Использование средств криптографической защиты информации в организациях

Размещено на http://www.allbest.ru/

Самарский государственный технический университет

Использование средств криптографической защиты информации в организациях

Баранов А.С.

Преступления в сфере информационных технологий происходят ежедневно. В 2019 году за первые 8 месяцев было совершено 180 153 (+66,8 % по сравнению с 2018 годом) [7]. Большая часть связана с кражами конфиденциальной информации как физических, так и юридических лиц. Информационный прогресс привел не только к большим достижениям, но и к возникновению новых видов злодеяний, поэтому организациям на сегодняшний день необходимо защищать разного рода информацию, и важное место в этой работе отводится средствам криптографической защиты информации (СКЗИ).

Первоначально письменность сама защищала себя, поскольку ей могли пользоваться немногие. С течением времени рукописные произведения получили распространение, появилась необходимость сохранения информации от, как сейчас говорят, несанкционированного доступа (НСД). Обеспечивать сохранность сведений начинают шифры - проводимые над текстом действия по искажению «исходного текста» и превращению информации в нечитабельный вид. Появляются симметричные и ассиметричные шифры. Примером симметричного является шифр Цезаря, он заключается в замене букв открытого сообщения на иные, отличающиеся от исходных на некоторое число (ключ). Ассиметричные шифры являются сложными, поэтому получили большее распространение и используются в настоящее время [3].

Во второй половине XX века криптография в СССР находилась под грифом «секретно», её могли использовать только вооруженные силы и спецслужбы. Ситуация начала меняться в начале 90-х годов, когда был введен стандарт шифрования ГОСТ 28147-89, который стал публичным в 1994 [4]. Сегодня СКЗИ - это аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие свои задачи. Под «своими задачами» понимаются индивидуальные действия по защите информации, в основном, шифрование, которое используется в организациях при защите персональных данных, сохранении конфиденциальной информации, корпоративной переписки, защите электронной подписи.

В XXI веке разработано множество продуктов, которыми могут пользоваться организации или физические лица без специального разрешения в рамках действующего законодательства Российской Федерации. Делая выбор в пользу тех или иных СКЗИ, следует обращать внимание на сертификацию продукции. Две организации в основном занимаются сертификацией - это Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК России) и ФСБ России. ФСТЭК России специализируется в области технической защиты информации некриптографическими методами, а ФСБ России - в области криптографической защиты информации [1].

Информационная система любой организации содержит персональные данные (ПДн) о сотрудниках и клиентах, которые в соответствии с 152-ФЗ «О персональных данных» должны быть защищены. На основании данного закона принят ряд нормативных документов, регламентирующих требования по защите ПДн, например, Постановление Правительства РФ от 01.11.2012 №1119 [6]. Защита от утечек строится чаще всего с применением криптографии, необходимыми условиями внедрения и использования которой являются:

корректное совмещение с другими техническими и программными средствами, которые могут повлиять на его работу;

разработка модели нарушителя, на основании которой создается система защиты ПДн;

верный выбор класса СКЗИ (из 6 возможных на сегодняшний день) на основе модели нарушителя;

использование методических рекомендаций ФСТЭК России и ФСБ России [2].

Путем шифрования сегодня может происходить и защита конфиденциальной (коммерческая тайна, ноу-хау, интеллектуальная собственность и др.) информации фирмы. СКЗИ обеспечивают использование сотрудниками токенов, для хранение закрытых ключей; поддержку ассиметричного шифрования; шифрование данных как на средствах вычислительной техники, так и за ее приделами, на серверах; разграничение прав доступа к корпоративной информации. Простой пример: сравним всю информацию с пазлом, у сотрудников должна быть только часть пазла, чтобы злоумышленнику нельзя было собрать картину.

События весны 2020 года, связанные с распространением по всему миру коронавирусной инфекции, заставили перейти большинство организаций на дистанционную работу. Заключать договоры на расстоянии, удостоверять электронные документы помогает электронная подпись (ЭП), используемая в электронном документообороте (ЭДО).

Согласно 63-ФЗ «Об электронной подписи» существует несколько видов ЭЦП: шифрование информация защита криптографический

простая электронная подпись (ПЭП);

усиленная электронная подпись:

неквалифицированная электронная подпись (НЭП);

квалифицированная электронная подпись (КЭП).

При выборе ЭП организациям следует учесть, что электронные подписи обладают различной юридической силой, и только использование КЭП придает юридическую силу документу без дополнительных условий. Так же следует учесть, что КЭП и НЭП сертифицированы ФСБ России и данные ЭП выдаются удостоверяющим центром [5].

