Технологии и технические средства обеспечения информационной безопасности

§ 1. Правовые технологии обеспечения информационной безопасности

Цели обеспечения информационной безопасности

Как уже упоминалось, при перехо­де от индустриального общества к информационному наряду с тради­ционными ресурсами — материаль­ными, энергетическими, техническими и др. — резко возрастает роль ресурсов информационных и интеллектуальных. Знания и ин­формация становятся стратегическим ресурсом общества, определя­ющим перспективы его экономического, социального, культурного развития в новом тысячелетии. Кроме того, информационные ре­сурсы — объект собственности конкретных юридических и физичес­ких лиц, они нуждаются в защите, обеспечении правового режима их владения, распоряжения и пользования.

Особое место отводится информационным ресурсам в услови­ях рыночной экономики. В конкурентной борьбе широко распро­странены разнообразные действия, направленные на получение конфиденциальной информации различными способами. Установ­лено, что сегодня в мире 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа'. В этих условиях защите информации от неправомерного овладения ею отводится значительная и всевозрастающая роль.

Как мы уже говорили, под информационной безопасностью в целом понимается защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий, чреватых нанесением ущерба как владельцам или пользователям информации, так и соответствующим техническим структурам, причем независимо от того, носят ли эти действия естественный или искусственный характер.

В соответствии с Законом РФ от 25 января 1995 г. «Об информа­ции, информатизации и защите информации» целями обеспече­ния информационной безопасности являются:

■ предотвращение разглашения, утечки и несанкционирован­
ного доступа к охраняемым сведениям;

■ предотвращение противоправных действий по уничтожению,
модификации, искажению, копированию, блокированию
информации;

■ предотвращение других форм незаконного вмешательства в
информационные ресурсы и информационные системы;

■ обеспечение правового режима документированной инфор­
мации как объекта собственности;

■ защита конституционных прав граждан на сохранение лич­
ной тайны и конфиденциальности персональных данных,
имеющихся в информационных системах;

■ сохранение государственной тайны, конфиденциальности
документированной информации в соответствии с законо­
дательством;

■ обеспечение прав субъектов в информационных процессах
и при разработке, производстве и применении информаци­
онных систем, технологии и средств их обеспечения.

Как показывает практика, для защиты интересов субъектов информационных отношений необходимо сочетать меры следую­щих уровней:

■ законодательного (законы, нормативные акты, стандарты

и т.п.);

■ административного (действия общего характера, предпри­
нимаемые руководством организации);

■ процедурного (конкретные меры безопасности, имеющие
дело с людьми);

■ программно-технического (конкретные технические меры).

Законодательные основы обеспечения информационной безопасности

На законодательном уровне закла­дываются общие предпосылки для обеспечения безопасности. Так, Кон­ституция РФ непосредственно не регулирует отношения в области производства и применения новых информационных технологий. Но создает условия для такого регулирования, закрепляя как пра­ва граждан (свободно искать, получать, передавать, производить и распространять информацию любым законным способом —

ст. 29, ч. 4; на охрану личной тайны — ст. 24, ч. 1 и др.), так и обязанности государства (по обеспечению возможности ознаком­ления гражданина с документами и материалами, непосредствен­но затрагивающими его права и свободы, — ст. 24, ч. 2).

На законодательном уровне различают две группы мер: направ­ленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности; способствующие повышению об­разованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.

К первой группе следует отнести гл. 28 («Преступления в сфере компьютерной информации») разд. IX новой редакции Уголовно­го кодекса, в которой достаточно полно охарактеризованы основ­ные угрозы информационным системам. Однако до реализации соответствующих статей кодекса еще далеко.

Закон «Об информации, информатизации и защите информа­ции» также можно причислить к этой группе. Важнейшими эле­ментами лежащей в его основе концепции являются объявление информационных ресурсов объектом права собственности и вклю­чение их в состав имущества (ст. 6). В отношении этих объектов установлены:

■ основы правового режима информационных ресурсов (ст. 4);

■ состав государственных информационных ресурсов (ст. 7) и
порядок их формирования (ст. 8);

■ режимы доступа к информационным ресурсам (ст. 10) и по­
рядок их использования (ст. 12, 13);

■ порядок использования информации о гражданах (персо­
нальные данные) как части государственных информаци­
онных ресурсов (ст. 11, 14);

■ порядок сертификации информационных систем, техноло­
гий, средств их обеспечения и лицензирования деятельно­
сти по формированию и использованию информационных
ресурсов (ст. 19);

■ принципы защиты информации и прав субъектов в области
информатизации (ст. 20, 21, 22, 23 и 24).

