлення та електронним підписом, який здійснює аутентифікацію користувача системи шифрування криптографічного засобу захисту інформації;

· Зашифроване повідомлення можна сміливо передавати навіть незахищеними каналами зв'язку, хоча краще все-таки це робити в рамках роботи інформаційної безпеки. А ось симетричний ключ в обов'язковому порядку має бути переданий (згідно з доктриною інформаційної безпеки) по каналах зв'язку в рамках програмно-апаратних засобів захисту інформації;

· У системі інформаційної безпеки протягом історії захисту інформації, згідно з доктриною інформаційної безпеки, одержувач використовує теж симетричний алгоритм для розшифрування пакета і той же симетричний ключ, який дає можливість відновити текст вихідного повідомлення та розшифрувати електронний підпис відправника в системі захисту інформації;

· У системі захисту інформації одержувач повинен тепер відокремити електронний підпис від тексту повідомлення;

· Тепер отримані раніше і нині електронні підписи одержувач порівнює, щоб перевірити цілісність повідомлення та відсутності в ньому спотворених даних, що у сфері інформаційної безпеки називається цілісністю передачі даних.

Відкрита асиметрична методологія захисту інформації.

Знаючи історію захисту, можна зрозуміти, що у даної методології ключі шифрування і розшифровки різні, хоча вони створюються разом. У такій системі захисту один ключ поширюється публічно, а інший передається таємно, тому що одного разу зашифровані дані одним ключем, можуть бути розшифровані тільки іншим.

Всі асиметричні криптографічні засоби захисту є цільовим об'єктом атак зломщиком, що діє у сфері інформаційної безпеки шляхом прямого перебору ключів. Тому в такій інформаційній безпеці особистості або інформаційно-психологічної безпеки використовуються довгі ключі, щоб зробити процес перебору ключів настільки тривалим процесом, що злом системи інформаційної безпеки втратить будь-який сенс.

Цілком не секрет навіть для того, хто робить курсовий захист інформації, що для того, щоб уникнути повільності алгоритмів асиметричного шифрування, створюється тимчасовий симетричний ключ для кожного повідомлення, а потім тільки він один шифрується асиметричними алгоритмами.

Системи інформаційно-психологічної безпеки та інформаційної безпеки особистості використовують наступний порядок користування асиметричними ключами:

· У сфері інформаційної безпеки створюються та відкрито поширюються асиметричні відкриті ключі. У системі інформаційної безпеки особистості секретний асиметричний ключ відправляється його власнику, а відкритий асиметричний ключ зберігається у БД та адмініструється центром видачі сертифікатів системи роботи захисту інформації, що контролює фахівець із захисту інформації. Потім, інформаційна безпека, скачати безкоштовно яку неможливо ніде, має на увазі, що обидва користувачі повинні вірити, що в такій системі інформаційної безпеки здійснюється безпечне створення, адміністрування та розподіл ключів, якими користується вся організація захисту інформації. Навіть більше, якщо на кожному етапі роботи захисту інформації, згідно з основами захисту інформації, кожен крок виконується різними особами, то одержувач секретного повідомлення повинен вірити, що автор ключів знищив їх копію і більше нікому дані ключі не надав для того, щоб хтось ще міг завантажити захист інформації, що передається в системі засобів захисту інформації. Так діє будь-який фахівець із захисту інформації.

· Далі основи захисту передбачають, що створюється електронний підпис тексту, і отримане значення шифрується асиметричним алгоритмом. Потім ті самі основи захисту інформації припускають, секретний ключ відправника зберігається в рядку символів і вона додається до тексту, який буде передаватися в системі захисту інформації та інформаційної безпеки, тому що електронний підпис на захист інформації та інформаційної безпеки може створити електронний підпис!

· Потім системи та засоби захисту вирішують проблему передачі сеансового ключа одержувачу.

· Далі у системі засобів захисту інформації відправник повинен отримати асиметричний відкритий ключ центру видачі сертифікатів організації та технології захисту інформації. У цій організації та технології захисту інформації перехоплення нешифрованих запитів на отримання відкритого ключа - найбільш поширена атака хакерів. Саме тому в організації та технології захисту інформації може бути реалізована система сертифікатів, що підтверджують справжність відкритого ключа.

Таким чином, алгоритми шифрування передбачають використання ключів, що дозволяє на 100% захистити дані від користувачів, яким ключ невідомий.

Захист інформації в локальних мережах та технології захисту інформації поряд із конфіденційністю зобов'язані забезпечувати і цілісність зберігання інформації. Тобто захист інформації в локальних мережах повинен передавати дані таким чином, щоб дані зберігали незмінність у процесі передачі та зберігання.

Для того, щоб інформаційна безпека інформації забезпечувала цілісність зберігання та передачі даних, необхідна розробка інструментів, що виявляють будь-які спотворення вихідних даних, для чого до вихідної інформації надається надмірність.

Інформаційна безпека у Росії із криптографією вирішує питання цілісності шляхом додавання певної контрольної суми чи перевірочної комбінації для обчислення цілісності даних. Таким чином, знову модель інформаційної безпеки є криптографічною - залежною від ключа. За оцінкою інформаційної безпеки, що ґрунтується на криптографії, залежність можливості прочитання даних від секретного ключа є найбільш надійним інструментом і навіть використовується в системах інформаційної безпеки держави.

Як правило, аудит інформаційної безпеки підприємства, наприклад, інформаційної безпеки банків, звертає особливу увагу на можливість успішно нав'язувати спотворену інформацію, а криптографічний захист інформації дозволяє звести цю можливість до мізерно малого рівня. Подібна служба інформаційної безпеки цю можливість називає мірою імітостійкості шифру, або здатністю зашифрованих даних протистояти атаці зломщика.

Захист інформації від вірусів чи системи захисту економічної інформаціїобов'язково повинні підтримувати встановлення справжності користувача для того, щоб ідентифікувати регламентованого користувача системи та не допустити проникнення в систему зловмисника.

Перевірка та підтвердження справжності даних користувача у всіх сферах інформаційної взаємодії- важлива складова проблема забезпечення достовірності будь-якої інформації та системи захисту інформації на підприємстві.

Інформаційна безпека банків особливо гостро ставиться до проблеми недовіри сторін, що взаємодіють один з одним, де до поняття інформаційної безпеки ІС включається не тільки зовнішня загроза з третьої сторони, а й загроза інформаційної безпеки (лекції) з боку користувачів.

Цифровий підпис

інформаційний безпека захист несанкціонований

Іноді користувачі ІС хочуть відмовитися від раніше прийнятих зобов'язань та намагаються змінити раніше створені дані чи документи. Доктрина інформаційної безпеки РФ враховує це і припиняє подібні спроби.

Захист конфіденційної інформації з використанням єдиного ключа неможливий у ситуації, коли один користувач не довіряє іншому, адже відправник може потім відмовитись від того, що повідомлення взагалі передавалося. Далі, незважаючи на захист конфіденційної інформації, другий користувач може модифікувати дані та приписати авторство іншому користувачеві системи. Природно, що, який би не був програмний захист інформації або інженерний захист інформації, істина встановлена ​​не може в даній суперечці.

