Использование средств криптографической защиты информации в организациях

Рассмотрение истории появления шифрования и его использования во второй половине XX века в России. Сертификация технических средств защиты информации. Варианты применения криптографических средств. Анализ места криптосредств в комплексной защите данных.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 31.08.2020
Размер файла 17,6 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Самарский государственный технический университет

Использование средств криптографической защиты информации в организациях

Баранов А.С.

Преступления в сфере информационных технологий происходят ежедневно. В 2019 году за первые 8 месяцев было совершено 180 153 (+66,8 % по сравнению с 2018 годом) [7]. Большая часть связана с кражами конфиденциальной информации как физических, так и юридических лиц. Информационный прогресс привел не только к большим достижениям, но и к возникновению новых видов злодеяний, поэтому организациям на сегодняшний день необходимо защищать разного рода информацию, и важное место в этой работе отводится средствам криптографической защиты информации (СКЗИ).

Первоначально письменность сама защищала себя, поскольку ей могли пользоваться немногие. С течением времени рукописные произведения получили распространение, появилась необходимость сохранения информации от, как сейчас говорят, несанкционированного доступа (НСД). Обеспечивать сохранность сведений начинают шифры - проводимые над текстом действия по искажению «исходного текста» и превращению информации в нечитабельный вид. Появляются симметричные и ассиметричные шифры. Примером симметричного является шифр Цезаря, он заключается в замене букв открытого сообщения на иные, отличающиеся от исходных на некоторое число (ключ). Ассиметричные шифры являются сложными, поэтому получили большее распространение и используются в настоящее время [3].

Во второй половине XX века криптография в СССР находилась под грифом «секретно», её могли использовать только вооруженные силы и спецслужбы. Ситуация начала меняться в начале 90-х годов, когда был введен стандарт шифрования ГОСТ 28147-89, который стал публичным в 1994 [4]. Сегодня СКЗИ - это аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие свои задачи. Под «своими задачами» понимаются индивидуальные действия по защите информации, в основном, шифрование, которое используется в организациях при защите персональных данных, сохранении конфиденциальной информации, корпоративной переписки, защите электронной подписи.

В XXI веке разработано множество продуктов, которыми могут пользоваться организации или физические лица без специального разрешения в рамках действующего законодательства Российской Федерации. Делая выбор в пользу тех или иных СКЗИ, следует обращать внимание на сертификацию продукции. Две организации в основном занимаются сертификацией - это Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК России) и ФСБ России. ФСТЭК России специализируется в области технической защиты информации некриптографическими методами, а ФСБ России - в области криптографической защиты информации [1].

Информационная система любой организации содержит персональные данные (ПДн) о сотрудниках и клиентах, которые в соответствии с 152-ФЗ «О персональных данных» должны быть защищены. На основании данного закона принят ряд нормативных документов, регламентирующих требования по защите ПДн, например, Постановление Правительства РФ от 01.11.2012 №1119 [6]. Защита от утечек строится чаще всего с применением криптографии, необходимыми условиями внедрения и использования которой являются:

корректное совмещение с другими техническими и программными средствами, которые могут повлиять на его работу;

разработка модели нарушителя, на основании которой создается система защиты ПДн;

верный выбор класса СКЗИ (из 6 возможных на сегодняшний день) на основе модели нарушителя;

использование методических рекомендаций ФСТЭК России и ФСБ России [2].

Путем шифрования сегодня может происходить и защита конфиденциальной (коммерческая тайна, ноу-хау, интеллектуальная собственность и др.) информации фирмы. СКЗИ обеспечивают использование сотрудниками токенов, для хранение закрытых ключей; поддержку ассиметричного шифрования; шифрование данных как на средствах вычислительной техники, так и за ее приделами, на серверах; разграничение прав доступа к корпоративной информации. Простой пример: сравним всю информацию с пазлом, у сотрудников должна быть только часть пазла, чтобы злоумышленнику нельзя было собрать картину.

