Криптографічний захист інформації
Криптографічний захист інформації є найдавнішим, оскільки його корені сягають ще IV тисячоліття до н. є., коли в давньому Єгипті, Шумері, Китаї, Індії та Ассирії виникли перші шифри. Але основоположником криптографічної науки вважається К. Шенон, який у 1946 р. видав працю під назвою "Теорія зв'язку в секретних системах", у якій виклав теоретичні основи сучасної криптографії. Саме відтоді застосування криптографічного захисту інформації стало швидко поширюватися не лише у військово-політичній сфері, а й у промисловості, банківській діяльності, приватній кореспонденції тощо.
Криптографія стала справою не лише спецслужб, як би вони того не бажали. У 70 - 80-ті роки. XX ст. підвищується суспільний інтерес до криптографії. Виявилося, що криптографічні засоби можуть бути добрим інструментом захисту прав громадян на конфіденційність листування і переговорів. Цьому сприяло відкриття односторонніх функцій і криптографії з відкритими ключами, так званих "хеш-функцій" (спеціальних ознак повідомлень, за якими легко ідентифікувати повідомлення і виявити його модифікації); механізмів цифрового підпису (аналога звичайного рукописного підпису, який надає електронним документам юридичної сили) тощо.
В Україні нормативно-правове регулювання питань криптографічного захисту інформації розвивається досить швидко. Основою цього виду діяльності є затверджене Указом Президента "Положення про порядок здійснення криптографічного захисту інформації", згідно з яким криптографічний захист інформації є таким, що здійснюється за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо.
Цей Указ визначає основні терміни, що використовуються у криптографічному захисті інформації:
- засіб криптографічного захисту інформації — програмний, апаратно-програмний, апаратний або інший засіб, призначений для криптографічного захисту інформації;
- криптографічна система (криптосистема) - сукупність засобів криптографічного захисту інформації, необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визначає заходи безпеки), використання яких забезпечує належний рівень захищеності інформації, що обробляється, зберігається та (або) передається. Сам же криптографічний захист інформації здійснюється за допомогою відповідної криптосистеми, яка складається із сукупності органів, підрозділів, груп, діяльність яких спрямована на забезпечення криптографічного захисту інформації, та підприємств, установ і організацій, що розробляють, виробляють, експлуатують та (або) розповсюджують криптосистеми і засоби криптографічного захисту інформації. Конкретні вимоги до засобів криптографічного захисту інформації залежать від правового режиму останньої та її суспільного і державного значення.
Так, для криптографічного захисту інформації, що становить державну таємницю, та службової інформації, створеної на замовлення державних органів або яка є власністю держави, використовуються криптосистеми і засоби криптографічного захисту, допущені до експлуатації Держспецзв'язку. Такі криптосистеми і засоби перебувають виключно у державній власності.
Проте засоби криптографічного захисту службової інформації та криптосистеми з відповідного дозволу можуть перебувати і в недержавній власності.
Щодо криптосистем і засобів криптографічного захисту конфіденційної інформації встановлено лише вимогу наявності сертифікату відповідності.
Законодавством також установлено вимоги щодо ліцензування діяльності, пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації. Надійність криптографічного захисту інформації забезпечують не лише якість та характеристики самих криптосистем, а й організаційні заходи, які унеможливлюють витік інформації, що може допомогти у зламі криптографічного захисту. З цією метою встановлено особливий порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації та постачання і використання ключів до цих засобів.
Заходи організаційного забезпечення криптографічного захисту інформації (КЗІ) проводяться через установлення:
- режиму безпеки тобто реалізованої системи правових норм, організаційних та організаційно-технічних заходів, яка створюється на підприємствах під час розроблення, дослідження, виробництва та експлуатації засобів КЗІ з метою обмеження доступу до конфіденційної інформації;
- спеціальних вимог до КЗІ, тобто вимог до принципів побудови засобів КЗІ і технічної реалізації криптографічних алгоритмів у засобах КЗІ, до криптографічних якостей, а також до захисту від можливих каналів витоку небезпечних сигналів засобів КЗІ.
Головними вимогами до інформаційної безпеки засобів КЗІ є такі:
- особи, допущені до розроблення, виготовлення та експлуатації КЗІ, повинні мати допуск, відповідний рівневі таємної або конфіденційної інформації, яку передбачається захищати такими засобами КЗІ;
- у засобах КЗІ мають використовуватися криптоалгоритми та криптопротоколи, які є державними стандартами України або рекомендовані Держспецзв'язку;
- засоби КЗІ без уведених діючих ключових даних мають гриф обмеження доступу, який відповідає грифу опису криптосхеми;
- гриф обмеження доступу засобів КЗІ із завантаженими ключовими даними визначається грифом обмеження доступу ключових документів;
- гриф обмеження доступу ключових документів, що використовуються засобами КЗІ, має відповідати максимальному грифу обмеження доступу інформації, яка захищається.
Порядок постачання і використання ключів до засобів КЗІ, та відповідні організаційні й технічні заходи безпеки регулюються спеціальною інструкцією, затвердженою спільним наказом Держстандарту та СБУ, якою запроваджено "єдині вимоги, обов'язкові для виконання юридичними особами будь-яких форм власності, що передбачені чинним законодавством".