Цифровий підпис у системі захисту інформації в комп'ютерних системах є панацеєю проблеми авторства. Захист інформації в комп'ютерних системах з цифровим підписом містить у собі 2 алгоритми: для обчислення підпису та її перевірки. Перший алгоритм може бути виконаний лише автором, а другий - знаходиться в загальному доступіщоб кожен міг у будь-який момент перевірити правильність цифрового підпису.

1.1. Ця Політика застосування засобів криптографічного захисту інформації ( далі - Політика ) визначає порядок організації та забезпечення функціонування шифрувальних ( криптографічних) засобів, призначених для захисту інформації, що не містить відомостей, що становлять державну таємницю ( далі – СКЗІ, криптозасіб ) у разі їх використання для забезпечення безпеки конфіденційної інформації та персональних даних при їх обробці в інформаційних системах.

1.2. Ця Політика розроблена на виконання:

  • Федерального закону "Про персональні дані" , нормативних актів Уряду РФ у сфері забезпечення безпеки персональних даних;
  • Федерального закону № 63-ФЗ "Про електронний підпис" ;
  • Наказ ФСБ РФ № 378 "Про затвердження Складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних з використанням засобів криптографічного захисту інформації, необхідних для виконання встановлених Урядом Російської Федераціївимог щодо захисту персональних даних для кожного з рівнів захищеності ";
  • Наказ ФАПСІ № 152 « Про затвердження Інструкції про організацію та забезпечення безпеки зберігання, обробки та передачі каналами зв'язку з використанням засобів криптографічного захисту інформації з обмеженим доступом, що не містить відомостей, що становлять державну таємницю»;
  • Наказу ФСБ РФ N 66 Про затвердження Положення про розроблення, виробництво, реалізацію та експлуатацію шифрувальних (криптографічних) засобів захисту інформації (Положення ПКЗ-2005) »;

1.3. Ця Політика поширюється на крипто засоби, призначені для забезпечення безпеки конфіденційної інформації та персональних даних при їх обробці в інформаційних системах;

1.4. Криптографічні засоби захисту інформації ( далі – СКЗІ ), що реалізують функції шифрування та електронного підпису застосовуються для захисту електронних документів, що передаються загальнодоступними каналами зв'язку, наприклад, публічна мережа Інтернет, або по комутованих каналах зв'язку.

1.5. Для забезпечення безпеки необхідно використовувати СКЗІ, які:

  • допускають вбудовування у технологічні процеси обробки електронних повідомлень, забезпечують взаємодію з прикладним програмним забезпеченням на рівні обробки запитів на криптографічні перетворення та видачі результатів;
  • поставляються розробниками з повним комплектом експлуатаційної документації, включаючи опис ключової системи, правила роботи з нею, а також обґрунтування необхідного організаційно-штатного забезпечення;
  • підтримують безперервність процесів протоколювання роботи СКЗІ та забезпечення цілісності програмного забезпеченнядля середовища функціонування СКЗІ, що є сукупністю технічних і програмних засобів, спільно з якими відбувається штатне функціонування СКЗІ і які здатні вплинути на виконання вимог, що пред'являються до СКЗІ;
  • сертифіковані уповноваженим державним органом чи мають дозвіл ФСБ Росії.

1.6. СКЗІ, що застосовуються для захисту персональних даних, повинні мати клас не нижче КС2.

1.7. СКЗІ реалізуються на основі алгоритмів, що відповідають національним стандартамРФ, умов договору з контрагентом.

1.8. СКЗІ, ліцензії, супутні ключові документи, інструкції до СКЗІ купуються організацією самостійно або можуть бути отримані сторонньою організацією, що ініціює захищений документообіг.

1.9. СКЗІ, включаючи інсталяційні носії, ключові документи, описи та інструкції до СКЗІ, становлять комерційну таємницю відповідно до Положення про конфіденційну інформацію.

  1. Порядок застосування СКЗІ

2.1. Встановлення та настроювання засобів криптографічного захисту інформації здійснюється відповідно до експлуатаційної документації, інструкцій ФСБ Росії, інших організацій, що беруть участь у захищеному електронному документообігу. Після закінчення встановлення та налаштування здійснюється перевірка готовності СКЗД до використання зі складанням висновків про можливість їх експлуатації та введення СКЗД в експлуатацію.

Розміщення та монтаж СКЗІ, а також іншого обладнання, що функціонує з криптозасобами, у режимних приміщеннях повинні звести до мінімуму можливість неконтрольованого доступу сторонніх осіб до зазначених засобів. Технічне обслуговування такого обладнання та зміна криптоключів здійснюються за відсутності осіб, які не допущені до роботи з даними СКЗІ. Необхідно передбачити організаційно-технічні заходи, які унеможливлюють використання СКЗІ сторонніми особами. Фізичне розміщення СКЗІ має забезпечувати безпеку СКЗІ, запобігання несанкціонованому доступу до СКЗІ. Доступ осіб до приміщень, де розміщені засоби захисту, обмежується відповідно до службової необхідності та визначається списком, затвердженим директором.

Вбудовування крипто засобів класу КС1 та КС2 здійснюється без контролю з боку ФСБ Росії ( якщо цей контроль не передбачено технічним завданням на розробку (модернізацію) інформаційної системи).

Вбудовування криптосредств класу КС3, КВ1, КВ2 і КА1 здійснюється лише під контролем з боку ФСБ Росії.

Вбудовування криптосредств класу КС1, КС2 чи КС3 може здійснюватися або самим користувачем криптосредства за наявності відповідної ліцензії ФСБ Росії, або організацією, яка має відповідну ліцензію ФСБ Росії.

Вбудовування криптосредства класу КВ1, КВ2 чи КА1 здійснюється організацією, що має відповідну ліцензію ФСБ Росії.

Зняття СКЗІ з експлуатації здійснюється при дотриманні процедур, що забезпечують гарантоване видалення інформації, несанкціоноване використання якої може завдати шкоди бізнес-діяльності організації та інформації, що використовується засобами забезпечення інформаційної безпеки, з постійної пам'яті та зовнішніх носіїв ( за винятком архівів електронних документів та протоколів електронної взаємодії, ведення та збереження яких протягом визначеного терміну передбачено відповідними нормативними та (або) договірними документами) та оформляється Актом. СКЗІ знищують ( утилізують) за рішенням власника криптозасобу, та з повідомленням організації, відповідальної відповідно до організації поекземплярного обліку криптозасобів.

Намічені до знищення ( утилізації) СКЗІ підлягають вилученню з апаратних засобів, з якими вони функціонували. При цьому криптозасоби вважаються вилученими з апаратних засобів, якщо виконано передбачену експлуатаційною та технічною документацією до СКЗІ процедуру видалення програмного забезпечення криптозасобів і вони повністю від'єднані від апаратних засобів.

Придатні для подальшого використання вузли та деталі апаратних засобів загального призначення, не призначені спеціально для апаратної реалізації криптографічних алгоритмів або інших функцій СКЗІ, а також обладнання, що спільно працює з криптозасобами ( монітори, принтери, сканери, клавіатура тощо.), дозволяється використовувати після знищення СКЗІ без обмежень. При цьому інформація, яка може залишатися в пристроях пам'яті обладнання ( наприклад, у принтерах, сканерах), повинна бути надійно видалена ( стерта).

2.2. Експлуатація СКЗІ здійснюється особами, призначеними наказом директора організації та навчання роботи з ними. За наявності двох і більше користувачів СКЗІ обов'язки між ними розподіляються з урахуванням персональної відповідальності за безпеку криптозасобів, ключову, експлуатаційну та технічну документацію, а також за доручені ділянки роботи.

Користувачі криптосредств зобов'язані:

  • не розголошувати інформацію, до якої вони допущені, у тому числі відомості про СКЗІ та інші заходи захисту;
  • не розголошувати інформацію про ключові документи;
  • не допускати зняття копій з ключових документів;
  • не допускати виведення ключових документів на дисплей ( монітор) персонального комп'ютераабо принтер;
  • не допускати запису на ключовий носій сторонньої інформації;
  • не допускати встановлення ключових документів на інші персональні комп'ютери;
  • дотримуватись вимог до забезпечення безпеки інформації, вимог до забезпечення безпеки СКЗІ та ключових документів до них;
  • повідомляти про відомі спроби сторонніх осіб отримати відомості про використовувані СКЗІ або ключові документи до них;
  • негайно повідомляти про факти втрати або недостачі СКЗІ, ключових документів до них, ключів від приміщень, сховищ, особистих печаток та інші факти, які можуть призвести до розголошення інформації, що захищається;
  • здати СКЗІ, експлуатаційну та технічну документацію до них, ключові документи під час звільнення або усунення від виконання обов'язків, пов'язаних з використанням криптозасобів.

Безпека обробки інформації з використанням СКЗІ забезпечується:

  • дотриманням користувачами конфіденційності при поводженні з відомостями, які їм довірені або стали відомі по роботі, у тому числі з відомостями про функціонування та порядок забезпечення безпеки СКЗІ та ключових документів до них;
  • точним виконанням користувачами СКЗІ вимог щодо забезпечення безпеки інформації;
  • надійним зберіганням експлуатаційної та технічної документації до СКЗІ, ключових документів, носіїв інформації обмеженого розповсюдження;
  • своєчасним виявленням спроб сторонніх осіб отримати відомості про інформацію, що захищається, про використовувані СКЗІ або ключові документи до них;
  • негайним вжиттям заходів щодо попередження розголошення інформації, що захищається, а також можливого її витоку при виявленні фактів втрати або недостачі СКЗІ, ключових документів до них, посвідчень, перепусток, ключів від приміщень, сховищ, сейфів ( металевих шаф), особистих печаток тощо.

При необхідності передачі по технічним засобамзв'язку службових повідомлень обмеженого доступу, що стосуються організації та забезпечення функціонування СКЗІ, зазначені повідомлення необхідно передавати лише з використанням криптосредств. Передача за технічними засобами зв'язку криптоключів не допускається, за винятком спеціально організованих систем із децентралізованим постачанням криптоключів.

СКЗІ підлягають обліку з використанням індексів чи умовних найменувань та реєстраційних номерів. Перелік індексів, умовних найменувань та реєстраційних номерів криптосредств визначається Федеральною службоюбезпеки Російської Федерації.

Ключові документи, що використовуються або зберігаються СКЗІ, експлуатаційна та технічна документація до них, підлягають поекземплярному обліку. Форму Журналу обліку СКЗІ наведено у Додатку № 1, Журналу обліку ключових носіїв у Додатку № 2 до цієї Політики. При цьому програмні СКЗІ повинні враховуватися спільно з апаратними засобами, з якими здійснюється їхнє штатне функціонування. Якщо апаратні або апаратно-програмні СКЗІ підключаються до системної шини або одного з внутрішніх інтерфейсівапаратних засобів, такі криптосредства враховуються також разом із відповідними апаратними засобами.

Одиницею поекземплярного обліку ключових документів вважається ключовий носій багаторазового використання, ключовий блокнот. Якщо той самий ключовий носій багаторазово використовують із запису криптоключей, його щоразу слід реєструвати окремо.

Усі отримані екземпляри криптозасобів, експлуатаційної та технічної документації до них, ключових документів мають бути видані під розписку у відповідному журналі поекземплярного обліку користувачам криптозасобів, що несуть персональну відповідальністьза їх безпеку.

Передача СКЗІ, експлуатаційної та технічної документації до них, ключових документів допускається лише між користувачами криптозасобів та (або) відповідальним користувачем криптозасобів під розписку у відповідних журналах поекземплярного обліку. Така передача між користувачами криптосредств має бути санкціонована.

Зберігання інсталюючих носіїв СКЗІ, експлуатаційної та технічної документації, ключових документів здійснюється у шафах ( ящиках, сховищах) індивідуального користування в умовах, що унеможливлюють безконтрольний доступ до них, а також їх ненавмисне знищення.

Апаратні засоби, з якими здійснюється штатне функціонування СКЗІ, а також апаратні та апаратно-програмні СКЗІ повинні бути обладнані засобами контролю за їх розкриттям ( опечатані, опломбовані). Місце опечатування ( опломбування) криптозасобів, апаратних засобів має бути таким, щоб його можна було візуально контролювати. За наявності технічної можливості на час відсутності користувачів криптосредств зазначені засоби необхідно відключати від лінії зв'язку і прибирати в сховища, що опечатуються.

Внесення змін до програмного забезпечення СКЗІ та технічну документацію на СКЗІ здійснюється на підставі отриманих від виробника СКЗІ та документально підтверджених оновлень із фіксацією контрольних сум.

Експлуатація СКЗІ передбачає ведення не менше двох резервних копій програмного забезпечення та однієї резервної копіїключових носіїв. Відновлення працездатності СКЗІ в аварійних ситуаціях здійснюється відповідно до експлуатаційної документації.

2.3. Виготовлення ключових документів із вихідної ключової інформації здійснюють відповідальні користувачі СКЗІ, застосовуючи штатні криптозасоби, якщо така можливість передбачена експлуатаційною та технічною документацією за наявності ліцензії ФСБ Росії на діяльність із виготовлення ключових документів для криптозасобів.

Ключові документи можуть доставлятися фельд'єгерською ( у тому числі відомчої) зв'язком або зі спеціально виділеними відповідальними користувачами криптозасобів та співробітниками за дотримання заходів, що виключають безконтрольний доступ до ключових документів під час доставки.

Для пересилання ключових документів вони повинні бути поміщені в міцну упаковку, що унеможливлює їх фізичного ушкодженнята зовнішнього впливу. На упаковках вказують відповідального користувача, для яких ці упаковки призначені. На таких упаковках роблять позначку «Особисто». Упаковки опечатують таким чином, щоб унеможливлювали вилучення з них вмісту без порушення упаковок і відбитків друку.

До початкової висилки ( або повернення) адресату повідомляють окремим листом опис надісланих йому упаковок та печаток, якими вони можуть бути опечатані.

Для пересилання ключових документів готується супровідний лист, у якому необхідно вказується: що надсилається і в якій кількості облікові номери документів, а також, за необхідності, призначення та порядок використання надсилання, що надсилається. Супровідний лист вкладають в одну із упаковок.

Отримані упаковки розкриває лише відповідальний користувач криптосредств, для яких вони призначені. Якщо вміст отриманої упаковки не відповідає зазначеному в супровідному листі або сама упаковка та друк — їх опису ( відбитку), а також якщо упаковка пошкоджена, внаслідок чого утворився вільний доступ до її вмісту, одержувач складає акт, який надсилає відправнику. Отримані з такими відправленнями ключові документи до отримання вказівок від відправника не дозволяється застосовувати.

При виявленні бракованих ключових документів або криптоключів один екземпляр бракованого виробу слід повернути виробнику для встановлення причин події та їх усунення надалі, а екземпляри, що залишилися, зберігати до надходження додаткових вказівок від виробника.

Отримання ключових документів має бути підтверджено відправнику відповідно до порядку, зазначеного у супровідному листі. Відправник зобов'язаний контролювати доставку своїх відправлень адресатам. Якщо від адресата своєчасно не надійшло відповідного підтвердження, відправник повинен направити йому запит і вжити заходів для уточнення місцезнаходження відправлень.

Замовлення виготовлення чергових ключових документів, їх виготовлення і розсилку місця використання для своєчасної заміни діючих ключових документів проводиться заздалегідь. Вказівка ​​про введення в дію чергових ключових документів надається відповідальним користувачем криптозасобів лише після надходження від них підтвердження отримання чергових ключових документів.

Невикористані або виведені з дії ключові документи підлягають поверненню відповідальному користувачеві криптозасобів або за його вказівкою повинні бути знищені на місці.

Знищення криптоключів ( вихідної ключової інформації) може здійснюватися шляхом фізичного знищення ключового носія, на якому вони розташовані, або шляхом стирання ( руйнування) криптоключів ( вихідної ключової інформації) без пошкодження ключового носія ( для забезпечення можливості його багаторазового використання).

Криптоключі ( вихідну ключову інформацію) стирають за технологією, прийнятою для відповідних ключових носіїв багаторазового використання ( дискет, компакт-дисків (CD-ROM), Data Key, Smart Card, Touch Memory тощо.). Безпосередні дії зі стирання криптоключів ( вихідної ключової інформації), а також можливі обмеження на подальше застосування відповідних ключових носіїв багаторазового використання регламентуються експлуатаційною та технічною документацією до відповідних СКЗІ, а також вказівками організації, яка робила запис криптоключів ( вихідної ключової інформації).

Ключові носії знищують шляхом завдання їм непереборного фізичного пошкодження, що виключає можливість їх використання, а також відновлення ключової інформації. Безпосередні дії щодо знищення конкретного типу ключового носія регламентуються експлуатаційною та технічною документацією до відповідних СКЗІ, а також вказівками організації, яка робила запис криптоключів ( вихідної ключової інформації).

Паперові та інші ключові носії, що згоряються, знищують шляхом спалювання або за допомогою будь-яких паперорізальних машин.

Ключові документи знищуються у строки, зазначені в експлуатаційній та технічній документації до відповідних СКЗІ. Факт знищення оформляється у відповідних журналах поекземплярного обліку.

Знищення за актом здійснює комісія у складі не менше двох осіб. В акті вказується, що знищується і в якій кількості. Наприкінці акта робиться підсумковий запис (цифрами та прописом) про кількість найменувань та примірників знищуваних ключових документів, які встановлюють СКЗІ носіїв, експлуатаційної та технічної документації. Виправлення у тексті акта мають бути обумовлені та засвідчені підписами всіх членів комісії, які брали участь у знищенні. Про проведене знищення робляться позначки у відповідних журналах поекземплярного обліку.

Криптоключі, щодо яких виникла підозра в компрометації, а також інші криптоключі, що діють спільно з ними, необхідно негайно вивести з дії, якщо інший порядок не обумовлений в експлуатаційній та технічній документації СКЗІ. У надзвичайних випадках, коли відсутні криптоключі для заміни скомпрометованих, допускається за рішенням відповідального користувача криптозасобів, погодженого з оператором, використання скомпрометованих криптоключів. У цьому випадку період використання скомпрометованих криптоключів повинен бути максимально коротким, а інформація, що захищається, якомога менш цінною.

Про порушення, які можуть призвести до компрометації криптоключів, їх складових частинабо передавалися ( що зберігаються) з використанням даних, користувачі криптосредств зобов'язані повідомляти відповідальному користувачеві криптосредств.

Огляд ключових носіїв багаторазового використання сторонніми особами не слід розглядати як підозру у компрометації криптоключів, якщо при цьому виключалась можливість їх копіювання ( читання, розмноження).

У випадках недостачі, не пред'явлення ключових документів, а також невизначеності їх місцезнаходження відповідальний користувач вживає термінових заходів для їх розшуку та локалізації наслідків компрометації ключових документів.

  1. Порядок керування ключовою системою

Реєстрація осіб, які мають права з управління ключами здійснюється відповідно до експлуатаційної документації на СКЗІ.

Керування ключами – інформаційний процес, Що включає в себе три елементи:

- генерацію ключів;

- Накопичення ключів;

- Розподіл ключів.

В інформаційних системах організації використовуються спеціальні апаратні та програмні методи генерації випадкових ключів. Як правило, використовуються датчики псевдо. випадкових чисел (далі - ПСЧ ), з досить високим ступенем випадковості їхньої генерації. Цілком прийнятні програмні генератори ключів, які обчислюють ПСЧ як складну функцію від поточного часу та ( або) числа, введеного користувачем.

Під накопиченням ключів розуміється організація їх зберігання, обліку та видалення.

Секретні ключі не повинні записуватись у явному вигляді на носії, який може бути рахований або скопійований.

Вся інформація про ключі, що використовуються, повинна зберігатися в зашифрованому вигляді. Ключі, які зашифровують ключову інформацію, називаються майстер-ключами. Майстер-ключі кожен користувач повинен знати напам'ять, забороняється їх зберігання на будь-яких матеріальних носіях.

Для умови безпеки інформації потрібне періодичне оновлення ключової інформації в інформаційних системах. У цьому перепризначаються як звичайні ключі, і майстер-ключі.

При розподілі ключів необхідно виконати такі вимоги:

- оперативність та точність розподілу;

- Схильність розподілених ключів.

Альтернативою є отримання двома користувачами загального ключа від центрального органу - центру розподілу ключів (ЦРК), за допомогою якого вони можуть взаємодіяти безпечно. Для організації обміну даними між ЦРК та користувачем останньому під час реєстрації виділяється спеціальний ключ, яким шифруються повідомлення, що передаються між ними. Кожному користувачеві виділяється окремий ключ.

УПРАВЛІННЯ КЛЮЧАМИ, ОСНОВАНЕ НА СИСТЕМАХ З ВІДКРИТИМ КЛЮЧОМ

До використання криптосистеми з відкритим ключем для обміну звичайними секретними ключами, користувачі повинні обмінятися своїми відкритими ключами.

Управління відкритими ключами може бути організовано за допомогою оперативної або автономної служби каталогів, користувачі можуть обмінюватися ключами безпосередньо.

  1. Моніторинг та контроль застосування СКЗІ

Для підвищення рівня безпеки під час експлуатації СКЗІ в системі слід реалізувати процедури моніторингу, які реєструють усі значущі події, що відбулися в процесі обміну електронними повідомленнями, та всі інциденти інформаційної безпеки. Опис та перелік даних процедур мають бути встановлені в експлуатаційній документації на СКЗД.

Контроль застосування СКЗІ забезпечує:

  • контроль відповідності налаштування та конфігурування засобів захисту інформації, а також технічних та програмних засобів, здатних вплинути на виконання вимог, що пред'являються до засобів захисту інформації, нормативної та технічної документації;
  • контроль за дотриманням правил зберігання інформації обмеженого доступу, що використовується при експлуатації засобів захисту інформації ( зокрема, ключової, парольної та автентифікуючої інформації);
  • контроль можливості доступу сторонніх осіб до засобів захисту інформації, а також до технічних та програмних засобів, здатних вплинути на виконання вимог, що пред'являються до засобів захисту інформації;
  • контроль за дотриманням правил реагування на інциденти інформаційної інформації ( про факти втрати, компрометації ключової, парольної та автентифікуючої інформації, а також будь-якої іншої інформації обмеженого доступу);
  • контроль відповідності технічних та програмних засобів СКЗІ та документації на ці кошти еталонним зразкам ( гарантії постачальників чи механізми контролю, що дозволяють встановити самостійно таку відповідність);
  • контроль цілісності технічних та програмних засобів СКЗІ та документації на ці засоби в процесі зберігання та введення в експлуатацію цих засобів ( з використанням механізмів контролю, описаних у документації на СКЗІ, так і з використанням організаційних).

завантажити ZIP файл (43052)

Стали в нагоді документи - постав «лайк» або :

Засоби криптографічного захисту інформації застосовуються для захисту особистих чи секретних відомостей, що передаються лініями зв'язку. Щоб зберегти конфіденційність даних, рекомендується пройти авторизацію, автентифікацію сторін за допомогою протоколів TLS, IPSec, забезпечити безпеку електронного підпису та каналу зв'язку.

Компанія ISBC пропонує ефективні рішення під брендом щодо застосування безпечних сховищ для важливої ​​інформації, електронного підпису, охорони доступу під час використання систем контролю. З нами співпрацюють найбільші державні організації, включаючи ФНП Росії, провідні виробники засобів криптографічного захисту інформації та розробники програмного забезпечення, що засвідчують центри, що працюють у різних регіонах Росії.

СКЗІ: види, застосування

При використанні СКЗІ застосовують такі методи:

  1. Авторизація даних, забезпечення криптозахисту їхньої юридичної значущості в процесі передачі, зберігання. Для цього використовуються алгоритми формування електронного ключа, його перевірки відповідно до зазначеного регламенту.
  2. Криптографічний захист особистої чи секретної інформації, контроль за її цілісністю. Застосування асиметричного шифрування, імітозахист (виключення ймовірності заміни даних).
  3. Криптографічний захист прикладного, системного програмного забезпечення. Забезпечення контролю за несанкціонованими змінами, некоректною роботою.
  4. Управління основними елементами системи згідно з встановленим регламентом.
  5. Аутентифікація сторін, що обмінюються даними.
  6. Криптографічний захист передачі інформації із застосуванням протоколу TLS.
  7. Використання засобів криптографічного захисту IP-з'єднань за допомогою ESP, IKE, AH.

Повний опис застосування засобів криптографічного захисту міститься в профільних документах.

Рішення СКЗІ

У процесі забезпечення інформаційної безпеки СКЗІ застосовують такі методи:

  1. Аутентифікація в програмах здійснюється завдяки Blitz Identity Provider. Сервер аутентифікації дозволяє, використовуючи єдину обліковий запис, Керувати підключеними ресурсами будь-яких типів (додатки Native, Web, Desktop), забезпечує сувору автентифікацію користувачі за допомогою токена, смарт-карти.
  2. У момент встановлення зв'язку упізнання сторін забезпечується завдяки електронному підпису. Inter-PRO забезпечує захист HTTP-трафіку, можливість редагування, контроль цифрового підпису онлайн.
  3. Кошти для криптографічного захисту, які застосовуються для конфіденційності цифрового документообігу, також використовують електронний підпис. Для роботи з електронним ключем у форматі веб-застосунку застосовується плагін Blitz Smart Card Plugin.
  4. Застосування криптографічних засобів захисту дозволяє виключити використання заставних пристроїв і шкідливого ПЗ, модифікацію системи.

Класифікація СКЗІ

Засоби, що використовуються для криптографічного захисту відкритої інформації різних системах, забезпечення конфіденційності у відкритих мережах, орієнтовані на захист цілісності даних. Важливо, що застосування таких інструментів для зберігання державної таємницізаборонено законодавством, але цілком підходить для забезпечення збереження персональних відомостей.

Засоби, що використовуються для криптографічного захисту інформації, класифікуються залежно від можливої ​​загрози, оцінки можливого способу злому системи. Вони залежать від наявності недокументованих можливостей або невідповідності заявленим характеристикам, які можуть містити:

  1. системне ПЗ;
  2. прикладне ПЗ;
  3. інші недоліки носія інформації.

Програмний захист представлений комплексом рішень, призначених для шифрування повідомлень, які розміщені на різних носіях інформації. Такими носіями інформації можуть бути карти пам'яті, флешки чи жорсткі диски. Найпростіші з них можна знайти в відкритому доступі. До програмного криптозахисту можна віднести віртуальні мережі, призначені для обміну повідомленнями, що працюють «поверх Інтернету», наприклад, VPN, розширення, що мають протокол HTTP, що підтримують розширення для шифрування HTTPS, SSL. Протоколи, які використовуються для обміну даними, застосовуються для створення інтернет-додатків, в IP-телефонії.

Програмний криптозахист зручно використовувати на домашніх комп'ютерах, для серфінгу по мережі Інтернет, в інших областях, де не висуваються високі вимоги до функціональності, надійності системи. Або, як і під час використання мережі інтернет, потрібно створення великої кількості різних захищених з'єднань.


Системи апаратного криптозахисту

Засоби апаратного криптографічного захисту є фізичні прилади, пов'язані з системою передачі даних, що забезпечують шифрування, запис, передачу відомостей. Апарати можуть являти собою персональні пристроїабо виглядати як:

  • USB-шифраторів, флеш-дисків.

Використовуючи ці пристрої, можна побудувати ідеально захищені комп'ютерні мережі.

Засоби апаратного криптозахисту легко встановлюються, видають високу швидкістьвідгуку. Інформація, необхідна для забезпечення високого рівня криптографічного захисту, розміщується у пам'яті пристрою. Вона може бути зчитана контактним або безконтактним способом.

При використанні СКЗІ, що випускаються під брендом ESMART, ви отримаєте ефективні технології, що здійснюють ефективний криптографічний захист в режимах онлайн або офлайн, автентифікацію користувача за допомогою токенів, смарт-карток або біометричних даних. Поєднання апаратних методів з програмними рішеннями дозволяє отримати найвищий рівень захисту за невеликих витрат часу, сил у процесі обміну інформацією.


Важливою особливістю продуктової лінійки засобів криптографічного захисту ESMART® є наявність єдиного у своєму роді продукту, заснованого на вітчизняній мікросхемі MIK 51 від ПАТ «Мікрон», за допомогою якого можна ефективно вирішити багато проблем, пов'язаних з безпекою та захистом даних. Він є СКЗІ з апаратною підтримкою російських криптографічних алгоритмів ГОСТ з урахуванням вітчизняної мікросхеми.

СКЗІ ESMART® Token ГОСТ випускається у вигляді смарт-карток та токенів. Розробка компанії ESMART сертифікована ФСБ Росії за класами КС1/КС2/КС3. Сертифікат №СФ/124-3668 засвідчує, що СКЗІ ESMART Token ГОСТ відповідає вимогам ФСБ Росії до шифрувальних (криптографічних) засобів класу КС1/КС2/КС3, вимогам до засобів електронного підпису, затвердженим наказом ФСБ №796 і може використовуватися для криптограф , що не містить відомостей, що становлять державну таємницю. Повідомлення АБПН.1-2018 допускає використовувати ГОСТ Р 34.10-2001 у СКЗІ ESMART Token ГОСТ протягом терміну дії сертифіката у зв'язку з перенесенням термінів переходу на ГОСТ Р 34.10-2012 до 1 січня 2020 року. Також ESMART® Token ГОСТ може використовуватися для генерації ключів, формування та перевірки електронного підпису, суворої багатофакторної автентифікації користувачів та ін.

Компанія ESMART пропонує придбати сучасні СКЗІ по кращим цінамвід виробника.Наш інженерний R&D центр та виробництво розташовані у Зеленограді. Використання чіпів російського виробництва дозволяє запропонувати найкращі максимально конкурентоспроможні ціни кошти криптографічного захисту інформації для державних проектів, підприємств і закупівельних організацій.

Засоби криптографічного захисту інформації, або скорочено СКЗІ, використовуються для забезпечення всебічного захисту даних, що передаються лініями зв'язку. Для цього необхідно дотриматися авторизації та захисту електронного підпису, автентифікації сполучених сторін з використанням протоколів TLS та IPSec, а також захисту самого каналу зв'язку при необхідності.

У Росії її використання криптографічних засобів захисту здебільшого засекречено, тому загальнодоступної інформації щодо цієї теми мало.

Методи, що застосовуються у СКЗІ

  • Авторизація даних та забезпечення збереження їх юридичної значущості під час передачі чи зберігання. Для цього застосовують алгоритми створення електронного підпису та його перевірки відповідно до встановленого регламенту RFC 4357 та використовують сертифікати за стандартом X.509.
  • Захист конфіденційності даних та контроль їхньої цілісності. Використовується асиметричне шифрування та імітозахист, тобто протидія підміні даних. Дотримується ГОСТ Р 34.12-2015.
  • Захист системного та прикладного ПЗ. Відстеження несанкціонованих змін чи неправильного функціонування.
  • Управління найважливішими елементами системи у суворій відповідності до прийнятого регламенту.
  • Аутентифікація сторін, які обмінюються даними.
  • Захист з'єднання за допомогою протоколу TLS.
  • Захист IP-з'єднань за допомогою протоколів IKE, ESP, AH.

Докладним чином описані методи в наступних документах: RFC 4357, RFC 4490, RFC 4491.

Механізми СКЗІ для інформаційного захисту

  1. Захист конфіденційності інформації, що зберігається або передається, відбувається застосуванням алгоритмів шифрування.
  2. Під час встановлення зв'язку ідентифікація забезпечується засобами електронного підпису під час їх використання під час автентифікації (за рекомендацією X.509).
  3. Цифровий документообіг також захищається засобами електронного підпису спільно із захистом від нав'язування або повтору, при цьому здійснюється контроль достовірності ключів, які використовуються для перевірки електронних підписів.
  4. Цілісність інформації забезпечується засобами цифрового підпису.
  5. Використання функцій асиметричного шифрування дозволяє захистити дані. Крім цього, для перевірки цілісності даних можуть бути використані функції хешування або алгоритми імітозахисту. Однак, ці способи не підтримують визначення авторства документа.
  6. Захист від повторів відбувається криптографічними функціями електронного підпису для шифрування чи імітозахисту. При цьому до кожної сесії додається унікальний ідентифікатор, досить довгий, щоб виключити його випадковий збіг, і реалізується перевірка приймаючою стороною.
  7. Захист від нав'язування, тобто від проникнення у зв'язок із боку, забезпечується засобами електронного підпису.
  8. Інший захист - проти закладок, вірусів, модифікацій операційної системи тощо - забезпечується за допомогою різних криптографічних засобів, протоколів безпеки, антивірусних програм та організаційних заходів.

Як можна помітити, алгоритми електронного підпису є основною частиною засобу криптографічного захисту інформації. Вони будуть розглянуті нижче.

Вимоги щодо використання СКЗІ

СКЗІ націлено на захист (перевіркою електронного підпису) відкритих даних у різних інформаційних системах загального використання та забезпечення їх конфіденційності (перевіркою електронного підпису, імітозахистом, шифруванням, перевіркою хешу) у корпоративних мережах.

Персональний засіб криптографічного захисту використовується для охорони персональних даних користувача. Однак слід особливо виділити інформацію щодо державної таємниці. За законом СКЗІ може бути використано до роботи з нею.

Важливо: перед встановленням СКЗІ насамперед слід перевірити сам пакет забезпечення СКЗІ. Це перший крок. Як правило, цілісність пакета установки перевіряється шляхом порівняння контрольних сум, одержаних від виробника.