События весны 2020 года, связанные с распространением по всему миру коронавирусной инфекции, заставили перейти большинство организаций на дистанционную работу. Заключать договоры на расстоянии, удостоверять электронные документы помогает электронная подпись (ЭП), используемая в электронном документообороте (ЭДО).

Согласно 63-ФЗ «Об электронной подписи» существует несколько видов ЭЦП: шифрование информация защита криптографический

простая электронная подпись (ПЭП);

усиленная электронная подпись:

неквалифицированная электронная подпись (НЭП);

квалифицированная электронная подпись (КЭП).

При выборе ЭП организациям следует учесть, что электронные подписи обладают различной юридической силой, и только использование КЭП придает юридическую силу документу без дополнительных условий. Так же следует учесть, что КЭП и НЭП сертифицированы ФСБ России и данные ЭП выдаются удостоверяющим центром [5].

Для безопасной работы с развитием ЭДО защита в организациях требуется и корпоративной почте. Существует множество почтовых клиентов, например, Outlook, Thinderbird и другие, которые позволяют осуществлять защищенный обмен почтовой переписки на основании открытого и закрытого ключа. На примере Thinderbird можно показать, насколько просто использовать подобные почтовые клиенты. Пользователи, которые собираются обмениваться информацией, создают пару ключей (открытый и закрытый), обмениваются открытыми ключами, устанавливают их и могут осуществлять зашифрованную переписку. Сами по себе почтовые клиенты не являются криптографическими средствами, однако они позволяют интегрироваться с СКЗИ.

Рассмотрим применение конкретных криптографических средств защиты информации на примере компании по разработке программного обеспечения «Самара Софт». Организация с клиентом должна заключить договор, который стороны могут подписывать дистанционно, используя КЭП (данной вид ЭП уже был описан выше), также электронная подпись понадобится при отправке финансовых документов, например, в Федеральную налоговую службу. Для использования КЭП в организации необходимо наличие токена, Рутокен ЭЦП 2.0, который выдается удостоверяющим центром, и криптодрайвер, КриптоПро CSP 5.0. Данные продукты является отечественными, имеют сертификат соответствия ФСБ России [8,9]. Предотвращение внесения правок в документы фирмы, будь то договоры, заключаемые с клиентами или финансовые документы, поможет избежать организации убытков, например, изменение банковских реквизитов в счете на оплату, при котором фирма понесет финансовые потери. Также ЭП позволит передавать документы по открытым каналам связи, если в этом возникнет необходимость, например, по электронной почте, не боясь нарушения целостности документа.

Для защищенной переписки между сотрудниками фирмы можно использовать Microsoft Outlook. Настройка шифрования сводится к настройке программы почтового клиента. ЭП и шифрование почтовых сообщений осуществляется за счет сертификата, хранящегося на устройстве Рутокен. Данный вид использования СКЗИ позволяет обеспечивать конфиденциальность передаваемой информации, разглашение которой может нанести как материальный, так и репутационный ущерб.

Для защиты рабочих мест от внешних и внутренних сетевых атак предлагается использовать программный комплекс ViPNnet Client 4, который обеспечивает защищенную работу с корпоративными данными через зашифрованный канал, в том числе для удаленных пользователей. Данный продукт также является отечественным и имеет сертификат соответствия ФСБ России [10].

Из этого примера видно, что все СКЗИ являются продукцией отечественного производства, имеют действующий сертификат соответствия ФСБ России, шифрование данных производится в соответствии с ГОСТ в сфере защиты информации. Данные продукты не первый год используются в организациях России, позволяя обеспечивать защиту информации.

Заключение

Для обеспечения информационной безопасности организации необходимо использовать средства криптографической защиты информации, позволяющие защищать конфиденциальность, целостность, аутентификацию и авторство конфиденциальной информации организаций, что позволит фирмам избежать финансовых потерь.

Список литературы

1. Бутакова Н.Г. Криптографические методы и средства защиты информации: учеб. пособие /Н.Г. Бутакова, Н.В. Федоров. ? СПб.: ИЦ «Интермедия», 2019. - 384 с.

