Rambler's Top100
Статьи ИКС № 4 2006
Е. КАРПОВА  01 апреля 2006

User Guide по криптозащите

Итак, вы озаботились защитой своей информации. Перечислим стандартные действия: установить средства ограничения доступа (например, электронный замок либо просто парольную защиту), антивирусные программы и МЭ. В завершение следует правильно настроить штатные средства прокси-сервера, защитив себя от атак со стороны сети, и дополнить их средствами контроля утечки информации через порты USB и СОМ, чтобы персонал компании «не растаскивал» контент. Казалось бы, все перекрыто.

Но в этой мощнейшей на первый взгляд обороне зияют огромные дыры. Главное – ничто не мешает злоумышленнику снять жесткий диск или перехватить информацию, передаваемую по сети. Комплексность СИБ в том и заключается, что применяемые в ней средства защиты учитывают максимально возможный спектр угроз. И от наших дыр тоже есть противоядие – шифрование.

Что говорят законы?

Согласно российскому законодательству применение средств шифрования обязательно при работе с информацией, составляющей государственную тайну. Регламенты здесь определяет Конституция РФ, а также законы «О государственной тайне», «О безопасности» и ряд законодательных актов. В ФЗ «О государственной тайне» приведен перечень сведений, относящихся к этой области, и обязательства (в том числе по использованию технических средств) для физических и юридических лиц, которые в своей деятельности пользуются информацией, включенной в данный перечень.

Что такое коммерческая тайна, можно узнать из Гражданского кодекса, закона «О коммерческой тайне» и прочих законодательных актов. Право присвоить какой-то категории данных этот признак, определить перечень и состав такой информации принадлежит обладателю данных. Он же устанавливает режим коммерческой тайны, т.е. правовые, организационные, технические и иные меры по охране ее конфиденциальности.

Итак, секретную информацию шифровать необходимо по закону, определение конфиденциальности информации – право ее владельца, а потому он сам определяет меры и средства ее сохранности и уровни скрытости.

Выбор средств

Прежде всего следует определить степень секретности информации. Затем оценить среду, в которой информация хранится, и провести анализ защищенности каналов передачи. И только после этого приступать к выбору СЗИ. В первую очередь надо убедиться в наличии у поставщика необходимых лицензий и сертификатов на его продукцию. Другие требования традиционны: возможность интеграции в СИБ и масштабируемость решений, чтобы впоследствии систему можно было развивать.

Теперь о главном – «функциональном наполнении», т.е. о применяемых в устройствах шифрования алгоритмах. Для сведений, составляющих государственную тайну, все понятно. Согласно Положению о сертификации средств защиты информации, «СЗИ, предназначенные для защиты сведений, составляющих государственную тайну, подлежат обязательной сертификации, которая проводится в рамках систем сертификации СЗИ». При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ РФ (в настоящее время это алгоритмы по ГОСТ 28147-89; 34.10 и 34.11).

Для конфиденциальной информации всё не так просто. Законом «О коммерческой тайне» определено, что «обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации и другие не противоречащие законодательству Российской Федерации меры». Иными словами, для защиты коммерческой тайны можно использовать все что угодно. Но в случае разбирательства придется раскрыть свою информацию для органов, которые будут вести расследование.

Рекомендации для защиты этого типа данных: пользоваться сертифицированными средствами, так как наличие сертификатов гарантирует отсутствие «закладок» и исключает ошибки при проведении криптографических преобразований (было бы нелепо, зашифровав информацию, потерять ее из-за неточной реализации алгоритма шифрования). Чтобы правильно использовать средства криптографической защиты (СКЗИ), следует тщательно разработать политику генерации и хранения ключей шифрования (их потеря равнозначна утрате самой информации).

Важный вопрос выбора: во что обойдутся средства шифрования? При стоимостной оценке СКЗИ учитываются несколько факторов, из них основные – степень защищенности, возможность генерации ключей шифрования, скоростные характеристики.

Степень защищенности. Чем выше уровень безопасности, тем дороже средство криптографической защиты. Сравним аппаратный и программный шифраторы (табл. 1). Первый имеет аппаратный датчик случайных чисел (ДСЧ), который (если средство сертифицировано) прошел соответствующую аттестацию и рекомендован к применению. Второй тоже снабжен ДСЧ, но программным, и соответственно формирует псевдослучайные числа программным образом, что снижает по сравнению с аппаратным устройством стойкость ключа, на котором шифруется информация.

Возможность генерации ключей. Можно купить средство шифрования без возможности формирования ключей или приобрести этот функциональный модуль на определенный срок. На практике потребители СКЗИ предпочитают проводить ключевую политику самостоятельно. Стоимость СКЗИ с возможностью генерации ключей, естественно, выше, чем базового средства (табл. 2).

Скоростные характеристики. Очевидно, что стоимость изделия прямо пропорциональна скорости выполнения им криптографических преобразований (табл. 3).

И последнее. Не пугайтесь высоких цен, не экономьте на средствах шифрования – убытки от хищения информации гораздо выше стоимости криптозащиты.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: