Криптографічний захист інформації

Криптографічний захист інформації є найдавнішим, оскільки його корені сягають ще IV тисячоліття до н. є., коли в давньому Єгипті, Шумері, Китаї, Індії та Ассирії виникли перші шифри. Але основопо­ложником криптографічної науки вважається К. Шенон, який у 1946 р. видав працю під назвою "Теорія зв'язку в секретних системах", у якій виклав теоретичні основи сучасної криптографії. Саме відтоді за­стосування криптографічного захисту інформації стало швидко поши­рюватися не лише у військово-політичній сфері, а й у промисловості, банківській діяльності, приватній кореспонденції тощо.

Криптографія стала справою не лише спецслужб, як би вони того не бажали. У 70 - 80-ті роки. XX ст. підвищується суспільний інтерес до криптографії. Виявилося, що криптографічні засоби можуть бути добрим інструментом захисту прав громадян на конфіденційність лис­тування і переговорів. Цьому сприяло відкриття односторонніх функ­цій і криптографії з відкритими ключами, так званих "хеш-функцій" (спеціальних ознак повідомлень, за якими легко ідентифікувати по­відомлення і виявити його модифікації); механізмів цифрового під­пису (аналога звичайного рукописного підпису, який надає електро­нним документам юридичної сили) тощо.

В Україні нормативно-правове регулювання питань криптогра­фічного захисту інформації розвивається досить швидко. Основою цього виду діяльності є затверджене Указом Президента "Положення про порядок здійснення криптографічного захисту інформації", згід­но з яким криптографічний захист інформації є таким, що здійсню­ється за допомогою перетворень інформації з використанням спе­ціальних даних (ключових даних) з метою приховування (або віднов­лення) змісту інформації, підтвердження її справжності, ціліснос­ті, авторства тощо.

Цей Указ визначає основні терміни, що використовуються у крип­тографічному захисті інформації:

- засіб криптографічного захисту інформації — програмний, апаратно-програмний, апаратний або інший засіб, призначе­ний для криптографічного захисту інформації;

- криптографічна система (криптосистема) - сукупність засо­бів криптографічного захисту інформації, необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визначає заходи безпеки), використання яких забезпечує належний рівень захищеності інформації, що обробляється, зберігається та (або) передається. Сам же криптографічний захист інформації здійснюється за допо­могою відповідної криптосистеми, яка складається із сукупності ор­ганів, підрозділів, груп, діяльність яких спрямована на забезпечення криптографічного захисту інформації, та підприємств, установ і органі­зацій, що розробляють, виробляють, експлуатують та (або) розповсю­джують криптосистеми і засоби криптографічного захисту інформації. Конкретні вимоги до засобів криптографічного захисту інформа­ції залежать від правового режиму останньої та її суспільного і дер­жавного значення.

Так, для криптографічного захисту інформації, що становить дер­жавну таємницю, та службової інформації, створеної на замовлення державних органів або яка є власністю держави, використовуються криптосистеми і засоби криптографічного захисту, допущені до екс­плуатації Держспецзв'язку. Такі криптосистеми і засоби перебувають виключно у державній власності.

Проте засоби криптографічного захисту службової інформації та криптосистеми з відповідного дозволу можуть перебувати і в недер­жавній власності.

Щодо криптосистем і засобів криптографічного захисту конфі­денційної інформації встановлено лише вимогу наявності сертифіка­ту відповідності.

Законодавством також установлено вимоги щодо ліцензування діяль­ності, пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інфор­мації, а також з наданням послуг із криптографічного захисту інформації. Надійність криптографічного захисту інформації забезпечують не лише якість та характеристики самих криптосистем, а й організацій­ні заходи, які унеможливлюють витік інформації, що може допомог­ти у зламі криптографічного захисту. З цією метою встановлено осо­бливий порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації та постачання і використання ключів до цих засобів.

Заходи організаційного забезпечення криптографічного захисту інформації (КЗІ) проводяться через установлення:

- режиму безпеки тобто реалізованої системи правових норм, організаційних та організаційно-технічних заходів, яка ство­рюється на підприємствах під час розроблення, дослідження, виробництва та експлуатації засобів КЗІ з метою обмеження доступу до конфіденційної інформації;

- спеціальних вимог до КЗІ, тобто вимог до принципів побудови засобів КЗІ і технічної реалізації криптографічних алгоритмів у засобах КЗІ, до криптографічних якостей, а також до захисту від можливих каналів витоку небезпечних сигналів засобів КЗІ.

Головними вимогами до інформаційної безпеки засобів КЗІ є такі:

- особи, допущені до розроблення, виготовлення та експлуата­ції КЗІ, повинні мати допуск, відповідний рівневі таємної або конфіденційної інформації, яку передбачається захищати та­кими засобами КЗІ;

- у засобах КЗІ мають використовуватися криптоалгоритми та криптопротоколи, які є державними стандартами України або рекомендовані Держспецзв'язку;

- засоби КЗІ без уведених діючих ключових даних мають гриф обмеження доступу, який відповідає грифу опису криптосхеми;

- гриф обмеження доступу засобів КЗІ із завантаженими ключо­вими даними визначається грифом обмеження доступу клю­чових документів;

- гриф обмеження доступу ключових документів, що викорис­товуються засобами КЗІ, має відповідати максимальному гри­фу обмеження доступу інформації, яка захищається.

Порядок постачання і використання ключів до засобів КЗІ, та від­повідні організаційні й технічні заходи безпеки регулюються спеці­альною інструкцією, затвердженою спільним наказом Держстандар­ту та СБУ, якою запроваджено "єдині вимоги, обов'язкові для вико­нання юридичними особами будь-яких форм власності, що передба­чені чинним законодавством".

Наши рекомендации