Для безопасной работы с развитием ЭДО защита в организациях требуется и корпоративной почте. Существует множество почтовых клиентов, например, Outlook, Thinderbird и другие, которые позволяют осуществлять защищенный обмен почтовой переписки на основании открытого и закрытого ключа. На примере Thinderbird можно показать, насколько просто использовать подобные почтовые клиенты. Пользователи, которые собираются обмениваться информацией, создают пару ключей (открытый и закрытый), обмениваются открытыми ключами, устанавливают их и могут осуществлять зашифрованную переписку. Сами по себе почтовые клиенты не являются криптографическими средствами, однако они позволяют интегрироваться с СКЗИ.

Рассмотрим применение конкретных криптографических средств защиты информации на примере компании по разработке программного обеспечения «Самара Софт». Организация с клиентом должна заключить договор, который стороны могут подписывать дистанционно, используя КЭП (данной вид ЭП уже был описан выше), также электронная подпись понадобится при отправке финансовых документов, например, в Федеральную налоговую службу. Для использования КЭП в организации необходимо наличие токена, Рутокен ЭЦП 2.0, который выдается удостоверяющим центром, и криптодрайвер, КриптоПро CSP 5.0. Данные продукты является отечественными, имеют сертификат соответствия ФСБ России [8,9]. Предотвращение внесения правок в документы фирмы, будь то договоры, заключаемые с клиентами или финансовые документы, поможет избежать организации убытков, например, изменение банковских реквизитов в счете на оплату, при котором фирма понесет финансовые потери. Также ЭП позволит передавать документы по открытым каналам связи, если в этом возникнет необходимость, например, по электронной почте, не боясь нарушения целостности документа.

Для защищенной переписки между сотрудниками фирмы можно использовать Microsoft Outlook. Настройка шифрования сводится к настройке программы почтового клиента. ЭП и шифрование почтовых сообщений осуществляется за счет сертификата, хранящегося на устройстве Рутокен. Данный вид использования СКЗИ позволяет обеспечивать конфиденциальность передаваемой информации, разглашение которой может нанести как материальный, так и репутационный ущерб.

Для защиты рабочих мест от внешних и внутренних сетевых атак предлагается использовать программный комплекс ViPNnet Client 4, который обеспечивает защищенную работу с корпоративными данными через зашифрованный канал, в том числе для удаленных пользователей. Данный продукт также является отечественным и имеет сертификат соответствия ФСБ России [10].

Из этого примера видно, что все СКЗИ являются продукцией отечественного производства, имеют действующий сертификат соответствия ФСБ России, шифрование данных производится в соответствии с ГОСТ в сфере защиты информации. Данные продукты не первый год используются в организациях России, позволяя обеспечивать защиту информации.

Заключение

Для обеспечения информационной безопасности организации необходимо использовать средства криптографической защиты информации, позволяющие защищать конфиденциальность, целостность, аутентификацию и авторство конфиденциальной информации организаций, что позволит фирмам избежать финансовых потерь.

Список литературы

1. Бутакова Н.Г. Криптографические методы и средства защиты информации: учеб. пособие /Н.Г. Бутакова, Н.В. Федоров. ? СПб.: ИЦ «Интермедия», 2019. - 384 с.

2. Вострецова, Е.В. Основы информационной безопасности: учебное пособие для студентов вузов / Е.В. Вострецова. -- Екатеринбург: Изд-во Урал. ун-та, 2019. -- 204 с.

3. Миронов И.В. Правовое регулирование электронной подписи в России / И.В. Миронов // Вопросы науки и образования. - 2020. - №3(87). - С. 50-55.

4. Хачатурова С.С. Персональные данные под защиту! / С.С. Хачатурова// Международный журнал прикладных и фундаментальных исследований, 2016. № 5-4. С. 666-668.

Аннотация

Цель работы - исследовать варианты использования средств криптографической защиты информации в организациях. В данной статье рассматривается история появления шифрования, его использование во второй половине XX века в России, нормативные документы в сфере защиты информации. В статье затрагивается тема сертификации технических средств защиты информации. Автором предложены варианты применения криптографических средств, а также сделан вывод о месте криптосредств в комплексной защите информации. Сведения для статьи взяты из открытых источников, в соответствии с 149-ФЗ «Об информации, информационных технологиях и о защите информации». Рекомендации, данные в статье, не распространяются на организации, в которых происходит обработка, передача, хранение сведений, содержащих государственную тайну.

Ключевые слова: информационная безопасность, средства криптографической защиты информации, электронная подпись, персональные данные.

The purpose of the work is to explore the ways of using the tools of cryptographic information protection in organizations. This article discusses the history of encryption emergence, its use in the second half of the 20th century in Russia, as well as existing regulatory documents in the field of information protection. The article touches on the topic of certification of technical means of information protection. The author proposes options for the use of cryptographic tools and makes the conclusion about the place of crypto tools in the system of integrated protection of information. Information for the article was taken from open sources, in accordance with 149-FZ “On Information, Information Technologies and the Protection of Information.” Recommendations given in the article do not apply to organizations that process, transfer, or store National Security Information.

Keywords: information security, means of cryptographic protection of information, electronic signature, personal data.

Размещено на Allbest.ru