Після встановлення слід визначитися з рівнем загрози, виходячи з чого можна визначити необхідні для застосування види СКЗД: програмні, апаратні та апаратно-програмні. Також слід враховувати, що з організації деяких СКЗІ необхідно враховувати розміщення системи.

Класи захисту

Відповідно до наказу ФСБ Росії від 10.07.14 за номером 378, що регламентує застосування криптографічних засобів захисту інформації та персональних даних, визначено шість класів: КС1, КС2, КС3, КВ1, КВ2, КА1. Клас захисту тієї чи іншої системи визначається з аналізу даних про моделі порушника, тобто з оцінки можливих способівзлому системи. Захист будується з програмних і апаратних засобів криптографічного захисту інформації.

АУ (актуальні загрози), як видно з таблиці, бувають 3 типи:

  1. Загрози першого типу пов'язані з недокументованими можливостями у системному ПЗ, що використовується в інформаційної системи.
  2. Загрози другого типу пов'язані з недокументованими можливостями прикладного ПЗ, що використовується в інформаційній системі.
  3. Загрозою третього типу називаються всі інші.

Недокументовані можливості - це функції та властивості програмного забезпечення, які не описані в офіційній документації або не відповідають їй. Тобто їх використання може підвищувати ризик порушення конфіденційності чи цілісності інформації.

Для ясності розглянемо моделі порушників, для перехоплення яких потрібен той чи інший клас засобів криптографічного захисту:

  • КС1 – порушник діє ззовні, без помічників усередині системи.
  • КС2 – внутрішній порушник, але не має доступу до СКЗІ.
  • КС3 – внутрішній порушник, який є користувачем СКЗІ.
  • КВ1 - порушник, який приваблює сторонні ресурси, наприклад, фахівців з СКЗІ.
  • КВ2 - порушник, за діями якого стоїть інститут або лабораторія, що працює в галузі вивчення та розробки СКЗД.
  • КА1 – спеціальні служби держав.

Таким чином КС1 можна назвати базовим класом захисту. Відповідно, що вищий клас захисту, то менше фахівців, здатних його забезпечувати. Наприклад, у Росії, за даними за 2013 рік, існувало лише 6 організацій, які мають сертифікат від ФСБ і здатні забезпечувати захист класу КА1.

Використовувані алгоритми

Розглянемо основні алгоритми, що використовуються у засобах криптографічного захисту інформації:

  • ГОСТ Р 34.10-2001 та оновлений ГОСТ Р 34.10-2012 - алгоритми створення та перевірки електронного підпису.
  • ГОСТ Р 34.11-94 та останній ГОСТ Р 34.11-2012 - алгоритми створення хеш-функцій.
  • ГОСТ 28147-89 та новіший ГОСТ Р 34.12-2015 - реалізація алгоритмів шифрування та імітозахисту даних.
  • Додаткові криптографічні алгоритми перебувають у документі RFC 4357.

Електронний підпис

Застосування засобу криптографічного захисту інформації неможливо уявити без використання алгоритмів електронного підпису, які набирають все більшої популярності.

Електронний підпис – це спеціальна частина документа, створена криптографічними перетвореннями. Її основним завданням є виявлення несанкціонованої зміни та визначення авторства.

Сертифікат електронного підпису - це окремий документ, який доводить справжність та належність електронного підпису своєму власнику за відкритим ключем. Видача сертифіката відбувається центрами, що засвідчують.

Власник сертифіката електронного підпису – це особа, на ім'я якої реєструється сертифікат. Він пов'язаний із двома ключами: відкритим та закритим. Закритий ключ дозволяє створити електронний підпис. Відкритий ключпризначений для перевірки справжності підпису завдяки криптографічного зв'язку із закритим ключем.

Види електронного підпису

за Федеральному закону№ 63 електронний підпис ділиться на 3 види:

  • звичайний електронний підпис;
  • некваліфікований електронний підпис;
  • кваліфікований електронний підпис.

Проста ЕП створюється за рахунок паролів, накладених на відкриття та перегляд даних, або подібних засобів, що побічно підтверджують власника.

Некваліфікована ЕП створюється за допомогою криптографічних перетворень за допомогою закритого ключа. Завдяки цьому можна підтвердити особу, яка підписала документ, та встановити факт внесення до даних несанкціонованих змін.

Кваліфікований та некваліфікований підписи відрізняються лише тим, що в першому випадку сертифікат на ЕП має бути виданий сертифікованим ФСБ посвідчувальним центром.

Область використання електронного підпису

У таблиці нижче розглянуто сфери застосування ЕП.

Найактивніше технології ЕП застосовуються в обміні документами. У внутрішньому документообігу ЕП виступає у ролі затвердження документів, тобто як особистий підпис чи друк. У разі зовнішнього документообігу наявність ЕП є критичною, оскільки є юридичним підтвердженням. Варто також зазначити, що документи, підписані ЕП, здатні зберігатися нескінченно довго і не втрачати своєї юридичної значущості через такі чинники, як підписи, що зіпсуються, зіпсований папір і т.д.

Звітність перед органами контролю - це ще одна сфера, в якій нарощується електронний документообіг. Багато компаній та організацій вже оцінили зручність роботи у такому форматі.

За законом Російської Федерації кожен громадянин має право користуватися ЕП під час використання держпослуг (наприклад, підписання електронної заяви органів влади).

Онлайн-торги - ще одна цікава сфера, в якій активно застосовується електронний підпис. Вона є підтвердженням того факту, що у торгах бере участь реальна людина та її пропозиції можуть розглядатися як достовірні. Також важливим є те, що будь-який укладений контракт за допомогою ЕП набуває юридичної сили.

Алгоритми електронного підпису

  • Full Domain Hash (FDH) та Public Key Cryptography Standards (PKCS). Останнє є цілу групу стандартних алгоритмів для різних ситуацій.
  • DSA та ECDSA – стандарти створення електронного підпису в США.
  • ГОСТ Р 34.10-2012 – стандарт створення ЕП в РФ. Цей стандартзамінив собою ДЕРЖСТАНДАРТ Р 34.10-2001, дія якого офіційно припинилася після 31 грудня 2017 року.
  • Євразійський союз має стандарти, повністю аналогічні російським.
  • СТБ 34.101.45-2013 – білоруський стандарт для цифрового електронного підпису.
  • ДСТУ 4145-2002 - стандарт створення електронного підпису в Україні та багато інших.

Варто також зазначити, що алгоритми створення ЕП мають різні призначення та цілі:

  • Груповий електронний підпис.
  • Одноразова цифровий підпис.
  • Довірена ЕП.
  • Кваліфікований та некваліфікований підпис та ін.

Костянтин Черезов, провідний спеціаліст SafeLine, група компаній "Інформзахист"

КОЛИнас попросили скласти критерії для порівняння всього українського ринку засобів криптографічного захисту інформації (СКЗІ), мене охопило легке здивування. Провести технічний оглядросійського ринку СКЗІ нескладно, а ось визначити для всіх учасників загальні критерії порівняння і при цьому отримати об'єктивний результат – місія з розряду нездійсненних.

Почнемо спочатку

Театр починається з вішалки, а технічний огляд – з технічних визначень. СКЗІ у нас в країні настільки засекречені (у відкритому доступі представлені слабо), тому останнє їх визначення знайшлося у Керівному документі Держтехкомісії 1992 р. випуску: "СКЗІ - засіб обчислювальної техніки, що здійснює криптографічне перетворення інформації для забезпечення її безпеки.

Розшифровка терміна "засіб обчислювальної техніки" (СВТ) знайшовся в іншому документі Держтехкомісії: "Під СВТ розуміється сукупність програмних та технічних елементів систем обробки даних, здатних функціонувати самостійно або у складі інших систем".

Таким чином, СКЗІ – це сукупність програмних та технічних елементів систем обробки даних, здатних функціонувати самостійно або у складі інших систем та здійснювати криптографічне перетворення інформації для забезпечення її безпеки.

Визначення вийшло всеосяжним. По суті, СКЗІ є будь-яке апаратне, апаратно-програмне або програмне рішення, що тим чи іншим чином виконує криптографічний захист інформації. А якщо ще згадати ухвалу Уряду РФ № 691, то вона, наприклад, для СКЗІ чітко обмежує довжину криптографічного ключа - не менше 40 біт.

Зі сказаного вище можна зробити висновок, що провести огляд російського ринку СКЗІ можливо, а ось звести їх воєдино, знайти спільні для всіх і кожного критерії, порівняти їх і отримати при цьому об'єктивний результат - неможливо.

Середнє та загальне

Проте всі російські СКЗІ мають спільні точки дотику, на основі яких можна скласти деякий список критеріїв для всіх криптографічних засобів воєдино. Таким критерієм для Росії є сертифікація СКЗІ у ФСБ (ФАПСІ), оскільки російське законодавство не має на увазі поняття "криптографічний захист" без відповідного сертифікату.

З іншого боку, "спільними точками дотику" будь-яких СКЗІ є і технічні характеристикисамого засобу, наприклад, алгоритми, що використовуються, довжина ключа і т.п. Однак, порівнюючи СКЗІ саме за цими критеріями, загальна картина виходить докорінно невірною. Адже те, що добре і правильно для програмно-реалізованого криптопровайдера, зовсім неоднозначно правильне для апаратного криптографічного шлюзу.

Є ще один важливий момент (хай вибачать мені "колеги по цеху"). Справа в тому, що існують два досить різнопланові погляди на СКЗІ в цілому. Я говорю про "технічне" і "споживче".

"Технічний" погляд на СКЗІ охоплює величезне коло параметрів і технічних особливостейпродукту (від довжини ключа шифрування до переліку реалізованих протоколів).

"Споживчий" погляд кардинально відрізняється від "технічного" тим, що функціональні особливості того чи іншого продукту не розглядаються як головні. На перше місце виходить низка зовсім інших факторів - цінова політика, зручність використання, можливості масштабування рішення, наявність адекватної технічної підтримкивід виробника тощо.

Однак для ринку СКЗІ все ж таки є один важливий параметр, який дозволяє об'єднати всі продукти і при цьому отримати достатньо адекватний результат. Я говорю про поділ усіх СКЗІ за сферами застосування та для вирішення тих чи інших завдань: довіреного зберігання; захисту каналів зв'язку; реалізації захищеного документообігу (ЕЦП) тощо.

Тематичні порівняльні оглядиу сфері застосування різних російських СКЗІ, наприклад - російські VPN, тобто захист каналів зв'язку, вже проводилися у цьому виданні. Можливо, надалі з'являться огляди, присвячені іншим сферам застосування СКЗД.

Але в даному випадкузроблено спробу лише об'єднати всі представлені російському ринку рішення з криптографічної захисту у єдину таблицю з урахуванням загальних " точок дотику " . Звичайно, що дана таблицяне дає об'єктивного порівняння функціональних можливостейтих чи інших продуктів, а є саме оглядовий матеріал.

Узагальнюючі критерії – для всіх і кожного

Для узагальненої таблиці російського ринку СКЗІ зрештою можна скласти такі критерії:

  • Фірма виробник. Згідно з загальнодоступними даними (Інтернет), у Росії на даний момент близько 20 компаній-розробників СКЗІ.
  • Тип реалізації (апаратна, програмна, апаратно-програмна). Обов'язковий поділ, який має проте дуже нечіткі межі, оскільки існують, наприклад, СКЗІ, одержувані шляхом встановлення деякої програмної складової - засобів управління і безпосередньо криптобібліотеки, і в результаті вони позиціонуються як апаратно-програмний засіб, хоча насправді є лише ПЗ.
  • Наявність діючих сертифікатіввідповідності ФСБ Росії та класи захисту. Обов'язкова умова для російського ринку СКЗІ, більше того - 90% рішень матимуть ті самі класи захисту.
  • Реалізовані криптографічні алгоритми (зазначити ГОСТи). Також обов'язкова умова – наявність ГОСТ 28147-89.
  • Підтримувані Операційні системи. Досить спірний показник, важливий для програмно-реалізованої криптобібліотеки і несуттєвий для чисто апаратного рішення.
  • Наданий програмний інтерфейс. Істотний функціональний показник, однаково важливий як "технічного", так і "споживчого" погляду.
  • Наявність реалізації протоколу SSL/TLS. Однозначно " технічний " показник, який можна розширювати з погляду реалізації інших протоколів.
  • Типи ключових носіїв, що підтримуються. "Технічний" критерій, який дає дуже неоднозначний показник для різних типівреалізації СКЗІ-апаратних чи програмних.
  • Інтегрованість з продуктами та рішеннями компанії Microsoft, а також з продуктами та рішеннями інших виробників. Обидва критерії більше відносяться до програмних СКЗІ типу "криптобі-бліотека", при цьому використання цих критеріїв, наприклад, для апаратного комплексу побудови VPN є досить сумнівним.
  • Наявність дистрибутива продукту у вільному доступі на сайті виробника, дилерської мережі розповсюдження та сервісу підтримки (тимчасовий критерій). Всі ці три критерії однозначно є "споживчими", причому виходять вони на перший план лише тоді, коли конкретний функціонал СКЗІ, сфера застосування та коло завдань, що вирішуються, вже зумовлені.

Висновки

Як висновок я акцентую увагу читача на двох самих важливих моментахданого огляду.

По-перше, вибір СКЗІ спочатку має відштовхуватися від сфери застосування, що значно звужує спектр можливих рішень.

По-друге, "технічний" і "споживчий" погляди на СКЗІ не повинні вступати в протиріччя, наявність унікальних функціональних можливостей СКЗІ не має превалювати над здоровим глуздом при виборі компанії-виробника з широкою мережею розповсюдження продукту, доступною ціновою політикою та адекватним сервісом технічної підтримки рішення.

Вибір редакції

© 2022 androidas.ru - Все про Android