2. Вострецова, Е.В. Основы информационной безопасности: учебное пособие для студентов вузов / Е.В. Вострецова. -- Екатеринбург: Изд-во Урал. ун-та, 2019. -- 204 с.

3. Миронов И.В. Правовое регулирование электронной подписи в России / И.В. Миронов // Вопросы науки и образования. - 2020. - №3(87). - С. 50-55.

4. Хачатурова С.С. Персональные данные под защиту! / С.С. Хачатурова// Международный журнал прикладных и фундаментальных исследований, 2016. № 5-4. С. 666-668.

Аннотация

Цель работы - исследовать варианты использования средств криптографической защиты информации в организациях. В данной статье рассматривается история появления шифрования, его использование во второй половине XX века в России, нормативные документы в сфере защиты информации. В статье затрагивается тема сертификации технических средств защиты информации. Автором предложены варианты применения криптографических средств, а также сделан вывод о месте криптосредств в комплексной защите информации. Сведения для статьи взяты из открытых источников, в соответствии с 149-ФЗ «Об информации, информационных технологиях и о защите информации». Рекомендации, данные в статье, не распространяются на организации, в которых происходит обработка, передача, хранение сведений, содержащих государственную тайну.

Ключевые слова: информационная безопасность, средства криптографической защиты информации, электронная подпись, персональные данные.

The purpose of the work is to explore the ways of using the tools of cryptographic information protection in organizations. This article discusses the history of encryption emergence, its use in the second half of the 20th century in Russia, as well as existing regulatory documents in the field of information protection. The article touches on the topic of certification of technical means of information protection. The author proposes options for the use of cryptographic tools and makes the conclusion about the place of crypto tools in the system of integrated protection of information. Information for the article was taken from open sources, in accordance with 149-FZ “On Information, Information Technologies and the Protection of Information.” Recommendations given in the article do not apply to organizations that process, transfer, or store National Security Information.

Keywords: information security, means of cryptographic protection of information, electronic signature, personal data.

Размещено на Allbest.ru

...

Подобные документы

  • Рассмотрение основных понятий криптографии: конфиденциальности, целостности, аутентификации и цифровой подписи. Описание криптографических средств защиты (криптосистемы, принципы работы криптосистемы, распространение ключей, алгоритмы шифрования).

    дипломная работа [802,2 K], добавлен 08.06.2013

  • Основные методы криптографической защиты информации. Система шифрования Цезаря числовым ключом. Алгоритмы двойных перестановок и магические квадраты. Схема шифрования Эль Гамаля. Метод одиночной перестановки по ключу. Криптосистема шифрования данных RSA.

    лабораторная работа [24,3 K], добавлен 20.02.2014

  • Организационно-правовое обеспечение, виды, средства и методы защиты информации, основные объекты и степень их значимости. Классификация технических средств защиты, их достоинства и недостатки. Методы, используемые в защите государственной тайны.

    курсовая работа [952,6 K], добавлен 13.05.2009

  • Значение применения криптоалгоритмов в современном программном обеспечении. Классификация методов и средств защиты информации, формальные, неформальные средства защиты. Традиционные симметричные криптосистемы. Принципы криптографической защиты информации.

    методичка [359,6 K], добавлен 30.08.2009

  • Проблема защиты информации в системах электронной обработки данных. Причины возникновения промышленного шпионажа. Виды технических средств промышленного шпионажа. Методы защиты информации. Приборы обнаружения технических средств промышленного шпионажа.

    курсовая работа [349,4 K], добавлен 27.04.2013

  • Современные физические и законодательные методы защиты информации. Внедрение системы безопасности. Управление доступом. Основные направления использования криптографических методов. Использование шифрования, кодирования и иного преобразования информации.

    реферат [17,4 K], добавлен 16.05.2015

  • Краткая история развития криптографических методов защиты информации. Сущность шифрования и криптографии с симметричными ключами. Описание аналитических и аддитивных методов шифрования. Методы криптографии с открытыми ключами и цифровые сертификаты.