Насколько можно судить по планам Государственной думы, в настоящее время готовятся законы «О праве на информацию», «О коммерческой тайне», «О персональных данных». Это, безус­ловно, шаги в правильном направлении, так как они позволяют государству охватить все категории субъектов информационных от­ношений.

20 - 4386

Ко второй группе — направляющих и координирующих зако­нов и нормативных актов — относится пакет документов, регла­ментирующих процессы лицензирования и сертификации в обла­сти информационной безопасности. Главная роль здесь отведена Федеральному агентству правительственной связи и информации (ФАПСИ) и Государственной технической комиссии (Гостехко-миссии) при Президенте Российской Федерации.

В связи с этим стоит упомянуть Указ Президента РФ от 3 апре­ля 1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифроваль­ных средств, а также предоставления услуг в области шифрования информации». Данный указ вводит запрет на:

■ использование государственными организациями и предпри­
ятиями шифровальных средств, включая криптографичес­
кие средства обеспечения подлинности информации (элек­
тронная подпись), и защищенных технических средств хра­
нения, обработки и передачи информации, не имеющих
сертификата ФАПСИ, а также размещение государствен­
ных заказов на предприятиях, в организациях, использую­
щих указанные технические и шифровальные средства, не
имеющие сертификата ФАПСИ;

■ деятельность юридических и физических лиц, связанную с
разработкой, производством, реализацией и эксплуатацией
указанных технических и шифровальных средств и предос­
тавлением соответствующих услуг без лицензий, выданных
ФАПСИ;

■ ввоз на территорию РФ шифровальных средств иностранного
производства без лицензии Министерства внешних экономи­
ческих связей РФ, выданной по согласованию с ФАПСИ.

Указ Президента РФ от 6 марта 1997 г. № 188 определяет поня­тие и содержание конфиденциальной информации. Действия по защите информации от несанкционированного доступа регламен­тирует Указ Президента РФ от 8 мая 1993 г. № 664 «О защите ин­формационно-телекоммуникационных систем и баз данных от утеч­ки конфиденциальной информации по техническим каналам свя­зи», а также постановление Правительства РФ от 15 сентября 1993 г. № 912-51 «Положение о государственной системе защиты инфор­мации от иностранной технической разведки и от утечки по тех­ническим каналам».

В области информационной безопасности законы дополняются нормативными документами, подготовленными соответствующи-

ми ведомствами. Очень важны руководящие документы Гостех-комиссии, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем (ГОСТ 29339-92 «Информационная технология. Защита информа­ции от утечки за счет ПЭМИН* при ее обработке средствами вычислительной техники»; ГОСТ Р 50739-95 «СВТ. Защита от не­санкционированного доступа к информации»; ГОСТ Р 3410-94 «Про­цедуры выработки и проверки электронной подписи на базе асим­метрического криптографического алгоритма»; ГОСТ Р.В. 50170-92 «Противодействие иностранной технической разведке. Терми­ны и определения»). Особенно выделим утвержденный в июле 1997 г. руководящий документ по межсетевым экранам, вводящий в официальную сферу один из самых современных классов защит­ных средств.

Международно-правовые аспекты обеспечения информационной безопасности

В мире глобальных сетей норматив­но-правовая база должна разраба­тываться с учетом международной практики. Российские стандарты и сертификационные нормативы еще не приведены в соответствие с международными информационными технологиями и уровнем информационной безопасности. Есть много причин, по которым это следует сделать в ближайшем будущем. Одна из них — необхо­димость защищенного взаимодействия с зарубежными организа­циями и зарубежными филиалами российских организаций. Вто­рая (более существенная) — доминирование аппаратно-программ­ных продуктов зарубежного производства.

Требует законодательного решения и вопрос об отношении к таким изделиям. Здесь выделяются два аспекта: независимость в области информационных технологий и информационная безопас­ность. Использование зарубежных продуктов в некоторых крити­чески важных системах (в первую очередь военных) в принципе может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встра­ивания закладных элементов. В большинстве случаев потенциаль­ные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использова­ния зарубежных разработок (ввиду сложностей их сертификации) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то ос­нований.

* ПЭМИН — побочные электромагнитные излучения и наводки.

20*

§ 2. Административные технологии обеспечения информационной безопасности

Проблема сертификации аппаратно-программных продуктов зарубежного производства действительно сложна, однако она мо­жет быть успешно решена. Сложившаяся в Европе система серти­фикации по требованиям информационной безопасности позво­лила оценить операционные системы, системы управления база­ми данных и другие разработки американских компаний. Вхождение России в эту систему и участие российских специалистов в серти­фикационных испытаниях в состоянии снять противоречие между независимостью в области информационных технологий и инфор­мационной безопасностью без снижения уровня национальной без­опасности.

Главное же, чего не хватает современному российскому зако­нодательству (и что можно почерпнуть из зарубежного опыта), это позитивной направленности. Информационная безопасность — новая область деятельности, здесь важно научить, разъяснить, помочь, а не запретить и наказать. Необходимо осознать важность данной проблематики, понять основные пути решения соответ­ствующих задач, скоординировать научные, учебные и производ­ственные планы. Государство может сделать это оптимальным об­разом. Здесь не нужно больших материальных затрат, требуются лишь интеллектуальные вложения.

Пример позитивного законодательства — Британский стан­дарт BS 7799:1995, описывающий основные положения поли­тики безопасности. Более 60% крупных организаций использу­ют этот стандарт в своей практике, хотя закон этого не требует. Еще один пример — Computer Security Act (США), возлагаю­щий на конкретные государственные структуры ответственность за методическую поддержку работ в области информационной безопасности. Со времени вступления этого закона в силу (1988) действительно было разработано много важных и полезных до­кументов.

В заключение перечислим перспективные направления законо­дательной деятельности государства в области обеспечения инфор­мационной безопасности:

■ разработка новых законов с учетом интересов всех катего­
рий субъектов информационных отношений;

■ ориентация на созидательные, а не карательные законы;

■ интеграция в мировое правовое пространство;

■ учет современного состояния информационных технологий.

Административные основания обеспечения информационной безопасности

Опираясь на государственные пра­вовые акты и ведомственные ру­ководящие документы, отдельные организации (фирмы, предприя­тия) могут разрабатывать собственные нормативно-правовые до­кументы, ориентированные на обеспечение информационной бе­зопасности. К таким документам относятся:

■ положение о сохранении конфиденциальной информации;

■ перечень сведений, составляющих конфиденциальную ин­
формацию;

■ положение о специальном делопроизводстве и документоо­
бороте;

■ перечень сведений, разрешенных к опубликованию в откры­
той печати;

■ положение о работе с иностранными фирмами и их пред­
ставителями;

■ обязательство сотрудника о сохранении конфиденциальной
информации;

■ памятка сотруднику о сохранении коммерческой информа­
ции.

Основанием мер административного уровня, т.е. мер, предпри­нимаемых руководством организации, является политика безопас­ности— совокупность документированных управленческих реше­ний, направленных на защиту информации и ассоциированных с ней ресурсов. Она определяет стратегию организации в области информационной безопасности, а также меру внимания и то ко­личество ресурсов, которые руководство считает целесообраз­ным выделить для этих целей.

Работы по созданию комплексной системы информационной безопасности в организации включают в себя следующие этапы:

■ анализ состава и содержания конфиденциальной информа­
ции, циркулирующей на конкретном объекте защиты;

■ анализ ценности информации для организации с позиций
возможного ущерба от ее получения злоумышленниками
(конкурентами);

■ оценка уязвимости информации, доступности ее для средств
злоумышленника;

■ исследование действующей системы информационной бе­
зопасности в организации;

■ оценка затрат на разработку новой (или совершенствование
действующей) системы;

■ организация мер защиты информации;

■ закрепление персональной ответственности;

■ реализация новой технологии обеспечения информацион­
ной безопасности;

■ создание обстановки сознательного отношения к информа­
ционной безопасности;

■ контроль результатов разработки и прием в эксплуатацию
новой системы информационной безопасности².

Эти этапы можно считать типовыми для разработки системы защиты, так как они охватывают практически весь объем работ на организационном уровне.

Стандарт BS 7799:1995 рекомендует включать в документ, ха­рактеризующий политику безопасности организации, следующие разделы:

■ вводный, подтверждающий озабоченность высшего руковод­
ства проблемами информационной безопасности;

■ организационный, содержащий описание подразделений,
комиссий, групп и т.д., отвечающих за работы в области
информационной безопасности;

■ классификационный, описывающий материальные и ин­
формационные ресурсы и необходимый уровень их защиты
в организации;

■ штатный, характеризующий меры безопасности, применя­
емые к персоналу (описание должностей с точки зрения
информационной безопасности, организация обучения и
переподготовки персонала, порядок реагирования на
нарушения режима безопасности и т.п.);

■ освещающий вопросы физической защиты;

■ управляющий, описывающий подход к управлению компь­
ютерами и компьютерными сетями;

■ описывающий правила разграничения доступа к производ­
ственной информации;

■ характеризующий порядок разработки и сопровождения
систем;

■ описывающий меры, направленные на обеспечение непре­
рывной работы организации;

■ юридический, подтверждающий соответствие политики безо­
пасности действующему законодательству.

Разработка и осуществление политики безопасности строятся на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализи­рованы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безо­пасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения про­граммы и т.п.

Что касается российского общества, то на сегодняшний день административный уровень — это белое пятно в отечественной практике информационной безопасности. В нашей стране, по сути, нет законов, обязывающих организации иметь политику безопас­ности. Ни одно из ведомств, курирующих информационную безо­пасность, не предлагает типовых разработок в данной области. Мало кто из руководителей знает, что такое политика безопасности, еще меньшее число организаций такую политику имеет. В то же время без подобной основы прочие меры информационной безо­пасности повисают в воздухе, они не могут быть всеобъемлющи­ми, систематическими и эффективными. Например, меры защиты от внешних хакеров и от собственных обиженных сотрудников дол­жны быть совершенно разными, поэтому в первую очередь необ­ходимо определить, какие угрозы чреваты наибольшим ущербом. (По статистике, наибольший ущерб происходит от случайных оши­бок персонала, обусловленных неаккуратностью или некомпетент­ностью, поэтому в первую очередь важны не хитрые технические средства, а меры обучения, тренировка персонала и регламенти­рование его деятельности.)

Разрабатывая политику безопасности, следует учитывать спе­цифику конкретных организаций. Бессмысленно переносить прак­тику режимных государственных организаций на коммерческие структуры, учебные заведения или персональные компьютерные системы. Для того чтобы¹ избежать подобной ситуации, целесооб­разно разработать, во-первых, основные принципы политики бе­зопасности, а во-вторых — готовые шаблоны для наиболее важных разновидностей организаций.

Анализ ситуации на административном уровне информацион­ной безопасности доказывает важность созидательного, а не кара­тельного законодательства. Можно потребовать от руководителей политики безопасности (и в перспективе это правильно), но сна­чала нужно разъяснить, научить, показать, для чего она нужна и как ее разрабатывать.

§ 3. Процедурные технологии обеспечения информационной безопасности

Организационные меры обеспечения информационной безопасности

В отечественных организациях на­коплен богатый опыт составления и реализации процедурных (орга­низационных) мер безопасности,

т.е. мер, реализуемых людьми. Однако проблема состоит в том, что это меры из докомпьютерногопрошлого, и они поэтому нуждают­ся в существенном пересмотре.

На наш взгляд, целесообразно выделить следующие группы процедурных мер, направленных на обеспечение информацион­ной безопасности:

управление персоналом;

физическая защита;

поддержание работоспособности;

реагирование на нарушения режима безопасности;

планирование восстановительных работ.

Управление персоналом в контексте информационной безо­пасности является в России весьма неразработанным направлени­ем деятельности как в государственных, так и в корпоративных структурах. Во-первых, для каждой должности должны существо­вать квалификационные требования по информационной безопас­ности. Во-вторых, в должностные инструкции следует в обязатель­ном порядке включать разделы, касающиеся информационной бе­зопасности. В-третьих, каждому работнику необходимо освоить меры безопасности как в теории, так и на практике (причем по­добные тренировки желательно проводить не менее двух раз в год).

Государству и корпорациям в равной степени необходима соб­ственная система информационной (гражданской) обороны. Кро­ме того, нужно спокойно, без нагнетания страстей разъяснять на­селению не только преимущества, но и опасности использования современных информационных технологий. Причем акцент, на наш взгляд, следует делать не на военную или криминальную сторону вопроса, а на чисто гражданские аспекты, связанные с поддержа­нием нормального функционирования аппаратного и программ­ного обеспечения, т.е. на проблемы доступности и целостности данных. Разумеется, разделы, касающиеся информационной безо­пасности, должны стать частью школьных и тем более вузовских курсов информатики.

Меры физической защиты информации известны с давних вре­мен, но сегодня они нуждаются в доработке в связи с распрост-

i

ранением сетевых технологий и миниатюризацией вычислитель­ной техники. Прежде всего следует защититься от утечки инфор­мации по техническим каналам. Этим занимается Гостехкомиссия России.

Поддержание работоспособности компьютерных сетей — еще одно неразработанное направление, издержки невнимания к ко­торому стали видны сравнительно недавно. В эпоху господства боль­ших ЭВМ удалось создать инфраструктуру, способную обеспечить, по существу, любой заданный уровень работоспособности (дос­тупности) на всем протяжении жизненного цикла информацион­ной системы. Эта инфраструктура включала в себя как техничес­кие, так и процедурные регуляторы (обучение персонала и пользо­вателей, проведение работ в соответствии с апробированными регламентами и т.п.). При переходе к персональным компьютерам и технологии «клиент—сервер» инфраструктура обеспечения дос­тупности во многом оказалась утраченной, однако важность дан­ной проблемы не только не уменьшилась, но, напротив, существенно возросла. Перед государственными и коммерческими организация­ми стоит задача соединения упорядоченности и регламентирован­ности, присущих миру больших ЭВМ, с открытостью и гибкостью современных систем.

Еще одна проблема общенационального характера — реагиро­вание на нарушения информационной безопасности. Допустим, пользователь или системный администратор понял, что произош­ло нарушение. Что он должен делать? Попытаться проследить зло­умышленника? Немедленно выключить оборудование? Позвонить в милицию? Проконсультироваться со специалистами ФАПСИ или Гостехкомиссии? В настоящее время ни одно ведомство, в ведении которого находятся вопросы информационной безопасности, еще не предложило регламента действий в подобной экстремальной ситуации или своей консультационной помощи. Так что совершенно очевидно, что необходимо организовать национальный центр ин­формационной безопасности, в круг обязанностей которого вхо­дили бы, в частности, отслеживание состояния этой области зна­ний, информирование пользователей всех уровней о появлении новых угроз и мерах противодействия, оперативная помощь орга­низациям в случае нарушения их информационной безопасности.

Нуждается в дальнейшем совершенствовании и работа по пла­нированию восстановительных работ, т.е. все направления деятель­ности государственных и коммерческих организаций, связанные с восстановлением работоспособности организационных структур после аварий. Ведь ни одна организация от таких нарушений не

застрахована. Здесь необходимо отработать действия персонала во время и после аварий, заранее позаботиться об организации ре­зервных производственных площадок, предусмотреть процедуру пе­реноса на эти площадки основных информационных ресурсов, а также процедуру возвращения к нормальному режиму работы. По­добный план нужен не только сверхважным военным организаци­ям, но и обычным коммерческим компаниям, если они не хотят понести крупные финансовые потери.

В целом решение задачи комплексного обеспечения информа­ционной безопасности на процедурном и программно-техничес­ком уровнях предполагает выполнение следующих требований:

■ защита информации (с целью обеспечения ее конфиденци­
альности, целостности и достоверности) при ее хранении,
обработке и передаче по каналам связи;

■ подтверждение подлинности объектов данных и пользова­
телей (аутентификация сторон);

■ обнаружение и предупреждение нарушения целостности
объектов данных;

■ живучесть сети связи при компрометации части ключевой
информации;

■ защита технических средств и помещений, в которых ведет­
ся обработка конфиденциальной информации, от утечки ин­
формации по побочным каналам и от возможного внедре­
ния в технические средства устройств съема информации;

■ защита программных продуктов от внедрения программных
закладок и вирусов;

■ защита от несанкционированного доступа к информацион­
ным ресурсам и техническим средствам сети, в том числе и
к средствам ее управления, с целью предотвращения сни­
жения уровня защищенности информации и самой сети в
целом;

■ реализация организационно-технических мероприятий, на­
правленных на обеспечение сохранности и конфиденциаль­
ности данных.

Программно-технические меры обеспечения информационной безопасности

Львиная доля активности в области информационной безопасности при­ходится на программно-технический уровень ее обеспечения. Зарубежные разработки в этой области содержат полный спектр решений. В на­шей стране картина, к сожалению, далеко не столь радужная.

Согласно современным воззрениям в рамках информационных систем должны быть доступны по крайней мере следующие меха­низмы безопасности:

■ идентификация и проверка подлинности (аутентификация)
пользователей;

управление доступом; протоколирование и аудит; криптография; межсетевое экранирование; обеспечение высокой доступности.

Кроме того, информационной системой в целом и механизма­ми безопасности в особенности необходимо управлять. И управле­ние, и механизмы безопасности должны функционировать в раз­нородной, распределенной среде, построенной, как правило, в архитектуре клиент—сервер, а следовательно:

■ опираться на общепринятые стандарты;

■ быть устойчивыми к сетевым угрозам;

■ учитывать специфику отдельных сервисов.

В соответствии с действующим в России порядком за иденти­фикацию (аутентификацию), управление доступом, протоколи­рование (аудит) отвечает Гостехкомиссия России, за криптогра­фию — ФАПСИ. Межсетевое экранирование является спорной тер­риторией, никто конкретно не занимается и доступностью.

На сегодняшний день подавляющее большинство разработок ориентировано на платформы Intel/DOS/Windows. Наиболее значи­мая информация концентрируется на иных, серверных платфор­мах. В защите нуждаются не отдельные персональные компьютеры, не только локальные сети на базе таких компьютеров, но в первую очередь существенно более продвинутые современные корпора­тивные системы. Пока для этого почти нет сертифицированных средств.

Рассмотрим типичную государственную организацию, имею­щую несколько производственных площадок, и на каждой — кри­тически важные серверы, в доступе к которым нуждаются работ­ники, базирующиеся на других площадках, и мобильные пользо­ватели. В число поддерживаемых информационных сервисов входят файловый и почтовый сервисы, системы управления базами дан­ных (СУБД), web-сервис и т.д. В локальных сетях и при межсете­вом доступе основным является протокол ТСРЛР.

§ 4. Криптографические методы обеспечения информационной безопасности

Для построения эшелонированной обороны подобной инфор­мационной системы необходимы по крайней мере следующие за­щитные средства программно-технического уровня:

■ межсетевые экраны (разграничение межсетевого доступа);

■ средства поддержки частных виртуальных сетей (реализация
защищенных коммуникаций между производственными пло­
щадками по открытым каналам связи);

■ средства идентификации/аутентификации, поддерживающие
концепцию единого входа в сеть (пользователь один раз до­
казывает свою подлинность при входе в сеть организации,
после чего получает доступ ко всем имеющимся сервисам в
соответствии со своими полномочиями);

■ средства протоколирования и аудита, отслеживающие ак­
тивность на всех уровнях — от отдельных приложений до
сети организации в целом, и оперативно выявляющие по­
дозрительную активность;

■ комплекс средств централизованного администрирования
информационной системы организации;

■ средства защиты, входящие в состав приложений, сервисов
и аппаратно-программных платформ.

До недавнего времени из интересующего нас спектра продук­тов по требованиям безопасности для применения в госорганиза­циях были сертифицированы межсетевые экраны, операционные системы и реляционные СУБД. Даже если включить в этот пере­чень продукты, сертифицированные ФАПСИ для применения в коммерческих организациях (систему ШИП, поддерживающую вир­туальные частные сети, и средства криптографической защиты семейства «Верба»), большинство рубежей остается без защиты. Таким образом, государственной организации сегодня чрезвычай­но трудно получить современную информационную систему, за­щищенную сертифицированными средствами.

Коммерческие структуры, в отличие от госорганизаций, в оп­ределенной степени свободнее в своем выборе защитных средств. Тем не менее в силу ряда обстоятельств (необходимость взаимо­действия с госструктурами, расширительная трактовка понятия государственной тайны — «гостайна по совокупности», необходи­мость получения лицензии на эксплуатацию криптосредств, огра­ничения на их импорт) эта свобода не слишком велика. Практи­чески на все категории субъектов информационных отношений распространяются требования, рассчитанные на госструктуры.

Место и роль криптографии в структуре защиты информации

По мере расширения использования Интернета и других открытых тех­нологических решений в качестве транспортной сети передачи данных

особую значимость приобретает вопрос обеспечения конфиден­циальности, целостности и достоверности передаваемой инфор­мации.

Проблема защиты информации путем преобразования, ис­ключающего ее прочтение посторонним лицом, волновала че­ловеческий ум с давних времен. История криптографии — ро­весница истории человеческого языка. Первоначально письмен­ность сама была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древнего Египта, Древней Индии — тому примеры. С широким распространением письменности криптография стала форми­роваться как самостоятельная наука. Первые криптосистемы встречаются уже в начале нашей эры. Так, Цезарь в своей пере­писке использовал более или менее систематический шифр, получивший его имя.

Бурное развитие криптографические системы получили в годы Первой и Второй мировых войн. Появление в послевоенное время вычислительных средств ускорило разработку и совершенствова­ние криптографических методов, которые продолжаются и по нынешний день.

Почему проблема использования криптографических методов в информационных системах (ИС) сегодня особо актуальна? С одной стороны, расширилось использование компьютерных се­тей, по которым передаются большие объемы информации госу­дарственного, военного, коммерческого и частного характера, не допускающего возможности доступа к ней посторонних лиц. С дру­гой — появление новых мощных компьютеров, технологий сете­вых и нейронных вычислений сделало возможным дискредитацию криптографических систем, еще недавно считавшихся нераскры-ваемыми.

Проблемой защиты информации путем ее преобразования за­нимается криптология{kryptos— тайный, logos— наука).Она разде­ляется на два направления — криптографию и криптоанализ. Цели этих направлений прямо противоположны.

т

Криптографиязанимается поиском и исследованием матема­тических методов преобразования информации. Сфера интересов криптоанализа— исследование возможности расшифровывания информации без знания ключей.

Структура криптографии

Современная криптография включа­ет в себя четыре крупных раздела:

■ симметричные криптосистемы;

■ криптосистемы с открытым ключом;

■ системы электронной подписи;

■ управление ключами.

Криптографические методы используются для передачи кон­фиденциальной информации по каналам связи (например, элект­ронная почта), установления подлинности передаваемых сообще­ний, хранения информации (документов, баз данных) на носите­лях в зашифрованном виде.

Итак, криптография дает возможность преобразовать инфор­мацию таким образом, что ее прочтение (восстановление) воз­можно только при знании ключа — шифра. Под шифрованиемпри­нято понимать преобразовательный процесс: исходный текст, который носит также название открытого текста,заменяется шиф­рованным текстом. Дешифрование— обратный шифрованию про­цесс, преобразование текста в исходный. Он осуществляется с по­мощью ключа— информации, необходимой для беспрепятствен­ного шифрования и дешифрования текстов. Электронной (цифровой) подписьюназывается присоединяемое к тексту его крипто­графическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

Содержание терминов распределение ключейи управление клю­чами— составление и распределение ключей между пользовате­лями.

Криптостойкостьюназывается характеристика шифра, опреде­ляющая его стойкость к дешифрованию без знания ключа (т.е. крипто­анализу). Имеется несколько показателей криптостойкости, глав­ные из которых:

■ количество всех возможных ключей;

■ среднее время, необходимое для криптоанализа.

Процесс криптографического закрытия данных может осуще­ствляться как программно, так и аппаратно. Аппаратная реализа-

ция отличается существенно большей стоимостью, однако у нее есть и преимущества: высокая пр