    курсовая работа [1,2 M], добавлен 28.12.2014

  • Определение, анализ каналов утечки информации в выделенном помещении и методов ее съема. Изучение характеристик технических средств скрытого съема информации в выделенном помещении. Размещение технических средств защиты информации в выделенном помещении.

    курсовая работа [2,0 M], добавлен 15.03.2016

  • Нормативно-правовые акты по защите информации в АС ГРН. Нормативно-технические акты, обеспечивающие защиту информации в АС ГРН. Требования к средствам защиты информации. Выбор средств защиты информации от несанкционированного доступа.

    реферат [16,1 K], добавлен 23.03.2004

  • Общие сведения о компании ООО "ВТИ-Сервис", ее система защиты информации и описание организации основных информационных потоков. Классификация средств, выявление основных угроз важной информации. Характеристика технических средств по обеспечению ЗИ.

    курсовая работа [378,8 K], добавлен 28.04.2014

  • Понятие и сущность информации. Исторические этапы развития информационной безопасности, ее принципы и необходимость, цели обеспечения. Виды угроз и способы защиты. Последствия утечек информации. Классификация различных средств защиты информации.

    реферат [32,8 K], добавлен 21.09.2014

  • Разработка программного обеспечения для реализации криптографической защиты информации. Обоснование выбора аппаратно-программных средств. Проектирование модели информационных потоков данных, алгоритмического обеспечения, структурной схемы программы.

    дипломная работа [2,0 M], добавлен 10.11.2014

  • Анализ характеристик средств криптографической защиты информации для создания электронной цифровой подписи. Этапы генерации ключевого контейнера и запроса при помощи Удостоверяющего центра с целью получения сертификата проверки подлинности клиента.

    реферат [604,6 K], добавлен 14.02.2016

  • Определение информационных и технических ресурсов, объектов ИС подлежащих защите. Представление элементов матрицы. Внедрение и организация использования выбранных мер, способов и средств защиты. Осуществление контроля целостности и управление системой.

    контрольная работа [498,3 K], добавлен 26.06.2014

  • Концепция обеспечения безопасности информации в ООО "Нейрософт"; разработка системы комплексной защиты. Информационные объекты фирмы, степень их конфиденциальности, достоверности, целостности; определение источников угроз и рисков, выбор средств защиты.

    курсовая работа [458,9 K], добавлен 23.05.2013

  • Средства обеспечения информационной безопасности. Возможные каналы утечки информации. Защита данных с помощью шифрования. Обзор видов технических устройств, защищающих системы, и принцип их действия. Программно-аппаратный комплекс средств защиты.

    курсовая работа [475,7 K], добавлен 01.03.2015

  • Перечень нормативных документов по защите информации, лицензирование и сертификация. Проектирование автоматизированных систем в защищенном исполнении, их внедрение и последующая эксплуатация. Оценка угроз и методы защиты для информационных потоков в АСУ.

    курсовая работа [169,1 K], добавлен 21.01.2011

  • Основные положения теории защиты информации. Сущность основных методов и средств защиты информации в сетях. Общая характеристика деятельности и корпоративной сети предприятия "Вестел", анализ его методик защиты информации в телекоммуникационных сетях.

    дипломная работа [1,1 M], добавлен 30.08.2010

  • Описание основных технических решений по оснащению информационной системы персональных данных, расположенной в помещении компьютерного класса. Подсистема антивирусной защиты. Мероприятия по подготовке к вводу в действие средств защиты информации.

    курсовая работа [63,4 K], добавлен 30.09.2013

  • Характеристики объекта информатизации ОВД, с точки защищаемой информации. Способы утечки информации. Разработка предложений по защите информации на объекте информатизации ОВД. Алгоритм выбора оптимальных средств инженерно-технической защиты информации.

    курсовая работа [693,1 K], добавлен 28.08.2014

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.